黄牛抢票利用12306网站三大漏洞:支付时间差

社区服务
高级搜索
猴岛论坛手机数码黄牛抢票利用12306网站三大漏洞:支付时间差
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
1个回复

[科技资讯]黄牛抢票利用12306网站三大漏洞:支付时间差

楼层直达
无名指的等待丶

ZxID:14931506

等级: 大元帅
╔━━━━━━━━╗ ┃爱猴岛、爱生活っ┃╚━━━━━━━━╝

举报 只看楼主 使用道具 楼主   发表于: 2014-01-13 0
黄牛抢票利用12306网站三大漏洞:支付时间差
身份信息无验证 刷新输码全自动 退票流程无限制 利用支付时间差——
  三大漏洞 助黄牛“秒票”

  春运进行时

  为了能囤到票,如今的黄牛都玩起了“技术活儿”。昨日央视《新闻30分》报道,部分黄牛利用抢票软件,10分钟就能刷走1245张火车票。

  央视记者走访发现,黄牛使用抢票软件在12306网站自动反复刷票,由于抢票软件突破了12306设置的每5秒才能刷新一次的限制,把时间缩短到毫秒,购票速度更快。

  此外,在购买过程中,抢票软件无需手动输入信息且可以毫秒速度自动识别验证码,使用多个账号和大量虚假身份信息,最快几秒钟就可把整趟列车的票囤个精光。

  上午《法制晚报》记者采访一名IT技术人士,他表示,黄牛在倒票过程中,主要是利用12306设置的“45分钟支付期”这一时间差,反复抢票、卖票、退票再抢票,循环地保证这部分票一直控制在手。而帮助黄牛实现这一流程的,主要有三大漏洞。

  1

  造假

  漏洞:身份信息无验证

  黄牛通过算号软件或者在线算号网站,只要指定出生地、出生日期及性别,即可生成无数格式正确的身份证号码。随意复制其中的一个身份证号并任意填写乘客姓名,在12306网站都可以成功订票。

  分析:假身份信息之所以能够成功购买车票,是因为12306并没有与公安系统联网,无法对身份证号等信息进行审核。在未与公安系统联网的情况下,12306本身只能检测身份证最后一位的运算逻辑,但算号软件早已经解决了这个问题,因此12306无法检测身份信息真伪。

  建议

  只要把身份信息、手机号等与公安系统挂钩验证,即可有效堵住这一漏洞。

  2

  抢票

  漏洞:刷新、输码全自动

  通过抢票软件,每台电脑可同时登录几十个账号,黄牛只需多开几台电脑,再利用大量虚假身份信息去“占”票即可。12306规定一个账号最多可购买5张票,即使按每台电脑开20个账号来算,理论上来讲每台电脑在同一时间可以抢到100张票。

  分析:12306账号目前很容易就能实现双开,因此黄牛同时可抢到的票数量会更多。虽然12306设置两次查询必须间隔5秒,但抢票软件突破了这一限制,把刷新时间缩短到毫秒;此外,抢票软件能自动识别验证码。通过上述手段,黄牛的下单速度更快,几乎可以秒购整节车厢甚至整列火车的票。

  建议

  可以对同一IP或同一网卡MAC地址登录的账号数量进行限制,减少黄牛刷票量,同时缩短站内刷票时间。此外,在验证码上进行加密或二级的技术手段或汉字,应该是更好的方式。

  3

  倒票

  漏洞:退票流程不设限

  成功囤票后,黄牛立即在线上兜售。若有顾客付款,他们马上退票,同时用抢票软件不断刷新,以便退票进入票仓后第一时间抢到,之后再用顾客的真实身份信息付款。若票未卖出,则将剩票退票,此后再度用抢票软件抢回来。

  分析:12306网站设置了45分钟的支付期,这段时间内不付款也可保留这张票,黄牛正是利用这一时间差反复抢票退票再抢,始终掌握这部分票。此外,在12306退票无任何验证流程,虽然春运期间退票手续费提高到20%,但这部分费用最后会转嫁给购票者,黄牛并不担心。

  建议

  防黄牛倒票,关键要在退票流程下工夫,比如设置同一账号一段时间的退票次数等,防止黄牛抢票后反复倒票。
本帖de评分: 1 条评分 DB +5
DB+5 2014-01-14

   ˆˆ韶华包包﹤﹤﹤﹤

未满十八周岁禁止下载.rar[点击下载] (8436K)下载次数:59623累积下载获得 D B 6854256
倾觞不记韶华

ZxID:20720787

等级: 元老
配偶: 冷秋。

举报 只看该作者 沙发   发表于: 2014-01-14 0
   ˆˆ韶华包包﹤﹤﹤﹤
« 返回列表
发帖 回复