博文
南航在线订票系统可能存在拒绝服务漏洞
|||
我喜欢南航,是因为南航比较早的支持在线订票、电子票、在线选座等功能。
由于今年南航现在的会员系统与原来的明珠会员系统合并,只好在南航网站用非会员订票;结果偶然发现南方航空的在线订票系统可能存在一个拒绝服务漏洞,给票贩子留下了倒卖机票的机会。
漏洞描述:
比如在南航官网,以“非会员购票”方式订票,只需要一个手机号码,即可下订单;取消订单后,又可以再下订单——订单半小时有效。这本来没有多大问题,但问题在于,票贩子可能用多个手机号码,利用半小时订单有效的特性,快速垄断某个时段的票务信息,造成官网缺票的假象,形成拒绝服务攻击。
发现这个问题,是因为订票时发现某时段的票务信息很诡异,时有时无:一旦出现可用机票,极短的时间内(小于一分钟)又显示无票,然后半小时左右,又出现有票;如此反复——但某订票网站一直显示该时段有票可订,这显然是不正常的。
改善建议:
建议增加验证机制,比如增加一个手机号码一段时间内有限次订票、取消订票限制。完善会员制度,增加会员订票的优先级等。
我们也许生活在一个很多事情被操纵的年代,我们看到的,往往不是实际情况。
https://blog.sciencenet.cn/blog-1750-530243.html
上一篇:打死我也不休博
下一篇:麻将麻将,麻醉将来
