• 启新航 谋新篇——陕西省第十三次党大会——西部网、陕西头条客户端 2019-06-18
  • 侯德义:用全生命周期理念推动环境修复行业发展 2019-06-18
  • 日本大阪6.1级强震4死逾300伤 工厂及店铺恢复运营 2019-06-14
  • 《人民日报》创刊70周年 各界人士送祝福 2019-06-14
  • [大笑]当然要付钱,你占用属于大家的资源,那怕是一根针都要付钱! 2019-06-12
  • 2012第七届中国常州先进制造技术成果展示洽谈会 2019-06-12
  • 《人民日报》成为中共中央机关报的来龙去脉 2019-06-11
  • “菲律宾国花”KZ谭定安最新写真曝光 继续中国音乐之旅引期待中国 歌手 2019-06-09
  • 紫光阁中共中央国家机关工作委员会 2019-06-09
  • 浙江队后卫夏钰博加盟吉林队 2019-06-09
  • 足球运动也是需要不断创新的,不能老是跟着别人的套路走!同样需要较高的综合素质,不能从小就走上专业化的道路。不然就只能是四肢发达头脑简单,就会陷入机械足球的泥潭! 2019-06-08
  • 市场监管总局抽检518批次粽子 未检出不合格样品 2019-06-08
  • 王云飞:打美军我们东海弱,南海强!凤凰军机处 2019-06-07
  • 河北廊坊市对“小饭桌”进行综合治理 2019-06-07
  • 【视频】致敬父亲节—父爱如山 一路相伴 2019-06-07
  • 网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

    “游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512
    ?

    2018买马12生肖号码图:游侠安全网站长张百川(网路游侠)接受搜狐IT采访

    2012-09-29 14:40 推荐: 浏览: 1,098 views 字号:

    2018历史开码结果查询 www.amkxg.tw 摘要: 日前,适逢中秋、十一长假,因此从铁道部网上购票网站 www.12306.cn 订票的网友非常多,但该系统却非常让人失望:要么打不开、要么刷不出验证码、要么要等待(居然学习了现实中的排队?。沼直隽税踩侍?!网友们对此怨言颇多。就此,游侠安全网(www....

    日前,适逢中秋、十一长假,因此从铁道部网上购票网站 www.12306.cn 订票的网友非常多,但该系统却非常让人失望:要么打不开、要么刷不出验证码、要么要等待(居然学习了现实中的排队?。沼直隽税踩侍?!网友们对此怨言颇多。就此,游侠安全网(2018历史开码结果查询)站长接受了搜狐IT的采访,讨论下12306网站存在的一些问题。

    【搜狐IT消息】9月29日上午消息,铁道部12306网暴露出的安全漏洞,引发业界强烈的反响。网络安全专家张百川接受搜狐IT采访表示,其漏洞已经到了最为严重的安全级别,如果不及时封堵,存在库里面的个人信息,包括订票信息,都“可能”被别人拿到。

    张百川称,其编程过程不严谨、数据库知识了解不够,搭建系统的时候,仅限于“能用”,而没有从多角度考虑。建议铁道部必须“开放!放弃垄断、放下架子,主动邀请像搜狐、新浪、阿里巴巴(淘宝)、腾讯、京东等的团队,就目前的现状进行探讨,找出解决方法?!?/p>

    以下是搜狐IT书面采访张百川全文实录:

    搜狐IT:铁道部12306网站目前暴露出的漏洞的是怎样的级别,危害程度有多大?

    张百川:看到是有SQL注入、XSS跨站漏洞,这两个一般在各类网站安全评估软件中,评估级别都是高。因多数都能拿到部分数据,如拿到管理员的帐号、密码(要是再知道后台地址就可以登录了)、跑出订票信息等。严重点说,存在库里面的个人信息,包括订票信息,都“可能”拿到。(之所以说可能,是因为目前没有人公开说拿到数据库,但这并不是说没有这个可能,毕竟法律风险太大,拿到也不会公开说)

    搜狐IT:12306网站目前暴露出的漏洞遭遇攻击的难易程度如何?

    张百川:就SQL注入和XSS跨站而言,利用的难度有高有低。最低的,利用工具1分钟就可以跑出数据库里面的数据,难度高的,可以综合利用工具和人工进行攻击。同样是漏洞,可利用的难度差异很大。12306的漏洞,至少不是属于“最弱智”的那一类,要不早就被初中练手的小孩们拿下了。

    搜狐IT:12306网站为什么会出现这样漏洞?背后的原因是什么?技术水平如何?

