铁道部购票网站存泄密危险 CDN服务商技术短板是主因

     <div id="news_body">     <p>        2012年，顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施，对于众多渴望年底回家团年，顺利买到火车票的消费者是重大利好，如果一切顺利，这无疑是铁道部为消费者干得最漂亮的一件实事。</p>     <p>        中国铁路客户服务中心网(www.12306.cn)是网购火车票的唯一官方网站，但从 12306 网站正式上线至今，由于访问量过大，不少旅客在 12306 网购车票时，频频遭遇“系统忙”而无法访问。对此，铁道部表示正在不断优化相关程序，完善设备设施，增加网络带宽，努力改进工作。</p>     <p style="text-align:center;"><img border="0" alt="铁道部购票网站存泄密危险 CDN服务商技术短板是主因" src="https://simg.open-open.com/show/8b49b95ef7df0fb87d0bafbbc0ace78e.jpg" width="500" height="375" /></p>     <p style="text-align:center;">        图注：从 12360 网站上线开始其访问量持续攀升</p>     <p>        我们愿意相信这些问题也仅仅属于短期或个别，且可以通过申诉解决。但一个更大的隐患正在显现，近日，在国内知名的技术论坛 CSDN 上，一位名叫”特总兵-AK47”的网友研究发现 12306 网络售票网站存在安全问题，他认为铁道部购票网站可能造成另一次的密码危机。</p>     <p>        这位网友认为，12306网站的前端基本架构是 jQuery+Struts+CDN (即 content distribution network)，其中的 CDN 服务(内容分发加速网络)是网宿科技由支持。而铁道部互联网售票系统集成项目则由太极软件负责。</p>     <p>        而据媒体此前报道称，网宿科技自 2010 年起两项主营业务 CDN 和 IDC (互联网数据中心)毛利率均迅速大幅下降。而网宿科技的解决之道则是开始走低价路线，“在没有技术优势的前提下，网宿科技打出了最擅长的低价牌，然而号称 要做行内龙头企业的网宿科技，在高科技旗下的低价路线，面对着不断上涨的营业成本，似乎已经走上了一条不归路。”</p>     <p>        而低价可能是铁道部最终选择网宿科技的原因之一。这造成的直接结果必然是技术层面的缺陷和安全问题隐患。</p>     <p>        <strong>该人士列举了目前为止在 12306 发现的几项安全漏洞：</strong></p>     <p>        <strong>第一、不安全。</strong>查询列车信息的 querySingleAction.do，并没有用 JS 语言记录，而是用更易看懂的 HTML 上传;且用户信息采用明文记录，网络爬虫可轻松抓取。</p>     <p style="text-align:center;"><img border="0" alt="铁道部购票网站存泄密危险 CDN服务商技术短板是主因" src="https://simg.open-open.com/show/3f13b36e047ee1bc6310142e8f38e1e9.jpg" width="483" height="178" /></p>     <p style="text-align:center;">        图注：用户信息采用明文记录，网络爬虫可轻松抓取</p>     <p>        <strong>第二、速度慢。</strong>系统将 JS 和 CSS 加载起来毫无意义，用户点击“预定按钮”，就会跳出了 33 个 CSS 格式请求，每个耗时5-6秒的，直接造成网络繁忙;网站全部采用旧时的 iframe 架构，每次点击时候都要全部加载页面，极大拖慢网速。</p>     <p style="text-align:center;"><img border="0" alt="铁道部购票网站存泄密危险 CDN服务商技术短板是主因" src="https://simg.open-open.com/show/ce9b84351b6fff829514df60f31e7044.jpg" width="500" height="315" /></p>     <p>        图注：加载 JS 和 CSS 毫无意义，只会极大拖慢网速</p>     <p>        <strong>第三、技术落后。</strong>除了上面提到的 iframe 架构，网站仅裁用了 DHTMLX 2.0 版本，而现在业界普遍适用的早已升级到3.0版本。</p>     <p style="text-align:center;"><img border="0" alt="铁道部购票网站存泄密危险 CDN服务商技术短板是主因" src="https://simg.open-open.com/show/35bad296377ebcb9bb1149c7249c3116.jpg" width="500" height="287" /></p>     <p style="text-align:center;">        图注：DHTMLX 都已经升级到3.0啦，竟然用的2.0</p>     <p>        这些安全漏洞的存在，似乎也让 12306 目前出现的种种问题显得不足为奇。网友”特总兵-AK47”认为，12360目前遇到的问题完全不是带宽的问题，真正的问题在于该网站的内容分发系统完全 没有在做负载均衡处理。同时，他还向铁道部支招，“其实解决这个问题很简单，把网络传输的内容减少 90% 就可以。”(恰克)</p>     <div id="come_from">      来自:      <a id="link_source2" href="/misc/goto?guid=4958324500195673540" target="_blank">TechWeb</a>     </div>    </div>