2014-07
17

12306漏洞解析 手机客户端漏洞方便黄牛囤票


        近期有人反映心蓝12306订票助手有时对于一些非常热门的票连影子都看不到,而作为软件开发服务商,我也是心有余而力不足。心蓝订票助手历时两年多的不断完善了,对于订票的各个细节都已经尽力优化了,如果还抢不到,那问题在哪儿呢?甚至热门票查询不到就没票了,这里面到底是12306没有放票,还是票都被相关部门预留了,还是真有高手在瞬间1秒内就秒杀完了。这个问题其实我心里早有了答案,只是作为桑三博客的小博主,我无能为力。今天看到猎豹移动安全实验室发布了一篇“12306漏洞解析”的微博,真心为猎豹鼓掌。12306,你到底想怎样?
 

        猎豹移动安全浏览器发布的”12306漏洞解析"原文地址:
         http://weibo.com/2705393843/Be0NL4CL3
 

12306漏洞

12306手机客户端漏洞解析

        早就有人反映,12306手机客户端(mobile.12306.cn)有漏洞,验证码简单不说,关键还可以提前识别验证码。再者利用技术解密,可以直接在PC端模拟手机端进行批量订票。因此利用手机mobile的接口,远远比利用pc端的接口高效。该漏洞据说从12306手机客户端发布之日就存在,国外技术网站上去年12月就已有人发布相关文章和逆向分析代码。因此已经被一些高级黄牛利用了大半年之久,难道12306真的浑然不知?正常来说,12306的技术人员可以从后台的订票数据,服务器日志等来分析出异常及漏洞所在。有关技术人员曾经也向我透露了部分代码,他还说给12306多次邮件反馈过,可高端大气上档次的12306每次给他的答复仅仅是"感谢您对铁路工作的关心和支持,我们会将您的建议及时向相关部门反馈。谢谢!"。漏洞一直存在,确切的说是知道漏洞一直存在,可就是不去修改封住?这12306到底是怎了呢?


         更有人跟我讨论过,这可能是12306内部技术人员故意留下的后门。之所以这样做,很简单,目的就是和票贩子合作,互惠互利。在无相关部门对12306监督的情况下,他们这样做,又有谁可以站出来说:你们不该这么做呢!
       
        一是技术员直接和外面的人合作,提供漏洞后门给票贩子,票贩子倒票分其利润。
        二是12306管理部门希望黄牛市场活跃,就像雷军的小米手机,倒卖活跃收入自然增加。
       
        这其中根深蒂固的东西便是:无论大家用何种方式购票,对于12306都没有损失,而票倒卖来倒卖去反而给他们增加了退票费的收入。因此12306的管理部门关心的不是票给谁订走了,而是今天票都卖出去了没有!哪怕一趟车的票都被一个人的电脑IP买走了,他们也不会追究这是为什么?


         其实12306可以做得更好!可为何对于漏洞,对于有人给他们反馈的漏洞,他们为何无动于衷呢?真是愚弄百姓啊!百姓辛苦想买张票,可结果等来的是票影子都没看到就没了。因为票都被利用漏洞的人给秒杀了,囤积起来,再高价倒卖出去。心蓝12306订票助手虽然目的是方便大家购票,可毕竟走的是正规路线,接入的是12306官网的数据,仅仅是模拟网页进行操作。因此面对利用12306手机客户端漏洞的暴力强悍程序,也许我们就显得无能多了。作为一个12306抢票软件的开发者,我希望12306越加完善,可以让大家更加公平地参与竞争。心蓝12306订票助手也仅仅是一个便捷的订票辅助程序,完全遵守12306的规则,同时优化购票流程,努力为大家提供一些友好快捷方便实用的购票功能。


        一切的主动权都在12306!查询下同一个IP、同一时间大量账户在线的、大量查询及提交订单的,就一目了然了。至于漏洞要怎么封,要怎么防止被批量秒票,方法就太多太多了。

        12306,且行且珍惜。





上一篇: 涉嫌倒卖火车票 山东铁警跨省调查福州女子致其死亡
下一篇: 蓝友即时通信客户端 保护隐私加密无痕聊天软件
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: 安全防御 火车票 12306
相关日志:
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 邮件地址支持Gravatar头像,邮箱地址不会公开.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.
字数限制 1000 字 | UBB代码 开启 | [img]标签 关闭