刘洋
南航在线订票系统可能存在拒绝服务漏洞
2012-1-19 16:27
阅读:4037
标签:漏洞, 南航, 在线订票系统, 拒绝服务
我喜欢南航,是因为南航比较早的支持在线订票、电子票、在线选座等功能。
 
由于今年南航现在的会员系统与原来的明珠会员系统合并,只好在南航网站用非会员订票;结果偶然发现南方航空的在线订票系统可能存在一个拒绝服务漏洞,给票贩子留下了倒卖机票的机会。
 
漏洞描述:
比如在南航官网,以“非会员购票”方式订票,只需要一个手机号码,即可下订单;取消订单后,又可以再下订单——订单半小时有效。这本来没有多大问题,但问题在于,票贩子可能用多个手机号码,利用半小时订单有效的特性,快速垄断某个时段的票务信息,造成官网缺票的假象,形成拒绝服务攻击。
 
发现这个问题,是因为订票时发现某时段的票务信息很诡异,时有时无:一旦出现可用机票,极短的时间内(小于一分钟)又显示无票,然后半小时左右,又出现有票;如此反复——但某订票网站一直显示该时段有票可订,这显然是不正常的。
 
 
改善建议:
建议增加验证机制,比如增加一个手机号码一段时间内有限次订票、取消订票限制。完善会员制度,增加会员订票的优先级等。
 
我们也许生活在一个很多事情被操纵的年代,我们看到的,往往不是实际情况。

转载本文请联系原作者获取授权,同时请注明本文来自刘洋科学网博客。

链接地址:https://wap.sciencenet.cn/blog-1750-530243.html?mobile=1

收藏

分享到:

当前推荐数:4
推荐到博客首页
网友评论0 条评论
确定删除指定的回复吗?
确定删除本博文吗?