铁道部购票网站曝CDN技术短板 存在泄密危险

　　2012年，顺应广大消费者需求铁道部全面推行实名制、网络购票、电话订票等新措施，对于众多渴望年底回家团年，顺利买到火车票的消费者是重大利好，如果一切顺利，这无疑是铁道部为消费者干得最漂亮的一件实事。

　　中国铁路客户服务中心网(www.12306.cn)是网购火车票的唯一官方网站，但从12306网站正式上线至今，由于访问量过大，不少旅客在12306网购车票时，频频遭遇“系统忙”而无法访问。对此，铁道部表示正在不断优化相关程序，完善设备设施，增加网络带宽，努力改进工作。

　　我们愿意相信这些问题也仅仅属于短期或个别，且可以通过申诉解决。但一个更大的隐患正在显现，近日，在国内知名的技术论坛CSDN上，一位名叫”特总兵-AK47”的网友研究发现12306网络售票网站存在安全问题，他认为铁道部购票网站可能造成另一次的密码危机。

　　这位网友认为，12306网站的前端基本架构是jQuery+Struts+CDN(即contentdistributionnetwork)，其中的CDN服务(内容分发加速网络)是网宿科技由支持。而铁道部互联网售票系统集成项目则由太极软件负责。

　　而据媒体此前报道称，网宿科技自2010年起两项主营业务CDN和IDC(互联网数据中心)毛利率均迅速大幅下降。而网宿科技的解决之道则是开始走低价路线，“在没有技术优势的前提下，网宿科技打出了最擅长的低价牌，然而号称要做行内龙头企业的网宿科技，在高科技旗下的低价路线，面对着不断上涨的营业成本，似乎已经走上了一条不归路。”

　　而低价可能是铁道部最终选择网宿科技的原因之一。这造成的直接结果必然是技术层面的缺陷和安全问题隐患。

　　该人士列举了目前为止在12306发现的几项安全漏洞：

　　第一、不安全。查询列车信息的querySingleAction.do，并没有用JS语言记录，而是用更易看懂的HTML上传;且用户信息采用明文记录，网络爬虫可轻松抓取。

　　第二、速度慢。系统将JS和CSS加载起来毫无意义，用户点击“预定按钮”，就会跳出了33个CSS格式请求，每个耗时5-6秒的，直接造成网络繁忙;网站全部采用旧时的iframe架构，每次点击时候都要全部加载页面，极大拖慢网速。

　　第三、技术落后。除了上面提到的iframe架构，网站仅裁用了DHTMLX2.0版本，而现在业界普遍适用的早已升级到3.0版本。

　　这些安全漏洞的存在，似乎也让12306目前出现的种种问题显得不足为奇。网友”特总兵-AK47”认为，12360目前遇到的问题完全不是带宽的问题，真正的问题在于该网站的内容分发系统完全没有在做负载均衡处理。同时，他还向铁道部支招，“其实解决这个问题很简单，把网络传输的内容减少90%就可以。”