近日,中央电视台新闻栏目曝光了利用12306网站的漏洞,借助电子抢票软件非法牟利的消息,立刻引起社会关注。根据调查,12306网站在售退票过程中多个环节存在漏洞。
根据报道,网上流行着许多抢票软件,其中还包括收费的抢票工具,从几元几十元一个的“个人版”,到收费上千元每月的“企业版”,价格不等功能不一。
记者昨天联系到猎豹公司相关负责人。对方表示,这些刷屏软件可以避开12306网站的购票规则,并且能够轻松绕过其技术限制,大量刷得火车票。
据了解,12306网站为防止机器幕后操纵,特意对订票过程设置限制,即两次查票时间间隔不低于5秒,登陆和提交订单时需输入验证码。同时规定,普通用户通过12306每次只能买5张票。
上述负责人表示,通过调查他们发现,这些刷屏软件可以自动寻找12306网站速度最好的服务器,提高刷屏成功的几率,然后利用网站验证码漏洞以毫秒速度自动输入验证码,并且可以规避5秒查票时间间隔,没有了这些限制之后,刷屏软件可以比常人手动抢票快“上百倍”。
利用上述刷票软件,一些通过刷票倒卖火车票的“网络黄牛”在成功绕过验证、自动刷票、毫秒抢票之后提前利用假身份证注册上千个账号,然后批量导入这些账号同时刷票,一次性就可抢到上千张票,甚至一整节车厢的票都能被瞬间抢走。有网友直呼,“黄牛软件才真正是‘狂拽吊炸天’的抢票神器啊”。
通过对12306网站的分析,猎豹安全专家发现,12306网站对订单提交验证码时校验不严,没有保证进入提交页后获取。该漏洞导致刷票软件可以直接获得验证码图片,查票完成后,直接提交订单,跳过验证码环节。
对此,安全专家建议12306网站修改验证码机制,采用人工智能验证码。比如问题是,足球和乒乓球哪个大?答案是足球。1+3=几,答案是4。用户只需输入“足球”或者“4”就可以通过验证。这种验证码,机器极难回答,而人工很容易回答。
根据报道,12306网站在身份证验证方面并没有与公安机关进行身份证系统的对接,也为“网络黄牛”提供了可乘之机,导致大量车票流入不发之徒手中。安全专家建议12306网站与公安机关进行身份证系统的对接,用户注册和购票时,需要提供真实有效的身份证信息。