12306三大漏洞助黄牛“秒票”

AS网站目录（www.adminso.com）：12306三大漏洞助黄牛“秒票” 为了能囤到票，如今的黄牛都玩起了“技术活儿”。昨日央视《新闻30分》报道，部分黄牛利用抢票软件，10分钟就能刷走1245张火车票

AS网站目录（www.adminso.com）：12306三大漏洞助黄牛“秒票”

为了能囤到票，如今的黄牛都玩起了“技术活儿”。昨日央视《新闻30分》报道，部分黄牛利用抢票软件，10分钟就能刷走1245张火车票。

央视记者走访发现，黄牛使用抢票软件在12306网站自动反复刷票，由于抢票软件突破了12306设置的每5秒才能刷新一次的限制，把时间缩短到毫秒，购票速度更快。

此外，在购买过程中，抢票软件无需手动输入信息且可以毫秒速度自动识别验证码，使用多个账号和大量虚假身份信息，最快几秒钟就可把整趟列车的票囤个精光。

上午《法制晚报》记者采访一名IT技术人士，他表示，黄牛在倒票过程中，主要是利用12306设置的“45分钟支付期”这一时间差，反复抢票、卖票、退票再抢票，循环地保证这部分票一直控制在手。而帮助黄牛实现这一流程的，主要有三大漏洞。

1造假

漏洞：身份信息无验证

黄牛通过算号软件或者在线算号网站，只要指定出生地、出生日期及性别，即可生成无数格式正确的身份证号码。随意复制其中的一个身份证号并任意填写乘客姓名，在12306网站都可以成功订票。

分析：假身份信息之所以能够成功购买车票，是因为12306并没有与公安系统联网，无法对身份证号等信息进行审核。在未与公安系统联网的情况下，12306本身只能检测身份证最后一位的运算逻辑，但算号软件早已经解决了这个问题，因此12306无法检测身份信息真伪。

建议

只要把身份信息、手机号等与公安系统挂钩验证，即可有效堵住这一漏洞。

2抢票

漏洞：刷新、输码全自动

通过抢票软件，每台电脑可同时登录几十个账号，黄牛只需多开几台电脑，再利用大量虚假身份信息去“占”票即可。12306规定一个账号最多可购买5张票，即使按每台电脑开20个账号来算，理论上来讲每台电脑在同一时间可以抢到100张票。

分析：12306账号目前很容易就能实现双开，因此黄牛同时可抢到的票数量会更多。虽然12306设置两次查询必须间隔5秒，但抢票软件突破了这一限制，把刷新时间缩短到毫秒；此外，抢票软件能自动识别验证码。通过上述手段，黄牛的下单速度更快，几乎可以秒购整节车厢甚至整列火车的票。

建议

可以对同一IP或同一网卡MAC地址登录的账号数量进行限制，减少黄牛刷票量，同时缩短站内刷票时间。此外，在验证码上进行加密或二级的技术手段或汉字，应该是更好的方式。

3倒票

漏洞：退票流程不设限

成功囤票后，黄牛立即在线上兜售。若有顾客付款，他们马上退票，同时用抢票软件不断刷新，以便退票进入票仓后第一时间抢到，之后再用顾客的真实身份信息付款。若票未卖出，则将剩票退票，此后再度用抢票软件抢回来。

分析：12306网站设置了45分钟的支付期，这段时间内不付款也可保留这张票，黄牛正是利用这一时间差反复抢票退票再抢，始终掌握这部分票。此外，在12306退票无任何验证流程，虽然春运期间退票手续费提高到20%，但这部分费用最后会转嫁给购票者，黄牛并不担心。

建议

防黄牛倒票，关键要在退票流程下工夫，比如设置同一账号一段时间的退票次数等，防止黄牛抢票后反复倒票。

聚焦2014年春运，请关注AS网站目录 - 《12306春运》专题。