圖:“李春雨”出現(xiàn)在大量12306用戶登錄頁面中
春運(yùn)售票首日,12306網(wǎng)站爆發(fā)“串號”現(xiàn)象,時(shí)間持續(xù)近一個(gè)小時(shí),并導(dǎo)致部分用戶個(gè)人資料泄露。從360安全中心的技術(shù)專家獲悉,12306網(wǎng)站“串號”主要存在三種可能性,包括網(wǎng)站信息泄露漏洞、CDN配置問題或網(wǎng)站服務(wù)器身份識別發(fā)生錯(cuò)誤。
當(dāng)天下午15點(diǎn)開始,用戶登錄12306后顯示一個(gè)名為“李春雨”的賬號,還能看到很多陌生人的賬號資料,直到15點(diǎn)49分恢復(fù)正常。無論是哪個(gè)地區(qū)用戶、使用哪款瀏覽器,都發(fā)現(xiàn)有“串號”現(xiàn)象,可以排除運(yùn)營商劫持等其他因素,確定是12306網(wǎng)站自身的漏洞。
據(jù)了解,360安全中心監(jiān)測到12306網(wǎng)站“串號”漏洞后,在官方微博國內(nèi) 發(fā)布安全警報(bào),并通知12306網(wǎng)站和國家互聯(lián)網(wǎng)應(yīng)急中心,幫助12306緊急修復(fù)。360網(wǎng)站安全總監(jiān)趙武分析認(rèn)為,此次12306“串號”可能是以下三種原因造成的:
一、網(wǎng)站存在信息泄露漏洞,導(dǎo)致登錄賬戶后出現(xiàn)他人資料。此問題的根源在于網(wǎng)站代碼編寫質(zhì)量缺陷,沒有嚴(yán)格按照安全規(guī)范執(zhí)行;
二、網(wǎng)站CDN配置問題,導(dǎo)致用戶能獲取到他人賬號信息。網(wǎng)站CDN緩存了帶有用戶session( 標(biāo)示符)信息的網(wǎng)頁,當(dāng)用戶A登錄時(shí),服務(wù)端返回頁面內(nèi)容被CDN緩存,此后同網(wǎng)絡(luò)的用戶B也訪問了該網(wǎng)站,可能直接取得了剛才CDN緩存的用戶A的登錄信息,從而導(dǎo)致不同用戶間串號;
三、網(wǎng)站服務(wù)器身份識別發(fā)生錯(cuò)誤,導(dǎo)致用戶會話session取值不對,也可能造成用戶賬號出現(xiàn)異常。
發(fā)布的《2013年中國網(wǎng)站安全報(bào)告》顯示,國內(nèi)65.5%的網(wǎng)站存在各類漏洞,此次12306“串號”也讓更多公眾關(guān)注到網(wǎng)站安全問題。針對網(wǎng)站“串號”現(xiàn)象,360網(wǎng)站安全檢測平臺建議:
第一、網(wǎng)站應(yīng)在session算法中加入服務(wù)器IP地址、本地時(shí)間戳、用戶IP、用戶ID等信息,以做到session設(shè)計(jì)全局 ;
第二、建議網(wǎng)站增加“加鎖”機(jī)制,以確保在該session會話信息未刪除前不可被再次使用;
第三、建議12306網(wǎng)站在請求中增加動(dòng)態(tài)隨機(jī)數(shù)或改為HTTPS方式,以解決CDN緩存配置不當(dāng)?shù)膯栴}。
針對普通網(wǎng)友,360安全專家建議12306用戶盡快修改密碼,以免“串號”導(dǎo)致用戶權(quán)限混亂帶來安全隱患。此外,用戶也應(yīng)防范可能出現(xiàn)的購票欺詐,不輕信以“12306客服”等名義發(fā)來的可疑信息。
投稿郵箱:chuanbeiol@163.com 詳情請?jiān)L問川北在線:http://m.sanmuled.cn/