【IT商业新闻网综合】(记者 沈宣)继双节订票让12306铁路订票系统被广大群众跟踪调查,IT商业新闻网获悉,9月26日,订票系统又被曝光出现新的低级漏洞。这是今年9月份以来,12306出现的第6个漏洞。
近日,权威漏洞报告平台“乌云”发布了一份名为“12306漏洞一包裹”的漏洞。乌云指出,在国庆节前订票高峰期,12306也进入了漏洞频发高峰期。乌云技术负责人表示,半月前12306曾曝出一起漏洞,可能直接危害到订票人的信息安全。这些低级漏洞的出现,系统开发方中国铁道科学研究院恐难辞其咎。
9月27日,一名叫“qiaoy”的网友在乌云网站上提交了一个漏洞报告12306漏洞一包裹,危害等级为“高”。随后,中国铁道科学研究院确认并回复“修补中”。
乌云网站技术负责人透露,从安全的角度看,这样的漏洞有点简单和低级。“一般网站上线前,公司都会对系统进行系列的严格的测试,所以这种简单的错误和漏洞就会避免。12306曝出低级错误,说明缺乏这种检测措施。”
乌云网站统计数据显示,12306从今年2月份开始,除了6月和8月,几乎每月都有漏洞报告,9月份以来竟然曝出高达6个漏洞。而在半个月前12306的确出现一个漏洞,称12306系统修改任意密码,有可能会导致订票人信息泄露。
从12306曝出的漏洞类型看,主要为SQL注射漏洞、账户体系控制不严、系统/服务运维配置不当、设计缺陷/逻辑错误,其中,SQL注射漏洞这一类型的漏洞最多的,比例达到78%。
由于铁道部实行购票实名制,低级安全漏洞的出现让不少订票者感到了担忧。
同时,这份低级漏洞报告,也让系统开发方中国铁道科学研究院浮出水面,因为12306所有的漏洞相关厂商都是该学院的名称。
昨日下午,针对本报记者此前有关客票系统招标问题的采访函,铁道部宣传处回应表示,“共有7家单位购买了招标文件,标书售出20天后,项目在北京公开开标,共有5家投标人递交了投标文件,并且均满足本次招标合格投标人条件。北京市方正公证处对开标过程进行了现场公证。”
但记者发现,在这份回复中,除了公布早已被大众熟知的太极计算机股份有限公司、同方股份有限公司之外,该回复并没有涉及其他投标人的名称、报价及竞标过程等核心信息。
经过对比发现,铁道部宣传处的回复内容并未超出中国采购与招标网上已经公示的《招标公示》。中标方是否是以 “最低报价、最高得分”获标,并没有充分的信息能够佐证。
北京交通大学教授赵坚认为,除了公布中标的太极计算机股份有限公司、同方股份有限公司之外,其他参与竞标的企业信息也应该公布。
他指出,要想改变客票系统备受诟病的现状,铁路客票系统售票的管理应该参考航空售票的模式,引入市场化管理,跟上市场技术的变化,对相关的事业单位进行改制,再由相关的企业来操作招投标、售票等。
推荐阅读
9月27日消息,据国外媒体报道在近日举行的Ekoparty安全会议上,三星的多款智能手机爆出安全漏洞,很容易被远程操作还原到出厂设置,甚至可能对SIM卡造成危害。 9月27日消息,据国外媒体报道 在近日举行的Ekoparty安全>>>详细阅读
地址:http://www.lgo100.com/a/xie/20121229/114715.html
网友点评
精彩导读
科技快报
品牌展示