首页
社区
课程
招聘
12306网站身份信息无验证等三大漏洞助黄牛抢票
发表于: 2014-1-10 11:01 666

12306网站身份信息无验证等三大漏洞助黄牛抢票

2014-1-10 11:01
666
12306网站身份信息无验证等三大漏洞助黄牛抢票

   新闻链接:http://finance.sina.com.cn/chanjing/gsnews/20140109/133717898241.shtml

   新闻时间:2014年01月09日

   新闻正文:

      法制晚报讯(记者仝璇)为了能囤到票,如今的黄牛都玩起了“技术活儿”。昨日央视《新闻30分》报道,部分黄牛利用抢票软件,10分钟就能刷走1245张火车票。

  央视记者走访发现,黄牛使用抢票软件在12306网站自动反复刷票,由于抢票软件突破了12306设置的每5秒才能刷新一次的限制,把时间缩短到毫秒,购票速度更快。

  此外,在购买过程中,抢票软件无需手动输入信息且可以毫秒速度自动识别验证码,使用多个账号和大量虚假身份信息,最快几秒钟就可把整趟列车的票囤个精光。

  上午《法制晚报》记者采访一名IT技术人士,他表示,黄牛在倒票过程中,主要是利用12306设置的“45分钟支付期”这一时间差,反复抢票、卖票、退票再抢票,循环地保证这部分票一直控制在手。而帮助黄牛实现这一流程的,主要有三大漏洞。

  1 造假  漏洞:身份信息无验证

  黄牛通过算号软件或者在线算号网站,只要指定出生地、出生日期及性别,即可生成无数格式正确的身份证号码。随意复制其中的一个身份证号并任意填写乘客姓名,在12306网站都可以成功订票。

  分析:假身份信息之所以能够成功购买车票,是因为12306并没有与公安系统联网,无法对身份证号等信息进行审核。在未与公安系统联网的情况下,12306本身只能检测身份证最后一位的运算逻辑,但算号软件早已经解决了这个问题,因此12306无法检测身份信息真伪。

  建议

  只要把身份信息、手机号等与公安系统挂钩验证,即可有效堵住这一漏洞。

  2 抢票 漏洞:刷新、输码全自动

  通过抢票软件,每台电脑可同时登录几十个账号,黄牛只需多开几台电脑,再利用大量虚假身份信息去“占”票即可。12306规定一个账号最多可购买5张票,即使按每台电脑开20个账号来算,理论上来讲每台电脑在同一时间可以抢到100张票。

  分析:12306账号目前很容易就能实现双开,因此黄牛同时可抢到的票数量会更多。虽然12306设置两次查询必须间隔5秒,但抢票软件突破了这一限制,把刷新时间缩短到毫秒;此外,抢票软件能自动识别验证码。通过上述手段,黄牛的下单速度更快,几乎可以秒购整节车厢甚至整列火车的票。

  建议

  可以对同一IP或同一网卡MAC地址登录的账号数量进行限制,减少黄牛刷票量,同时缩短站内刷票时间。此外,在验证码上进行加密或二级的技术手段或汉字,应该是更好的方式。

  3 倒票 漏洞:退票流程不设限

  成功囤票后,黄牛立即在线上兜售。若有顾客付款,他们马上退票,同时用抢票软件不断刷新,以便退票进入票仓后第一时间抢到,之后再用顾客的真实身份信息付款。若票未卖出,则将剩票退票,此后再度用抢票软件抢回来。

  分析:12306网站设置了45分钟的支付期,这段时间内不付款也可保留这张票,黄牛正是利用这一时间差反复抢票退票再抢,始终掌握这部分票。此外,在12306退票无任何验证流程,虽然春运期间退票手续费提高到20%,但这部分费用最后会转嫁给购票者,黄牛并不担心。

  建议

  防黄牛倒票,关键要在退票流程下工夫,比如设置同一账号一段时间的退票次数等,防止黄牛抢票后反复倒票。

  文/记者仝璇制图/张艺涵

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//