【IT商業新聞網綜合】(記者 沈宣)繼雙節訂票讓12306鐵路訂票系統被廣大群眾跟蹤調查,IT商業新聞網獲悉,9月26日,訂票系統又被曝光出現新的低級漏洞。這是今年9月份以來,12306出現的第6個漏洞。
近日,權威漏洞報告平臺“烏云”發布了一份名為“12306漏洞一包裹”的漏洞。烏云指出,在國慶節前訂票高峰期,12306也進入了漏洞頻發高峰期。烏云技術負責人表示,半月前12306曾曝出一起漏洞,可能直接危害到訂票人的信息安全。這些低級漏洞的出現,系統開發方中國鐵道科學研究院恐難辭其咎。
9月27日,一名叫“qiaoy”的網友在烏云網站上提交了一個漏洞報告12306漏洞一包裹,危害等級為“高”。隨后,中國鐵道科學研究院確認并回復“修補中”。
烏云網站技術負責人透露,從安全的角度看,這樣的漏洞有點簡單和低級。“一般網站上線前,公司都會對系統進行系列的嚴格的測試,所以這種簡單的錯誤和漏洞就會避免。12306曝出低級錯誤,說明缺乏這種檢測措施。”
烏云網站統計數據顯示,12306從今年2月份開始,除了6月和8月,幾乎每月都有漏洞報告,9月份以來竟然曝出高達6個漏洞。而在半個月前12306的確出現一個漏洞,稱12306系統修改任意密碼,有可能會導致訂票人信息泄露。
從12306曝出的漏洞類型看,主要為SQL注射漏洞、賬戶體系控制不嚴、系統/服務運維配置不當、設計缺陷/邏輯錯誤,其中,SQL注射漏洞這一類型的漏洞最多的,比例達到78%。
由于鐵道部實行購票實名制,低級安全漏洞的出現讓不少訂票者感到了擔憂。
同時,這份低級漏洞報告,也讓系統開發方中國鐵道科學研究院浮出水面,因為12306所有的漏洞相關廠商都是該學院的名稱。
昨日下午,針對本報記者此前有關客票系統招標問題的采訪函,鐵道部宣傳處回應表示,“共有7家單位購買了招標文件,標書售出20天后,項目在北京公開開標,共有5家投標人遞交了投標文件,并且均滿足本次招標合格投標人條件。北京市方正公證處對開標過程進行了現場公證。”
但記者發現,在這份回復中,除了公布早已被大眾熟知的太極計算機股份有限公司、同方股份有限公司之外,該回復并沒有涉及其他投標人的名稱、報價及競標過程等核心信息。
經過對比發現,鐵道部宣傳處的回復內容并未超出中國采購與招標網上已經公示的《招標公示》。中標方是否是以 “最低報價、最高得分”獲標,并沒有充分的信息能夠佐證。
北京交通大學教授趙堅認為,除了公布中標的太極計算機股份有限公司、同方股份有限公司之外,其他參與競標的企業信息也應該公布。
他指出,要想改變客票系統備受詬病的現狀,鐵路客票系統售票的管理應該參考航空售票的模式,引入市場化管理,跟上市場技術的變化,對相關的事業單位進行改制,再由相關的企業來操作招投標、售票等。
推薦閱讀
9月27日消息,據國外媒體報道在近日舉行的Ekoparty安全會議上,三星的多款智能手機爆出安全漏洞,很容易被遠程操作還原到出廠設置,甚至可能對SIM卡造成危害。 9月27日消息,據國外媒體報道 在近日舉行的Ekoparty安全>>>詳細閱讀
地址:http://www.xglongwei.com/a/xie/20121229/114715.html
網友點評
精彩導讀
科技快報
品牌展示