從12360網(wǎng)站上線開始其訪問量持續(xù)攀升

我們愿意相信這些問題也僅僅屬于短期或個別，且可以通過申訴解決。但一個更大的隱患正在顯現(xiàn)，近日，在國內(nèi)知名的技術論壇CSDN上，一位名叫”特總兵-AK47”的網(wǎng)友研究發(fā)現(xiàn)12306網(wǎng)絡售票網(wǎng)站存在安全問題，他認為鐵道部購票網(wǎng)站可能造成另一次的密碼危機。

這位網(wǎng)友認為，12306網(wǎng)站的前端基本架構是jQuery+Struts+CDN(即content distribution network)，其中的CDN服務(內(nèi)容分發(fā)加速網(wǎng)絡)是網(wǎng)宿科技由支持。而鐵道部互聯(lián)網(wǎng)售票系統(tǒng)集成項目則由太極軟件負責。

而據(jù)媒體此前報道稱，網(wǎng)宿科技自2010年起兩項主營業(yè)務CDN和IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)毛利率均迅速大幅下降。而網(wǎng)宿科技的解決之道則是開始走低價路線，“在沒有技術優(yōu)勢的前提下，網(wǎng)宿科技打出了最擅長的低價牌，然而號稱要做行內(nèi)龍頭企業(yè)的網(wǎng)宿科技，在高科技旗下的低價路線，面對著不斷上漲的營業(yè)成本，似乎已經(jīng)走上了一條不歸路。”

而低價可能是鐵道部最終選擇網(wǎng)宿科技的原因之一。這造成的直接結果必然是技術層面的缺陷和安全問題隱患。

該人士列舉了目前為止在12306發(fā)現(xiàn)的幾項安全漏洞：

第一、不安全。查詢列車信息的querySingleAction.do，并沒有用JS語言記錄，而是用更易看懂的HTML上傳;且用戶信息采用明文記錄，網(wǎng)絡爬蟲可輕松抓取。

用戶信息采用明文記錄，網(wǎng)絡爬蟲可輕松抓取

第二、速度慢。系統(tǒng)將JS和CSS加載起來毫無意義，用戶點擊“預定按鈕”，就會跳出了33個CSS格式請求，每個耗時5-6秒的，直接造成網(wǎng)絡繁忙;網(wǎng)站全部采用舊時的iframe架構，每次點擊時候都要全部加載頁面，極大拖慢網(wǎng)速。

加載JS和CSS毫無意義，只會極大拖慢網(wǎng)速

第三、技術落后。除了上面提到的iframe架構，網(wǎng)站僅裁用了DHTMLX 2.0版本，而現(xiàn)在業(yè)界普遍適用的早已升級到3.0版本。

DHTMLX都已經(jīng)升級到3.0啦，竟然用的2.0

這些安全漏洞的存在，似乎也讓12306目前出現(xiàn)的種種問題顯得不足為奇。網(wǎng)友”特總兵-AK47”認為，12360目前遇到的問題完全不是帶寬的問題，真正的問題在于該網(wǎng)站的內(nèi)容分發(fā)系統(tǒng)完全沒有在做負載均衡處理。同時，他還向鐵道部支招，“其實解決這個問題很簡單，把網(wǎng)絡傳輸?shù)膬?nèi)容減少90%就可以。”

huanghui