相談12306第5号:システムが限定されており、セキュリティの脆弱性レベルが高い

相談12306第5号:システムが限定されており、セキュリティの脆弱性レベルが高い

9月29日朝のニュース:鉄道省の12306ウェブサイトで暴露されたセキュリティの抜け穴が業界で大きな反響を呼んでいる。ネットワークセキュリティ専門家の張氏はSohu ITとのインタビューで、この脆弱性は最も深刻なセキュリティレベルに達していると述べた。時間内にブロックされなければ、チケット予約情報を含むデータベースに保存された個人情報が他人に取得される「可能性がある」という。

Sohu ITが12306ウェブサイトの構造を独占的に分析

張百川氏は、プログラミングのプロセスが厳密ではなく、データベースの知識も不十分だったと語り、システムを構築する際には、多角的な視点で検討することなく、「使える」ことだけに焦点を当てていた。鉄道省は「開放せよ!独占を放棄し、気取りを捨て、捜狐、新浪、アリババ(タオバオ)、テンセント、JD.comなどのチームを積極的に招き、現状を議論し、解決策を見つけなければならない」と提言されている。

以下はSohu ITによる張百川氏へのインタビューの全文です。

Sohu IT:鉄道部の12306ウェブサイトで現在露出している脆弱性のレベルはどの程度ですか?また、被害はどの程度深刻ですか?

Zhang Baichuan: SQL インジェクションと XSS のクロスサイト脆弱性があることがわかりました。これら 2 つは、さまざまな Web サイト セキュリティ評価ソフトウェアで一般的に高い評価を受けています。なぜなら、それらのほとんどは、管理者のアカウント、パスワード(バックエンドのアドレスがわかればログインできます)、チケットの予約情報などのデータを取得できるからです。もっと深刻なことに言えば、チケット予約情報を含むデータベースに保存されている個人情報が取得される「可能性がある」のです。 (可能だと言ったのは、データベースを入手したと公言した人がいないからですが、不可能というわけではありません。結局、法的リスクが大きすぎるし、入手したとしても公言しないでしょう。)

Sohu IT: 現在 12306 の Web サイトで公開されている脆弱性を攻撃するのはどの程度難しいのでしょうか?

Zhang Baichuan: SQL インジェクションとクロスサイト XSS に関しては、悪用の難易度は異なります。最も低いレベルでは、ツールを使用して 1 分でデータベースのデータを取得できます。難易度が高い場合は、ツールと手動攻撃を組み合わせて使用​​できます。同じ脆弱性であっても、それを悪用する難しさは大きく異なる可能性があります。 12306 の抜け穴は、少なくとも「最も愚かな」ものではありません。そうでなければ、練習していた中学生に発見されていたでしょう。

Sohu IT: なぜ 12306 の Web サイトにこのような抜け穴があったのでしょうか? その理由は何ですか? 技術レベルはどの程度ですか?

張百川:プログラミングのプロセスが厳密ではなく、データベースの知識も不十分でした。システムを構築する際、さまざまな角度から検討することなく、「動作する」ことだけに焦点を当てていました。

たとえば、Weibo で明らかになった SQL インジェクションの脆弱性や XSS クロスサイト脆弱性は、セキュリティ意識の欠如、またはセキュリティ意識の低さが原因です。 「卒業プロジェクトでしょ?」って言う人もいるけど、私もそう思います。

さらに、セキュリティ界隈の友人らが実施したテストによると、セキュリティリスク自体があり、サードパーティのセキュリティ保護対策は採用されていないとのこと。たとえば、侵入防止システムや WEB アプリケーション ファイアウォールを導入したり、現在一部のメーカーで使用されているクラウド セキュリティ対策を採用したりします。

個人的には、制度が受け入れられた時点では、単に「使える」ということが目標で、使いやすいか、安全かといったことは考慮されていなかったように思います。多くのプロジェクトでは、このような要件は比較的低いレベルにあります。

Sohu IT: 12306 ウェブサイトの全体的なセキュリティ レベルをどのように評価していますか? CSDN、Alibaba、Tianya などへの過去の攻撃と比較して、その防御能力はどの程度ですか?

張百川:低いです!前述のように、彼ら自身もきちんとした対策を講じておらず、サードパーティのセキュリティ保護対策も使用していません。たとえば、SQLインジェクション文やXSSクロスサイト文を直接送信することができ、セキュリティ保護システムを回避するためにコードの変形を考慮する必要さえありません。

ネットでニュースを読んでみると、CSDN がハッキングされたのは SQL インジェクションの脆弱性のためだとわかりました。Alibaba と Tianya については、ネット上に詳しい説明がないので、判断が難しいです。深刻かどうかは、データベースがダウンロードされて大量に拡散されるかどうかによります... 前述のいくつかの Web サイトのデータベースと同様に、それらはすべてサークル内で循環しています。

Sohu IT: 12306 ウェブサイトをどのように評価しますか? Tiekexue に対して何か良い提案はありますか?

