12306曝刷票漏洞 被“黄牛”攻击超过半年

　　7月17日铁路12306手机APP最新曝光一个安全漏洞，可被“黄牛”利用大量刷票，甚至一人抢光一车厢的火车票。据360网络攻防实验室调查，12306此漏洞已存在较长时间，早在去年12月，国外技术网站上已有人发布相关文章和逆向分析代码。

　　在乌云漏洞平台上，一位匿名人士近日曝光12306漏洞称：“12306手机端APP每次请求服务器均由手机调用so库，根据传入的baseDTO.time_str的值和设备id的值来生成一个加密字串baseDTO.check_code的值用于提交服务器验证是否非法。目前该算法已经泄露，以致可能会有人利用该算法软件模拟手机端来非法囤积车票。”

　　360网络攻防实验室研究人员表示，12306客户端的算法泄漏，意味着“黄牛”可以用电脑软件，模拟多部手机多账号进行购票操作，而12306服务器很容易被此作弊行为突破购票限制，必须尽快更新算法修复漏洞。

　　另据了解，在一些技术博客上，关于12306手机端算法的分析文章已发布超过半年时间，此漏洞很可能被不法分子利用制作刷票插件，掠夺车票资源，正常用户在春运等高峰期购票会更加困难。

　　目前12306官方已经确认漏洞存在，但并未透露公何时完成修复。

关键词：铁路,车票,网上订票