<sup id="k62se"></sup>
<xmp id="k62se"><option id="k62se"></option>
<object id="k62se"><tr id="k62se"></tr></object><rt id="k62se"><wbr id="k62se"></wbr></rt>
<tt id="k62se"></tt>
<bdo id="k62se"><label id="k62se"></label></bdo>
  • <menu id="k62se"><sup id="k62se"></sup></menu>
    安防峰會
    您正在使用IE低版瀏覽器,為了您的雷鋒網賬號安全和更好的產品體驗,強烈建議使用更快更安全的瀏覽器
    業界 正文
    發私信給包永剛
    發送

    1

    12306對搶票軟件“下手”了

    本文作者:包永剛 2019-01-28 19:28
    導語:即使用戶花錢在第三方軟件購買加速服務,購票的成功率也絕對不會像各個搶票軟件顯示的一樣。

    對于中國人而言,時至今日春運搶票依舊是春節期間大家最關注的話題之一。央視財經報道,鐵路部門表示第三方軟件搶票的相關機器特征已經被識別并被實施限制措施。這意味著即使用戶花錢在第三方軟件購買加速服務,購票的成功率也絕對不會像各個搶票軟件顯示的一樣。

    12306為什么要限制第三方搶票軟件?他們的技術如何?

    12306對搶票軟件“下手”了

    圖片來自中國鐵路微博

    限制搶票軟件12306早有準備

    春節期間全國交通運力與需求的不配以及鐵路部門飽受質疑的購票系統讓第三方軟件成為了不少人購票的首選。這也帶來了安全和公平性等問題,因此鐵路部門在各方的壓力下持續改進購票系統,最近,12306動作不斷。

    2018年11月3日,12306新版上線,新版網站界面UI更加清晰友好,移動頁面屬性更強,購票流程更加便捷,還增加了用戶掃碼登錄功能。2018年12月27日,鐵路部門正式宣布12306正式上線候補購票功能,雷鋒網(公眾號:雷鋒網)了解到12306的候補購票功能指當旅客遇到車票售完的情況,在12306平臺登記購票信息支付預購票資金后,如有退票、余票,12306系統將自動為其購票,其購票速度和成功率都要強于搶票軟件。

    更具體地說,在候補購票實行階段試點的始發地和到達地支持候補購票的列車,當火車票售罄之后會自動開啟候補購票。當然購票人首先需要通過人證驗證,并提交候補票購票訂單后售票系統自動安排網上排隊候補,當對應的車次、席別因退票、改簽等業務產生可供發售的車票時,系統自動兌現車票,并將購票結果通知旅客。

    12306對搶票軟件“下手”了

    12306官方的候補購票功能上線之時就有不少人認為這是第三方搶票軟件的大殺器。1月,鐵路部門就表示已經對搶票軟件進行了限制。 

    12306對搶票軟件“下手”了

    搶票軟件的風險

    央視財經在報道中提到,中國鐵路總局之所以采取相關措施是因為第三方搶票軟件存在安全隱患,個人隱私信息得不到保障。新京此前報道,有乘客下載了一款搶票軟件后,輸入時間、車次等購票信息,沒一會兒軟件就提示“搶票成功”,但該乘客按照提示將個人信息包括銀行卡和密碼都輸入進去,準備付錢買票時,突然收到銀行發來的提示短信,銀行卡里的數千元被刷走,聯系搶票軟件的客服,才發現是空號。

    上面是買票不成反被騙的案例,然而還有很大的信息泄露風險。鐵道部在2011年開始試水網絡售票服務,并在2011年底兌現了網絡售票覆蓋所有車次的承諾。不過自網絡售票服務開始,用戶信息泄露一直都是12306的困擾。

    2014年,報道稱有超過13萬12306的用戶數據在互聯網上傳播售賣。不過,12306網站回應稱,經核查,此泄露信息全部含有用戶的明文密碼,12306網站數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。

    12306還發布公告提醒乘客通過12306官方網站購票,不要使用第三方搶票軟件購票,或委托第三方網站購票,以防止個人身份信息外泄。同時還提醒稱,部分第三方網站開發的搶票神器中,有捆綁式銷售保險功能,請乘客注意。

    12306對搶票軟件“下手”了

    在利益的驅使下,信息泄露的問題并沒有好轉的跡象。2018年12 月 28 日,Freebuf 稱,“圈內又在傳一張疑似12306泄露數據暗交易的圖,春運搶票高峰還沒到,黑產分子就已經出手了”。據稱,這份數據包括 60 萬賬戶信息,詳細到除了ID、手機號、密碼之外,連姓名、身份證、郵箱、問題及答案然都有,根據安全問題很可能能夠直接申訴獲取其它平臺賬戶的重要信息。

