铁道部购票网站曝CDN技术短板 存在泄密危险

系统
2012年,顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施,对于众多渴望年底回家团年,顺利买到火车票的消费者是重大利好,如果一切顺利,这无疑是铁道部为消费者干得最漂亮的一件实事。

2012年,顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施,对于众多渴望年底回家团年,顺利买到火车票的消费者是重大利好,如果一切顺利,这无疑是铁道部为消费者干得最漂亮的一件实事。

中国铁路客户服务中心网(www.12306.cn)是网购火车票的唯一官方网站,但从12306网站正式上线至今,由于访问量过大,不少旅客在12306网购车票时,频频遭遇“系统忙”而无法访问。对此,铁道部表示正在不断优化相关程序,完善设备设施,增加网络带宽,努力改进工作。

 

铁道部购票网站曝CDN技术短板 存在泄密危险

 

从12360网站上线开始其访问量持续攀升

我们愿意相信这些问题也仅仅属于短期或个别,且可以通过申诉解决。但一个更大的隐患正在显现,近日,在国内知名的技术论坛CSDN上,一位名叫”特总兵-AK47”的网友研究发现12306网络售票网站存在安全问题,他认为铁道部购票网站可能造成另一次的密码危机。

这位网友认为,12306网站的前端基本架构是jQuery+Struts+CDN(即content distribution network),其中的CDN服务(内容分发加速网络)是网宿科技由支持。而铁道部互联网售票系统集成项目则由太极软件负责。

而据媒体此前报道称,网宿科技自2010年起两项主营业务CDN和IDC(互联网数据中心)毛利率均迅速大幅下降。而网宿科技的解决之道则是开始走低价路线,“在没有技术优势的前提下,网宿科技打出了最擅长的低价牌,然而号称要做行内龙头企业的网宿科技,在高科技旗下的低价路线,面对着不断上涨的营业成本,似乎已经走上了一条不归路。”

而低价可能是铁道部最终选择网宿科技的原因之一。这造成的直接结果必然是技术层面的缺陷和安全问题隐患。

该人士列举了目前为止在12306发现的几项安全漏洞:

第一、不安全。查询列车信息的querySingleAction.do,并没有用JS语言记录,而是用更易看懂的HTML上传;且用户信息采用明文记录,网络爬虫可轻松抓取。

 

铁道部购票网站曝CDN技术短板 存在泄密危险

 

用户信息采用明文记录,网络爬虫可轻松抓取

第二、速度慢。系统将JS和CSS加载起来毫无意义,用户点击“预定按钮”,就会跳出了33个CSS格式请求,每个耗时5-6秒的,直接造成网络繁忙;网站全部采用旧时的iframe架构,每次点击时候都要全部加载页面,极大拖慢网速。

 

铁道部购票网站曝CDN技术短板 存在泄密危险

 

加载JS和CSS毫无意义,只会极大拖慢网速

第三、技术落后。除了上面提到的iframe架构,网站仅裁用了DHTMLX 2.0版本,而现在业界普遍适用的早已升级到3.0版本。

 

铁道部购票网站曝CDN技术短板 存在泄密危险

 

DHTMLX都已经升级到3.0啦,竟然用的2.0

这些安全漏洞的存在,似乎也让12306目前出现的种种问题显得不足为奇。网友”特总兵-AK47”认为,12360目前遇到的问题完全不是带宽的问题,真正的问题在于该网站的内容分发系统完全没有在做负载均衡处理。同时,他还向铁道部支招,“其实解决这个问题很简单,把网络传输的内容减少90%就可以。”

【编辑推荐】

  1. 专访抚琴煮酒:漫谈CDN运维与电子商务运维
  2. 微软AJAX CDN功能简介 免费AJAX缓存支持
  3. CDN实现网站与用户零距离接触
责任编辑:Yeva 来源: TechWeb
相关推荐

2012-01-05 17:26:58

2012-09-19 09:35:10

铁道部

2012-09-19 09:23:18

铁道部

2012-09-21 09:13:52

铁道部

2012-01-06 10:16:14

订票网站11大电商网站

2010-01-19 21:13:50

铁道建设负载均衡Radware

2012-02-09 20:29:13

美信云网管

2014-01-13 11:27:46

12306官网互联网思维铁道部

2013-01-24 21:14:42

抢票软件网站安全360安全中心

2009-01-18 09:39:03

2012-01-11 10:11:08

2013-01-18 09:43:48

2011-01-21 17:08:39

火车票

2014-01-08 10:18:30

2012-01-06 10:14:30

2012-11-15 09:40:18

2013-01-21 16:02:29

Chrome抢票

2012-01-06 10:25:53

2012-01-04 12:56:07

2013-10-31 10:12:23

信息泄露防护溢信科技防泄密
点赞
收藏

51CTO技术栈公众号