|
又到一年“抢票”时。12306 近日新版网站内上线,但却被频繁曝出安全漏洞。据国内安全问题反馈平台 WooYun (乌云)爆料,于 12 月 6 日刚刚上线“自动抢票”功能的新版 12306 网站系统出现重大漏洞,其图片验证码已被技术人士破解。 以下是具体漏洞细节和破解信息: 图形验证码非常简单,简单的程序即可识别。 12306 的验证码抗干扰难度很低。利用 photoshop 的色调分离技术,即可得到辨识度很高的图片。色调分离很容易实现,比如当参数为 3 时,会把图片红蓝绿每个通道简化成 3 个颜色值, 并最终形成3×3 = 9 个颜色值。 然后配上简单的优化,即把没有上下相邻都没有颜色的点排除掉。 将此图片交给 Tesseract-OCR,识别率为 10%,配上代理服务器,用户将可随意拖库、抢票。 漏洞证明: 色调分离的代码实现 识别验证码所用的样本图片: 实验结果,采集途径北京北站的火车: 既做裁判员又做运动员 与浏览器抢票插件之间的“拉锯战”由来已久。今年 1 月,金山、奇虎 360、搜狗等互联网企业纷纷推出抢票软件或浏览器抢票插件,但推出不久之后便纷纷遭铁道部(现中国铁路总公司前身)封杀,部分浏览器厂商甚至被铁道部约谈,引发诸多争议。 有业内人士指出,此次 12306 网站图片验证码被破解,意味着众多互联网公司推出的“抢票”将摆脱铁路官方的掣肘,顺利“刷票”。 “12306 网站和市场上的抢票系统同为商业化运营,铁路自己既做裁判员又做运动员。12306 网站时现瘫痪,也应让其正视自身的软肋所在。”IT 与知识产权律师赵占领此前在接受《新金融》采访时作出上述评论。
| 
