安全專家揭黃牛刷票原理：12306網站驗證碼存漏洞

人民網北京1月10日電（崔雷）近日，中央電視臺新聞欄目曝光了利用12306網站的漏洞，借助電子搶票軟件非法牟利的消息，立刻引起社會關注。根據調查，12306網站在售退票過程中多個環節存在漏洞。

根據報道，網上流行著許多搶票軟件，其中還包括收費的搶票工具，從幾元幾十元一個的“個人版”，到收費上千元每月的“企業版”，價格不等功能不一。

記者昨天聯系到獵豹公司相關負責人。對方表示，這些刷屏軟件可以避開12306網站的購票規則，并且能夠輕松繞過其技術限制，大量刷得火車票。

據了解，12306網站為防止機器幕后操縱，特意對訂票過程設置限制，即兩次查票時間間隔不低于5秒，登陸和提交訂單時需輸入驗證碼。同時規定，普通用戶通過12306每次只能買5張票。

上述負責人表示，通過調查他們發現，這些刷屏軟件可以自動尋找12306網站速度最好的服務器，提高刷屏成功的幾率，然后利用網站驗證碼漏洞以毫秒速度自動輸入驗證碼，并且可以規避5秒查票時間間隔，沒有了這些限制之后，刷屏軟件可以比常人手動搶票快“上百倍”。

利用上述刷票軟件，一些通過刷票倒賣火車票的“網絡黃牛”在成功繞過驗證、自動刷票、毫秒搶票之后提前利用假身份證注冊上千個賬號，然后批量導入這些賬號同時刷票，一次性就可搶到上千張票，甚至一整節車廂的票都能被瞬間搶走。有網友直呼，“黃牛軟件才真正是‘狂拽吊炸天’的搶票神器啊”。

通過對12306網站的分析，獵豹安全專家發現，12306網站對訂單提交驗證碼時校驗不嚴，沒有保證進入提交頁后獲取。該漏洞導致刷票軟件可以直接獲得驗證碼圖片，查票完成后，直接提交訂單，跳過驗證碼環節。

對此，安全專家建議12306網站修改驗證碼機制，采用人工智能驗證碼。比如問題是，足球和乒乓球哪個大？答案是足球。1+3=幾，答案是4。用戶只需輸入“足球”或者“4”就可以通過驗證。這種驗證碼，機器極難回答，而人工很容易回答。

根據報道，12306網站在身份證驗證方面并沒有與公安機關進行身份證系統的對接，也為“網絡黃牛”提供了可乘之機，導致大量車票流入不發之徒手中。安全專家建議12306網站與公安機關進行身份證系統的對接，用戶注冊和購票時，需要提供真實有效的身份證信息。