圖：“李春雨”出現(xiàn)在大量12306用戶登錄頁面中
   
    春運售票首日，12306網(wǎng)站爆發(fā)“串號”現(xiàn)象，時間持續(xù)近一個小時，并導致部分用戶個人資料泄露。從360安全中心的技術專家獲悉，12306網(wǎng)站“串號”主要存在三種可能性，包括網(wǎng)站信息泄露漏洞、CDN配置問題或網(wǎng)站服務器身份識別發(fā)生錯誤。

    當天下午15點開始，用戶登錄12306后顯示一個名為“李春雨”的賬號，還能看到很多陌生人的賬號資料，直到15點49分恢復正常。無論是哪個地區(qū)用戶、使用哪款瀏覽器，都發(fā)現(xiàn)有“串號”現(xiàn)象，可以排除運營商劫持等其他因素，確定是12306網(wǎng)站自身的漏洞。

    據(jù)了解，360安全中心監(jiān)測到12306網(wǎng)站“串號”漏洞后，在官方微博國內(nèi) 發(fā)布安全警報，并通知12306網(wǎng)站和國家互聯(lián)網(wǎng)應急中心，幫助12306緊急修復。360網(wǎng)站安全總監(jiān)趙武分析認為，此次12306“串號”可能是以下三種原因造成的：

    一、網(wǎng)站存在信息泄露漏洞，導致登錄賬戶后出現(xiàn)他人資料。此問題的根源在于網(wǎng)站代碼編寫質(zhì)量缺陷，沒有嚴格按照安全規(guī)范執(zhí)行；

    二、網(wǎng)站CDN配置問題，導致用戶能獲取到他人賬號信息。網(wǎng)站CDN緩存了帶有用戶session（ 標示符）信息的網(wǎng)頁，當用戶A登錄時，服務端返回頁面內(nèi)容被CDN緩存，此后同網(wǎng)絡的用戶B也訪問了該網(wǎng)站，可能直接取得了剛才CDN緩存的用戶A的登錄信息，從而導致不同用戶間串號；

    三、網(wǎng)站服務器身份識別發(fā)生錯誤，導致用戶會話session取值不對，也可能造成用戶賬號出現(xiàn)異常。

    發(fā)布的《2013年中國網(wǎng)站安全報告》顯示，國內(nèi)65.5%的網(wǎng)站存在各類漏洞，此次12306“串號”也讓更多公眾關注到網(wǎng)站安全問題。針對網(wǎng)站“串號”現(xiàn)象，360網(wǎng)站安全檢測平臺建議：

    第一、網(wǎng)站應在session算法中加入服務器IP地址、本地時間戳、用戶IP、用戶ID等信息，以做到session設計全局 ；

    第二、建議網(wǎng)站增加“加鎖”機制，以確保在該session會話信息未刪除前不可被再次使用；

    第三、建議12306網(wǎng)站在請求中增加動態(tài)隨機數(shù)或改為HTTPS方式，以解決CDN緩存配置不當?shù)膯栴}。

    針對普通網(wǎng)友，360安全專家建議12306用戶盡快修改密碼，以免“串號”導致用戶權限混亂帶來安全隱患。此外，用戶也應防范可能出現(xiàn)的購票欺詐，不輕信以“12306客服”等名義發(fā)來的可疑信息。

   投稿郵箱：chuanbeiol@163.com   詳情請訪問川北在線：http://m.fishbao.com.cn/