2014年8月4日 星期一

12306曝重大漏洞 難擋“刷票”插件



又到一年“搶票”時。12306近日新版網站內上線,但卻被頻繁曝出安全漏洞。據國內安全問題反饋平臺WooYun(烏雲)會員爆料,於12月6日剛剛上線“自動搶票”功能的新版12306網站系統出現重大漏洞,其圖片驗證碼已被技術人士破解。



以下是具體漏洞細節和破解信息:



圖形驗證碼非常簡單,簡單的程序即可識別。



12306曝重大漏洞 難擋



12306曝重大漏洞 難擋“刷票”



12306的驗證碼抗幹擾難度很低。利用photoshop的色調分離技術,即可得到辨識度很高的圖片。色調分離很容易實現,比如當參數為 3 時,會把圖片紅藍綠每個通道簡化成 3 個顏色值, 並最終形成 3 x 3 = 9 個顏色值。



12306曝重大漏洞 難擋



12306曝重大漏洞 難擋“刷票”



然後配上簡單的優化,即把沒有上下相鄰都沒有顏色的點排除掉。



12306曝重大漏洞 難擋



12306曝重大漏洞 難擋“刷票”



12306曝重大漏洞 難擋“刷票”



將此圖片交給 Tesseract-OCR,識別率為10%,配上代理服務器,用戶將可隨意拖庫、搶票。



漏洞證明:



色調分離的代碼實現



12306曝重大漏洞 難擋“刷票”



12306曝重大漏洞 難擋



識別驗證碼所用的樣本圖片:



12306曝重大漏洞 難擋



12306曝重大漏洞 難擋“刷票”



實驗結果,采集途徑北京北站的火車



12306曝重大漏洞 難擋



12306曝重大漏洞 難擋“刷票”



既做裁判員又做運動員



與瀏覽器搶票插件之間的“拉鋸戰”由來已久。今年1月,金山、奇虎360、搜狗等互聯網企業紛紛推出搶票軟件或瀏覽器搶票插件,但推出不久之後便紛紛遭鐵道部(現中國鐵路總公司前身)封殺,部分瀏覽器廠商甚至被鐵道部約談,引發諸多爭議。



有業內人士指出,此次12306網站圖片驗證碼被破解,意味著眾多互聯網公司推出的“搶票”將擺脫鐵路官方的掣肘,順利“刷票”。



“12306網站和市場上的搶票系統同為商業化運營,鐵路自己既做裁判員又做運動員。12306網站時現癱瘓,也應讓其正視自身的軟肋所在。”IT與知識產權律師趙占領此前在接受《新金融》采訪時作出上述評論。





Orignal From: 12306曝重大漏洞 難擋"刷票"插件

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。