安全专家诊断12306网站：三大因素或导致“串号”

    图：“李春雨”出现在大量12306用户登录页面中
   
    春运售票首日，12306网站爆发“串号”现象，时间持续近一个小时，并导致部分用户个人资料泄露。从360安全中心的技术专家获悉，12306网站“串号”主要存在三种可能性，包括网站信息泄露漏洞、CDN配置问题或网站服务器身份识别发生错误。

    当天下午15点开始，用户登录12306后显示一个名为“李春雨”的账号，还能看到很多陌生人的账号资料，直到15点49分恢复正常。无论是哪个地区用户、使用哪款浏览器，都发现有“串号”现象，可以排除运营商劫持等其他因素，确定是12306网站自身的漏洞。

    据了解，360安全中心监测到12306网站“串号”漏洞后，在官方微博国内 发布安全警报，并通知12306网站和国家互联网应急中心，帮助12306紧急修复。360网站安全总监赵武分析认为，此次12306“串号”可能是以下三种原因造成的：

    一、网站存在信息泄露漏洞，导致登录账户后出现他人资料。此问题的根源在于网站代码编写质量缺陷，没有严格按照安全规范执行；

    二、网站CDN配置问题，导致用户能获取到他人账号信息。网站CDN缓存了带有用户session（ 标示符）信息的网页，当用户A登录时，服务端返回页面内容被CDN缓存，此后同网络的用户B也访问了该网站，可能直接取得了刚才CDN缓存的用户A的登录信息，从而导致不同用户间串号；

    三、网站服务器身份识别发生错误，导致用户会话session取值不对，也可能造成用户账号出现异常。

    发布的《2013年中国网站安全报告》显示，国内65.5%的网站存在各类漏洞，此次12306“串号”也让更多公众关注到网站安全问题。针对网站“串号”现象，360网站安全检测平台建议：

    第一、网站应在session算法中加入服务器IP地址、本地时间戳、用户IP、用户ID等信息，以做到session设计全局 ；

    第二、建议网站增加“加锁”机制，以确保在该session会话信息未删除前不可被再次使用；

    第三、建议12306网站在请求中增加动态随机数或改为HTTPS方式，以解决CDN缓存配置不当的问题。

    针对普通网友，360安全专家建议12306用户尽快修改密码，以免“串号”导致用户权限混乱带来安全隐患。此外，用户也应防范可能出现的购票欺诈，不轻信以“12306客服”等名义发来的可疑信息。