“12306系统被指本月连曝6漏洞”

本篇文章1825字，读完约5分钟

王雅洁经记者李文艺出生于北京、成都

与近期媒体和读者关心的全国铁路新一代票务系统招标问题相比，昨天( 9月28日)下午，铁道部推广部回应《每日经济信息》记者。

然而，一波未平，9月27日晚，铁道部官方订票网站12306的网上订票系统暴露出低级别的漏洞。

有人指出脆弱性是简单和低级的

国内权威漏洞报告平台“乌云”发布“12306漏洞一包”漏洞，相关厂家为中国铁路科学研究院。 据乌云报道，国庆节前有订票高峰，12306也进入脆弱性多发高峰。 这是今年9月以来，在12306出现的第六个洞。

黑云技术负责人还告诉《每日经济信息》记者，半个月前的12306年有一个漏洞被曝光，可能直接危害订票者的新闻安全。 这些低级漏洞的出现，系统开发者中国铁路科学研究院可能很难承担责任。

9月27日，一位名叫“qiaoy”的网民在“乌云”网站上提交了漏洞报告。 ——12306漏洞为包裹，危害等级为“高”。 随后，中国铁路科学研究院确认为“正在维修”，并做出了回答。

乌云网站技术负责人表示，从安全的角度看，这种脆弱性有点简单和低级。 “公司通常在网站上线之前就对系统进行了严格的测试，所以不能使用这些简单的错误和漏洞。 12306低级错误已被查明，证明缺乏这种检测措施。 ”

9月以来查明了6个漏洞

根据乌云网站的统计数据，12306年从今年2月开始，除6月和8月外，几乎每月都报告漏洞，9月以来居然发现了6个漏洞。 半个月前的12306日，有一个漏洞，12306系统如果更改任意密码，订票者的新闻就有可能被泄露。

从12306中明确的漏洞类型来看，第一是sql注入漏洞、客户体系管理不严格、系统/服务出厂配置不正确、设计缺陷/逻辑错误，其中sql注入漏洞是这一类型

由于铁道部实行购票实名制，低水平安全漏洞的出现让许多订票者感到担忧。

并且，这份低级漏洞报告使得系统开发者中国铁路科学研究院浮出水面，因为12306所有漏洞相关的制造商都是该学院的名称。

公开资料显示，中国铁路科学研究院成立于1950年3月1日，2002年由事业单位转制为铁道部直属大型科技公司。 在铁道科学研究院的官网上，铁道部先进集体引起了记者的观察。 这个集团正是“全路线售票和预约系统项目组”，成立于1996年。 这个时间是铁路客票系统最初的开发时间。

资料显示，承担中国铁路客票发售和预订系统开发建设任务的全体集团，聚集了中国铁路科学研究院、北方交通大学、长沙铁道学院、上海铁路大学、西南交通大学、华东交通大学、大连铁道学院、兰州铁道学院、石家庄铁道学院及相关铁路局的科技精英，历时4年

但是，《每日经济信息》记者昨天通过电话联系了这个项目小组的组长和研究员时，学院方面表示“没有这个人”。

铁道部证实没有涉及核心细节

昨天下午，与本报记者关于票务系统投标问题的采访函相比，铁道部公关处表示:“共有7家公司购买了投标文件。 投标文件上市20天后，项目在北京公开招标，共有5家投标人提交了投标文件，同时满足了这次投标合格的投标人的条件。 北京市方正公证处对开标过程进行了现场公证。 ”

铁道部介绍，12306新一代票务系统的招标项目分为两个独立的包，复印件主要有12306个网站的售票、呼叫网站、呼叫语音、网络访问安全、电子结算平台、系统录入 包括系统测试环境、代理销售点访问安全、机房环境等系统和硬件设备的采购与建设。

铁道部表示，此次招标由依法设立的评标委员会根据招标文件明确的评标方法进行综合评价。 铁道部新闻技术中心根据评标委员会的评标报告和授权建议，确认了两个包中分别为最低价、最高分的太极计算机股份有限公司、同方股份有限公司为中标单位。 考核结果依法在招标代理网站上公布满3个工作日，无异议后，向中标公司发出中标通知书。

但是，在这份回复中，我们发现除了已经家喻户晓的太极电脑股份有限公司、同方股份有限公司以外，还不包括其他投标人的姓名、报价、投标过程等核心新闻。

据发现，铁道部推广部的回复复印件未超过中国采购和招标网上已经公示的“招标公示”。 中标者是否以“最低报价、最高得分”中标，尚未得到充分的消息证实。

北京交通大学教授赵坚认为，除中标的太极计算机股份有限公司、同方股份有限公司外，还应该发布其他参加投标的公司的新闻。

他指出，要改变票务系统备受诟病的现状，铁路售票系统的售票管理要借鉴航空空售票模式，引入市场化管理，跟上市场技术的变化，由相关企业进行改制，招标