相談12306第5号：システムが限定されており、セキュリティの脆弱性レベルが高い

9月29日朝のニュース：鉄道省の12306ウェブサイトで暴露されたセキュリティの抜け穴が業界で大きな反響を呼んでいる。ネットワークセキュリティ専門家の張氏はSohu ITとのインタビューで、この脆弱性は最も深刻なセキュリティレベルに達していると述べた。時間内にブロックされなければ、チケット予約情報を含むデータベースに保存された個人情報が他人に取得される「可能性がある」という。

Sohu ITが12306ウェブサイトの構造を独占的に分析

張百川氏は、プログラミングのプロセスが厳密ではなく、データベースの知識も不十分だったと語り、システムを構築する際には、多角的な視点で検討することなく、「使える」ことだけに焦点を当てていた。鉄道省は「開放せよ！独占を放棄し、気取りを捨て、捜狐、新浪、アリババ（タオバオ）、テンセント、JD.comなどのチームを積極的に招き、現状を議論し、解決策を見つけなければならない」と提言されている。

以下はSohu ITによる張百川氏へのインタビューの全文です。

Sohu IT：鉄道部の12306ウェブサイトで現在露出している脆弱性のレベルはどの程度ですか？また、被害はどの程度深刻ですか？

Zhang Baichuan: SQL インジェクションと XSS のクロスサイト脆弱性があることがわかりました。これら 2 つは、さまざまな Web サイト セキュリティ評価ソフトウェアで一般的に高い評価を受けています。なぜなら、それらのほとんどは、管理者のアカウント、パスワード（バックエンドのアドレスがわかればログインできます）、チケットの予約情報などのデータを取得できるからです。もっと深刻なことに言えば、チケット予約情報を含むデータベースに保存されている個人情報が取得される「可能性がある」のです。 （可能だと言ったのは、データベースを入手したと公言した人がいないからですが、不可能というわけではありません。結局、法的リスクが大きすぎるし、入手したとしても公言しないでしょう。）

Sohu IT: 現在 12306 の Web サイトで公開されている脆弱性を攻撃するのはどの程度難しいのでしょうか?

Zhang Baichuan: SQL インジェクションとクロスサイト XSS に関しては、悪用の難易度は異なります。最も低いレベルでは、ツールを使用して 1 分でデータベースのデータを取得できます。難易度が高い場合は、ツールと手動攻撃を組み合わせて使用​​できます。同じ脆弱性であっても、それを悪用する難しさは大きく異なる可能性があります。 12306 の抜け穴は、少なくとも「最も愚かな」ものではありません。そうでなければ、練習していた中学生に発見されていたでしょう。

Sohu IT: なぜ 12306 の Web サイトにこのような抜け穴があったのでしょうか? その理由は何ですか? 技術レベルはどの程度ですか?

張百川：プログラミングのプロセスが厳密ではなく、データベースの知識も不十分でした。システムを構築する際、さまざまな角度から検討することなく、「動作する」ことだけに焦点を当てていました。

たとえば、Weibo で明らかになった SQL インジェクションの脆弱性や XSS クロスサイト脆弱性は、セキュリティ意識の欠如、またはセキュリティ意識の低さが原因です。 「卒業プロジェクトでしょ？」って言う人もいるけど、私もそう思います。

さらに、セキュリティ界隈の友人らが実施したテストによると、セキュリティリスク自体があり、サードパーティのセキュリティ保護対策は採用されていないとのこと。たとえば、侵入防止システムや WEB アプリケーション ファイアウォールを導入したり、現在一部のメーカーで使用されているクラウド セキュリティ対策を採用したりします。

個人的には、制度が受け入れられた時点では、単に「使える」ということが目標で、使いやすいか、安全かといったことは考慮されていなかったように思います。多くのプロジェクトでは、このような要件は比較的低いレベルにあります。

Sohu IT: 12306 ウェブサイトの全体的なセキュリティ レベルをどのように評価していますか? CSDN、Alibaba、Tianya などへの過去の攻撃と比較して、その防御能力はどの程度ですか?

張百川：低いです！前述のように、彼ら自身もきちんとした対策を講じておらず、サードパーティのセキュリティ保護対策も使用していません。たとえば、SQLインジェクション文やXSSクロスサイト文を直接送信することができ、セキュリティ保護システムを回避するためにコードの変形を考慮する必要さえありません。

ネットでニュースを読んでみると、CSDN がハッキングされたのは SQL インジェクションの脆弱性のためだとわかりました。Alibaba と Tianya については、ネット上に詳しい説明がないので、判断が難しいです。深刻かどうかは、データベースがダウンロードされて大量に拡散されるかどうかによります... 前述のいくつかの Web サイトのデータベースと同様に、それらはすべてサークル内で循環しています。

Sohu IT: 12306 ウェブサイトをどのように評価しますか? Tiekexue に対して何か良い提案はありますか?

張百川：オープンになりましょう！独占を放棄し、気取りを捨て、Sohu、Sina、Alibaba（Taobao）、Tencent、JD.comなどのチームを積極的に招待して現状を議論し、解決策を見つけましょう。上記のウェブサイトは、大規模かつ高度な同時実行性を備えたウェブサイトの運用において非常に優れた経験を持っています。

個人的には、列車の切符は地方の鉄道局の管理下にあるため、配布して、データベースを分離して各鉄道局のコンピュータ室に置くことで、圧力を分散し、1つのWebサイトへの同時アクセスを複数のWebサイトに変えることもできると考えています。さらに、ほとんどのユーザーは近くのサーバーにアクセスするため、速度が速くなり、負担が軽減されます。

相談12306 パート4: 製品設計チームの経験不足

12306との協議その3：大きな抜け穴により数億人のユーザーの情報漏洩につながる可能性

12306との協議第2部：システムがオープンでなければ、3億元の投資が無駄になる可能性がある

専門家相談12306：ビジネスモデルから製品設計まで、プロではない

原題: 相談12306 パート5: システムは制限されており、セキュリティ上の脆弱性が高い

キーワード: 相談、12306、5 番、システム、限定、使用可能、安全、脆弱性レベル、高、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、収益化