    此外,還包括每個賬戶中添加的聯系人信息,涉及姓名及身份證號,這些聯系人數據總量高達410萬。中國鐵路微博當日辟謠稱12306網站未發生用戶信息泄露,同時再次提醒用戶避免非正常渠道購票帶來的風險。

    12306對搶票軟件“下手”了

    雷鋒網在當時的報道中指出,經多方了解,業內人士認為此次的數據泄露可能是第三方搶票軟件被攻擊或歷史數據的清洗。要知道,第三方搶票軟件不僅能獲取核心的商業信息(如價格、用戶信息等),還會擾亂正常用戶的活動(如搶購、惡意刷票等),第三方會獲得越來越多業務營收,但12306的信譽以及核心數據等方面則會遭受損失。

    由此,我們就更能夠理解12306為什么要上線候補購票的功能。

    12306可能是這樣限制搶票軟件

    那么,鐵路部門是如何識別第三方軟件搶票的相關機器特征并被實施限制措施?由于12306并沒有公布其具體的限制技術,因此雷鋒網詢問了業內專家,專家表示具體的原理不便講,但可以判定的是搶票軟件是程序(機器人)自動運行,屬于爬蟲一類。

    因此我們可以參考防爬蟲的對應方式,以防爬蟲的四種思路:特征庫直接封禁、JS無感人機識別、行為異常檢測和威脅情報庫去了解。第一種需要借助安全人員豐富的經驗,他們往往能很快從訪問日志中看出有無異常行為,比如正常用戶不會直接請求的頁面訪問卻不帶任何referer、從主域名跳轉過來的請求不帶任何cookie、request body中包含一個大量重復的手機號,這些明顯或不明顯的“特征”,都可以作為第一道爬蟲檢測策略——特征封禁。

    12306對搶票軟件“下手”了

    除了訪問控制,通過JS采集網頁環境中的操作行為、設備硬件信息、指紋等特征來判斷請求是否來自于自動化工具也是常見的思路。不過,雖然思路簡單,但在沒什么秘密的前端對抗環境中,確保采集到的信息和風險判斷模型的準確性卻是專業的安全團隊投入相當大的精力來建設的能力。

    但是,特征匹配因具備很強的對抗特征,是最容易繞過的防護規則,這就涉及到行為異常行為檢測。說到行為,大部分人第一反應肯定是限速,不過限速有許多需要思考的細節問題。另外, 從UBA(UserBehavior Analysis)角度去建模也是一種不錯的思路,機器學習能夠綜合多個觀察角度和維度去識別爬蟲,增加了繞過和對抗的成本,這是相對于規則類防護的一個優勢。而且,針對一些精心構造的低頻、離散IP,機器學習可以很好的彌補規則檢測的短板。

    威脅情報庫用一個例子來說明,機票向來是爬蟲重點關注的對象,一個黃牛或旅行社背后的爬蟲往往會光顧各大航司以獲取最全的票價信息,所以當檢測到一個爬蟲光顧了ABCDE航司后,他爬X航的概率大嗎?當然。 這個不是假設,而是已經在實際的流量中發現的行為。

    由此拓展開,基于一定的模型生成在多家航司網站上有過可疑行為的,實時的爬蟲庫,這就是典型的云上協同防御模型。這樣對于新接入的X航來說,甚至可以用情報的思路把防護做到事前。

    至于12306到底是采用了哪些技術,還需等待確認。

    雷鋒網認為,從安全性的角度看,從12306官方渠道確實相對更有保障,但相信許多用戶不使用12306網站和APP是因為對其體驗非常不滿。因此,從需求的角度看第三方搶票軟件仍有很強的需求,并且12306的限制與搶票軟件的對抗將會一直持續,直到春運的關鍵問題發生變化。

    本文參考阿里云安全公眾號君揚作者的《一場無休止的戰爭 淺談縱深防爬的”抗戰“ 之路》

    相關文章:

    尷尬!我被有償搶票軟件騙了,這貨居然搶不過12306

    鐵總否認,那暗網超 400 萬 12306 用戶數據是從哪泄露的?

    雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知

    分享:
    相關文章

    文章點評:

    表情
    最新文章
    請填寫申請人資料
    姓名
    電話
    郵箱
    微信號
    作品鏈接
    個人簡介
    為了您的賬戶安全,請驗證郵箱
    您的郵箱還未驗證,完成可獲20積分喲!
    請驗證您的郵箱
    立即驗證
    完善賬號信息
    您的賬號已經綁定,現在您可以設置密碼以方便用郵箱登錄
    立即設置 以后再說
    江苏11选5投注