铁道部购票网站曝CDN技术短板 存在泄密危险

安全
2012年,顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施,对于众多渴望年底回家团年,顺利买到火车票的消费者是重大利好,如果一切顺利,这无疑是铁道部为消费者干得最漂亮的一件实事。

2012年,顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施,对于众多渴望年底回家团年,顺利买到火车票的消费者是重大利好,如果一切顺利,这无疑是铁道部为消费者干得最漂亮的一件实事。

中国铁路客户服务中心网(www.12306.cn)是网购火车票的***官方网站,但从12306网站正式上线至今,由于访问量过大,不少旅客在12306网购车票时,频频遭遇“系统忙”而无法访问。对此,铁道部表示正在不断优化相关程序,完善设备设施,增加网络带宽,努力改进工作。

图注:从12360网站上线开始其访问量持续攀升

我们愿意相信这些问题也仅仅属于短期或个别,且可以通过申诉解决。但一个更大的隐患正在显现,近日,在国内知名的技术论坛CSDN上,一位名叫”特总兵-AK47”的网友研究发现12306网络售票网站存在安全问题,他认为铁道部购票网站可能造成另一次的密码危机。

这位网友认为,12306网站的前端基本架构是jQuery+Struts+CDN(即contentdistributionnetwork),其中的CDN服务(内容分发加速网络)是网宿科技由支持。而铁道部互联网售票系统集成项目则由太极软件负责。

而据媒体此前报道称,网宿科技自2010年起两项主营业务CDN和IDC(互联网数据中心)毛利率均迅速大幅下降。而网宿科技的解决之道则是开始走低价路线,“在没有技术优势的前提下,网宿科技打出了最擅长的低价牌,然而号称要做行内龙头企业的网宿科技,在高科技旗下的低价路线,面对着不断上涨的营业成本,似乎已经走上了一条不归路。”

而低价可能是铁道部最终选择网宿科技的原因之一。这造成的直接结果必然是技术层面的缺陷和安全问题隐患。

该人士列举了目前为止在12306发现的几项安全漏洞:

***、不安全。查询列车信息的querySingleAction.do,并没有用JS语言记录,而是用更易看懂的HTML上传;且用户信息采用明文记录,网络爬虫可轻松抓取。

图注:用户信息采用明文记录,网络爬虫可轻松抓取

第二、速度慢。系统将JS和CSS加载起来毫无意义,用户点击“预定按钮”,就会跳出了33个CSS格式请求,每个耗时5-6秒的,直接造成网络繁忙;网站全部采用旧时的iframe架构,每次点击时候都要全部加载页面,极大拖慢网速。

图注:加载JS和CSS毫无意义,只会极大拖慢网速

第三、技术落后。除了上面提到的iframe架构,网站仅裁用了DHTMLX2.0版本,而现在业界普遍适用的早已升级到3.0版本。

图注:DHTMLX都已经升级到3.0啦,竟然用的2.0

这些安全漏洞的存在,似乎也让12306目前出现的种种问题显得不足为奇。网友”特总兵-AK47”认为,12360目前遇到的问题完全不是带宽的问题,真正的问题在于该网站的内容分发系统完全没有在做负载均衡处理。同时,他还向铁道部支招,“其实解决这个问题很简单,把网络传输的内容减少90%就可以。”

【编辑推荐】

  1. CDN技术应用
  2. CDN技术原理
  3. 网络响应低效引发CDN技术性“革命”
  4. 走进铁道部火车票售票系统的研发部门

 

责任编辑:于爽 来源: www.sina.com.cn
相关推荐

2012-01-06 10:10:14

2012-09-19 09:35:10

铁道部

2012-09-19 09:23:18

铁道部

2012-09-21 09:13:52

铁道部

2012-01-06 10:16:14

订票网站11大电商网站

2010-01-19 21:13:50

铁道建设负载均衡Radware

2013-01-24 21:14:42

抢票软件网站安全360安全中心

2012-02-09 20:29:13

美信云网管

2014-01-13 11:27:46

12306官网互联网思维铁道部

2012-01-11 10:11:08

2013-01-18 09:43:48

2011-01-21 17:08:39

火车票

2009-01-18 09:39:03

2014-01-08 10:18:30

2012-11-15 09:40:18

2012-01-06 10:25:53

2012-01-06 10:14:30

2013-10-31 10:12:23

信息泄露防护溢信科技防泄密

2013-01-21 16:02:29

Chrome抢票

2012-01-04 12:56:07

点赞
收藏

51CTO技术栈公众号