張百川:オープンになりましょう!独占を放棄し、気取りを捨て、Sohu、Sina、Alibaba(Taobao)、Tencent、JD.comなどのチームを積極的に招待して現状を議論し、解決策を見つけましょう。上記のウェブサイトは、大規模かつ高度な同時実行性を備えたウェブサイトの運用において非常に優れた経験を持っています。

個人的には、列車の切符は地方の鉄道局の管理下にあるため、配布して、データベースを分離して各鉄道局のコンピュータ室に置くことで、圧力を分散し、1つのWebサイトへの同時アクセスを複数のWebサイトに変えることもできると考えています。さらに、ほとんどのユーザーは近くのサーバーにアクセスするため、速度が速くなり、負担が軽減されます。

相談12306 パート4: 製品設計チームの経験不足

12306との協議その3:大きな抜け穴により数億人のユーザーの情報漏洩につながる可能性

12306との協議第2部:システムがオープンでなければ、3億元の投資が無駄になる可能性がある

専門家相談12306:ビジネスモデルから製品設計まで、プロではない

原題: 相談12306 パート5: システムは制限されており、セキュリティ上の脆弱性が高い

キーワード: 相談、12306、5 番、システム、限定、使用可能、安全、脆弱性レベル、高、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、収益化

<<:  Googleは、ドメイン名のマッチングに頼って上位に表示される低品質のウェブサイトを取り締まるため、アルゴリズムを調整した。

>>:  Baidu外部リンクの異常変化の分析方法

推薦する

racknerd: 年間 16.5 ドル、ロサンゼルス VPS、1.5G メモリ/1 コア/20g ハード ドライブ/3TB トラフィック

Racknerd は、米国ロサンゼルスの multacom データセンター専用の VPS を宣伝して...

ccihosting-パナマホスト/苦情防止ホスト/著作権フリーホスト/無制限コンテンツホスト

ccihosting.com は、2002 年に設立されたパナマのホスティング会社です。著作権、反苦...

yesuphost-カナダの苦情防止サーバー/超大規模トラフィック(最小 100T)/DDoS 保護/月額 29 ドル

yesuphost.com を紹介します。カナダに 4,000 平方フィート以上の面積を持つ独自のコ...

誠実な推薦を得ることが鍵です。リンク構築はウェブサイトの宣伝と同じではありません。

GoogleとBingに続き、Baiduも「過度なリンク交換」に対する厳しい取り締まりを開始しました...

layerhost: 月額 4.99 ドル、ロサンゼルス VPS、PCCW、1G メモリ/1 コア/70g SSD/2T トラフィック

レイヤーホストのVPSは、当初の月額20ドルから現在の人気価格まで、新たな変革を迎えました。依然とし...

UCloud 分散データベース UDDB: 技術的な実装

これに先立ち、UDDBの機能的特徴や製品コンセプトを紹介し、データベースミドルウェアをベースとしたパ...

【最新ニュース】BandwagonHost香港VPSテストIP+ダウンロードファイル公開、BandwagonHost香港直結VPS

今月初め、BandwagonHost が香港データセンターを立ち上げる予定であることがインターネット...

velocihost-6.5 USD/512 MB RAM/10 GB SSD/1 TB データ/G ポート

velocihost データ センター: フロリダ州マイアミ、PCI DVPS 準拠データ センター...

WeChatミニプログラムのMAUは4億7000万で、そのうちミニゲームが28%を占めている。

現在、WeChatミニプログラムの月間アクティブユーザー数は4億7000万人に達しており、3月のアク...

遠方からのお客様、ぜひご宿泊ください。ウェブサイトのユーザー増加システムは真剣に受け止めなければなりません。

今回はMADCINカンファレンスに出席するために再び厦門に戻り、有名な旅行ウェブサイトを通じてホテル...

対外貿易促進方法:対外貿易商品情報のタイトルを最適化するには?

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています対外貿易プ...

地域の親子ウェブサイトの運営に関するいくつかの考察

少し前に、A5 ウェブマスターのウェブサイトで「インターネット ローカリゼーション需要の次のトレンド...

徳勝企業経営の事例から見るSEO企業経営

まず最初に、この記事はタイトルから記事の最後まで、いかなる民間団体の宣伝も目的としていないことを明言...

VPS IP が「不明瞭」になることをまだ心配していますか?格安 VPS マーチャント Hiformance がお手伝いします!

過去2日間、あまりにも多くのIPが「言葉にできない」問題により「言葉にできない」状態になりました。多...

ブランドマーケティングはユーザーのニーズをどのように捉えるのでしょうか?

車を移動手段として捉える人もいれば、車を「恋人」として捉える人もおり、捉え方やニーズは人それぞれです...