    张百川:编程过程不严谨、数据库知识了解不够,搭建系统的时候,仅限于“能用”,而没有从多角度考虑。

    如,目前微博爆出来的:SQL注入漏洞、XSS跨站漏洞,是自身安全意识的缺乏或者水平较低导致的。有人说是:毕业设计吧?!对此表示赞同。

    并且,从目前的一些安全圈朋友测试来看,本身存在安全隐患,并且也没有采用第三方的安全防护手段。如部署入侵防御系统、WEB应用防火墙,或者采用一些厂家目前在做的云安全手段等。

    个人认为,该系统验收的时候,目标仅仅是“能用”,至于好不好用、安全不安全,似乎都没有考虑在内。这样的要求,在很多项目中,属于比较低的水平。

    搜狐IT:评价12306网站的整体安全水平如何?与此前CSDN、阿里巴巴、天涯等遭遇攻击比较,防御能力如何?

    张百川:低!上面提到了,本身做不好,又没有采用第三方的安全防护手段,如可以直接提交SQL注入语句、直接提交XSS跨站语句,甚至不用考虑做代码变形以绕过安全防护系统。

    看了下网上的消息,CSDN被黑就是因为SQL注入漏洞;阿里巴巴、天涯的,网上没有详细的说明,不好判断。严重与否,取决于数据库是否被下载后又大量传播……像上面的几个网站数据库,就都曾经在圈子里面流通过。

    搜狐IT:如何评价12306网站,你给铁科研有那些好的建议?

    张百川: 开放!放弃垄断、放下架子,主动邀请像搜狐、新浪、阿里巴巴(淘宝)、腾讯、京东等的团队,就目前的现状进行探讨,找出解决方法。上面的这些网站,对大规模、大并发的网站运营有非常好的经验。

    个人认为,因为火车票是归当地铁路局管的,因此可以做分布式,将数据库剥离开,放在每个铁路局的机房,这样可以分担压力,变同时访问1个网站为多个网站。并且多数用户都是就近访问服务器,速度快、压力小。

    张百川,“游侠安全网”(2018历史开码结果查询)站长、MCP/MCSE/MCDBA、Linux网络管理工程师。对主机审计、网络审计、数据库审计、运维审计等有深刻认识和研究,对信息与网络安全方案的规划、设计、实施有丰富的实战经验。以“网路游侠”为名在多家专业网络安全、信息安全媒体发表作品30余篇。

    原文://it.sohu.com/20120929/n354188940.shtml

    联系站长租广告位!
    ?
    中国首席信息安全官


    关闭


    2018历史开码结果查询
    关闭
  • 启新航 谋新篇——陕西省第十三次党大会——西部网、陕西头条客户端 2019-06-18
  • 侯德义:用全生命周期理念推动环境修复行业发展 2019-06-18
  • 日本大阪6.1级强震4死逾300伤 工厂及店铺恢复运营 2019-06-14
  • 《人民日报》创刊70周年 各界人士送祝福 2019-06-14
  • [大笑]当然要付钱,你占用属于大家的资源,那怕是一根针都要付钱! 2019-06-12
  • 2012第七届中国常州先进制造技术成果展示洽谈会 2019-06-12
  • 《人民日报》成为中共中央机关报的来龙去脉 2019-06-11
  • “菲律宾国花”KZ谭定安最新写真曝光 继续中国音乐之旅引期待中国 歌手 2019-06-09
  • 紫光阁中共中央国家机关工作委员会 2019-06-09
  • 浙江队后卫夏钰博加盟吉林队 2019-06-09
  • 足球运动也是需要不断创新的,不能老是跟着别人的套路走!同样需要较高的综合素质,不能从小就走上专业化的道路。不然就只能是四肢发达头脑简单,就会陷入机械足球的泥潭! 2019-06-08
  • 市场监管总局抽检518批次粽子 未检出不合格样品 2019-06-08
  • 王云飞:打美军我们东海弱,南海强!凤凰军机处 2019-06-07
  • 河北廊坊市对“小饭桌”进行综合治理 2019-06-07
  • 【视频】致敬父亲节—父爱如山 一路相伴 2019-06-07
  • 阿森纳队员名单 2012美国篮球巨星中国行 鹿岛鹿角vs名古屋鲸八 兰斯9攻略 汉诺威96门兴 快乐十分任三技巧 意甲那不勒斯vs恩波利 22选5走势图表 塞维利亚到格拉纳达巴士 那不勒斯王国