天互数据

　　9月28日晚间消息，昨晚网络曝出12306又一更严重问题被发现，其存在严重安全漏洞，有可能泄露用户信息，并且其他人可以通过该漏洞任意修改用户名和密码，进行订票、退票等操作。对此，搜狐IT走访行业安全方面的专家。通过对12306暴露出问题进行分析，专家称 12306网站安全隐患已经达到非常严重的级别，如果不及时升级封堵，上亿用户信息可能外泄。

　　搜狐IT独家解剖12306网站结构图

　　曝出来的漏洞仅是冰山一角

　　针对网络曝出12306曝出安全漏洞，搜狐IT走访了网络安全专家、安全宝CEO马杰。马杰曾经是瑞星公司技术工程师，拥有10余年的安全方面经验。

　　网络安全专家、安全宝CEO马杰

　　马杰告诉搜狐IT说，“网络已曝出来的漏洞，还是比较一般的漏洞，还有最严重的漏洞，可以影响到它们整个数据库的安全，对已购买过票的用户，信息有一定的外泄风险。”

　　网民还是比较负责的态度，仅公开了其中一部分漏洞，白墨黑字和截图，却没有泄露更多的用户信息。马杰分析称，相比工商、税务、公安等信息系统来说，12306也是一个非常重要的网站，关系到数以万计的民众，但是，其安全性还是比较差。比较资深的安全专家和比较厉害的黑客，可以进入数据库。“没有授权，不方便进入，可能牵涉到大量的用户信息”。

　　“我们做过网站安全测试，90%网站存在安全漏洞，其中20-30%存在严重安全漏洞。12306已达到最严重级别!”马杰说，作为一名技术人员，他从外围已经看到诸多漏洞。如果拥有相关机构授权，或者他可以当场给媒体演示其存在的问题。

　　此前，微博截图12306网站内部代码(如图)，遭到大量网民的吐槽。马杰分析说，这些代码，比较初级，是造成网站慢原因的之一。因为类似“like、%”等的技术语言，是一种模糊匹配，效率极其低下，一般的网站尽量少用这种匹配。“而网民能够轻而易举进去，从容截图，从侧面说明了其安全性不够。”

　　微博曝光12306网站内部代码截图

　　12306可能是一个“草台班子”

　　一位不愿透露姓名团购网站副总裁分析称，从这个网站的架构看，完全是一个不成熟的网站，最初设想也可能是“内部使用”，难以支撑上亿级别的访问量。

　　从外泄的代码看，“like、%”等的技术语言，这是以前将就访问量低于百万级别网站使用，稍微有技术常识的技术人员，不会使用这样的低级语言。

　　对此，马杰表示了同样的看法。他认为，类似12306这样的网站，应该有一个30-40人的技术团队，而且，还要来自不同的层面研发。从目前其网站安全角度看，它猜测应该没有这么多不同层次水平的技术人员。

　　“标书”不应忽视信息安全

　　2011年底发生的CSDN、天涯、人人网等用户信息泄密事件，2012年3.15晚会中披露的浦发银行、光大银行、工商银行、淘宝、京东商城等信息泄密，警钟长鸣!信息安全触及着每一个人的神经。然而，涉及到上亿用户信息的12306却如此不堪一击，让专家们为之担忧。

　　但是，这次12306网的漏洞又让人们捏一把汗。 “双节”过后，会不会出现乘坐火车的个人信息外泄?如果12306不立即亡羊补牢，可能会后患无穷。一位安全领域专家对搜狐IT表示。

　　其实，此前铁道部3亿的招标升级系统引发了较大质疑。马杰对搜狐IT表示，尚不清楚招标项目中有没有包括安全厂商。“太极是一家优秀的软件集成商，应聚集这方面的人才，进行应对。”马杰说，如果通过一个防火墙的，恐怕能力有限，因为涉及数据量非常大，恐怕承受不了。如果铁道部愿意系统开放，“安全宝公司可免费为其做‘黑盒’(外围)安全保障。”

　　对于3亿巨额招标之后，铁道部到底该如何运作12306系统?马杰认为，大家不应该将矛头对准铁道部，因为每个行业面临的现状都差不多。“不过，应该让负责网站运维的人，去做运维的事情，让负责安全的人去做安全的事情。 ”马杰说。