|
為了能囤到票,如今的黃牛都玩起了“技術(shù)活兒”。昨日央視《新聞30分》報道,部分黃牛利用搶票軟件,10分鐘就能刷走1245張火車票。 央視記者走訪發(fā)現(xiàn),黃牛使用搶票軟件在12306網(wǎng)站自動反復(fù)刷票,由于搶票軟件突破了12306設(shè)置的每5秒才能刷新一次的限制,把時間縮短到毫秒,購票速度更快。 此外,在購買過程中,搶票軟件無需手動輸入信息且可以毫秒速度自動識別驗證碼,使用多個賬號和大量虛假身份信息,最快幾秒鐘就可把整趟列車的票囤個精光。 上午《法制晚報》記者采訪一名IT技術(shù)人士,他表示,黃牛在倒票過程中,主要是利用12306設(shè)置的“45分鐘[url=]支付[/url]期”這一時間差,反復(fù)搶票、賣票、退票再搶票,循環(huán)地保證這部分票一直控制在手。而幫助黃牛實現(xiàn)這一流程的,主要有三大漏洞。 1 造假 漏洞:身份信息無驗證 黃牛通過算號軟件或者在線算號網(wǎng)站,只要指定出生地、出生日期及性別,即可生成無數(shù)格式正確的身份證號碼。隨意復(fù)制其中的一個身份證號并任意填寫乘客姓名,在12306網(wǎng)站都可以成功訂票。 分析:假身份信息之所以能夠成功購買車票,是因為12306并沒有與公安系統(tǒng)聯(lián)網(wǎng),無法對身份證號等信息進行審核。在未與公安系統(tǒng)聯(lián)網(wǎng)的情況下,12306本身只能檢測身份證最后一位的運算邏輯,但算號軟件早已經(jīng)解決了這個問題,因此12306無法檢測身份信息真?zhèn)巍?/p> 建議 只要把身份信息、手機號等與公安系統(tǒng)掛鉤驗證,即可有效堵住這一漏洞。 2 搶票 漏洞:刷新、輸碼全自動 通過搶票軟件,每臺[url=]電腦[/url]可同時登錄幾十個賬號,黃牛只需多開幾臺電腦,再利用大量虛假身份信息去“占”票即可。12306規(guī)定一個賬號最多可購買5張票,即使按每臺電腦開20個賬號來算,理論上來講每臺電腦在同一時間可以搶到100張票。 分析:12306賬號目前很容易就能實現(xiàn)雙開,因此黃牛同時可搶到的票數(shù)量會更多。雖然12306設(shè)置兩次查詢必須間隔5秒,但搶票軟件突破了這一限制,把刷新時間縮短到毫秒;此外,搶票軟件能自動識別驗證碼。通過上述手段,黃牛的下單速度更快,幾乎可以秒購整節(jié)車廂甚至整列火車的票。 建議 可以對同一IP或同一[url=]網(wǎng)卡[/url]MAC地址登錄的賬號數(shù)量進行限制,減少黃牛刷票量,同時縮短站內(nèi)刷票時間。此外,在驗證碼上進行加密或二級的技術(shù)手段或漢字,應(yīng)該是更好的方式。 3 倒票 漏洞:退票流程不設(shè)限 成功囤票后,黃牛立即在線上兜售。若有顧客付款,他們馬上退票,同時用搶票軟件不斷刷新,以便退票進入票倉后第一時間搶到,之后再用顧客的真實身份信息付款。若票未賣出,則將剩票退票,此后再度用搶票軟件搶回來。 分析:12306網(wǎng)站設(shè)置了45分鐘的支付期,這段時間內(nèi)不付款也可保留這張票,黃牛正是利用這一時間差反復(fù)搶票退票再搶,始終掌握這部分票。此外,在12306退票無任何驗證流程,雖然春運期間退票手續(xù)費提高到20%,但這部分費用最后會轉(zhuǎn)嫁給購票者,黃牛并不擔(dān)心。 建議 防黃牛倒票,關(guān)鍵要在退票流程下工夫,比如設(shè)置同一賬號一段時間的退票次數(shù)等,防止黃牛搶票后反復(fù)倒票。
|
|
安全專家揭黃牛刷票原理:12306網(wǎng)站驗證碼存漏洞 人民網(wǎng)北京1月10日電(崔雷)近日,中央電視臺新聞欄目曝光了利用12306網(wǎng)站的漏洞,借助電子搶票軟件非法牟利的消息,立刻引起社會關(guān)注。根據(jù)調(diào)查,12306網(wǎng)站在售退票過程中多個環(huán)節(jié)存在漏洞。 根據(jù)報道,網(wǎng)上流行著許多搶票軟件,其中還包括收費的搶票工具,從幾元幾十元一個的“個人版”,到收費上千元每月的“企業(yè)版”,價格不等功能不一。 記者昨天聯(lián)系到獵豹公司相關(guān)負(fù)責(zé)人。對方表示,這些刷屏軟件可以避開12306網(wǎng)站的購票規(guī)則,并且能夠輕松繞過其技術(shù)限制,大量刷得火車票。 據(jù)了解,12306網(wǎng)站為防止機器幕后操縱,特意對訂票過程設(shè)置限制,即兩次查票時間間隔不低于5秒,登陸和提交訂單時需輸入驗證碼。同時規(guī)定,普通用戶通過12306每次只能買5張票。 上述負(fù)責(zé)人表示,通過調(diào)查他們發(fā)現(xiàn),這些刷屏軟件可以自動尋找12306網(wǎng)站速度最好的服務(wù)器,提高刷屏成功的幾率,然后利用網(wǎng)站驗證碼漏洞以毫秒速度自動輸入驗證碼,并且可以規(guī)避5秒查票時間間隔,沒有了這些限制之后,刷屏軟件可以比常人手動搶票快“上百倍”。 利用上述刷票軟件,一些通過刷票倒賣火車票的“網(wǎng)絡(luò)黃牛”在成功繞過驗證、自動刷票、毫秒搶票之后提前利用假身份證注冊上千個賬號,然后批量導(dǎo)入這些賬號同時刷票,一次性就可搶到上千張票,甚至一整節(jié)車廂的票都能被瞬間搶走。有網(wǎng)友直呼,“黃牛軟件才真正是‘狂拽吊炸天’的搶票神器啊”。 通過對12306網(wǎng)站的分析,獵豹安全專家發(fā)現(xiàn),12306網(wǎng)站對訂單提交驗證碼時校驗不嚴(yán),沒有保證進入提交頁后獲取。該漏洞導(dǎo)致刷票軟件可以直接獲得驗證碼圖片,查票完成后,直接提交訂單,跳過驗證碼環(huán)節(jié)。 對此,安全專家建議12306網(wǎng)站修改驗證碼機制,采用人工智能驗證碼。比如問題是,足球和乒乓球哪個大?答案是足球。1+3=幾,答案是4。用戶只需輸入“足球”或者“4”就可以通過驗證。這種驗證碼,機器極難回答,而人工很容易回答。 根據(jù)報道,12306網(wǎng)站在身份證驗證方面并沒有與公安機關(guān)進行身份證系統(tǒng)的對接,也為“網(wǎng)絡(luò)黃牛”提供了可乘之機,導(dǎo)致大量車票流入不發(fā)之徒手中。安全專家建議12306網(wǎng)站與公安機關(guān)進行身份證系統(tǒng)的對接,用戶注冊和購票時,需要提供真實有效的身份證信息。 |
