12306图片验证码被曝存漏洞 抢票软件或复活

3月24日，白帽子路人甲在乌云漏洞报告平台提交了一个12306图片验证码的漏洞，称这会导致限制可被绕过，理论上可以令抢票软件复活。

漏洞详情

路人甲在漏洞描述中称，此漏洞属于设计缺陷/逻辑错误，新的选择图片验证码确实比之前的4个字母的验证码难度高， 中文识别也有难度， 但是目前发现12306的新图片选择验证码有可绕过的漏洞， 应该是更新不全面造成的漏洞。细节已通知厂商并且等待厂商处理中。

12306网站3月16日在登录界面推出了全新的验证方式，用户在填写好登录名和密码之后，还要准确的选取图片验证码才能登陆成功。据称，此次验证码改版后，所有抢票工具都已无法登录。但随后，多家抢票软件宣布不受此影响或者已进行破解。(暮雨)

12306推出全新验证方式防刷票

12306网站截图

新京报讯 （记者吴为）为了防止抢票软件刷票，12306也是“蛮拼的”，登录验证方式从数字字母到带圈的汉字再到彩色动态汉字。昨日，12306再次升级，用户登录账号，需要从8幅彩图中选出符合要求的图片。

记者昨天体验新的验证方式，均能在短时间内成功登录，速度比打字还快。另一方面，大量的抢票软件均因此种验证方式的改变而无法自动登录。

登录验证方式改为选图

3月16日，记者登录12306铁路购票官网。在登录名和密码的下方，是一大块验证码区域，中间写着“点此开始验证”。

点开后，验证码区域会出现8张图片，用户需根据文字提示，选出图中相对应的物品。图片都是日常生活中常见的，如电线、帐篷、青蛙、仪表盘、篮球等。如果看不清图片，点击“刷新”，会出现另一组图片。记者登录时，验证码要求“请点击下图中所有的口哨”，8张图中，除了口哨，还有拖把、饮料等图。记者单击口哨后，图片被盖上了铁路logo的红戳，点击登录，成功进入购票页面。

这样的验证方式虽然从未见过，但图片识别度较高，记者多次尝试刷新，均能正常登录页面，并不难。

网友称“生活常识不够”买不到票

12306如此新奇的验证方式，引来网友议论纷纷。一位网友吐槽：“今天我尝试登录，说点击以下所有的生蚝，我愣了一下，生蚝是神马，我这辈子都没有吃过。感觉生活常识不够，连火车票都没法买了。”网友“ontheway”则说：“12306版玩找茬，也是醉了。”

还有网友表示，12306的最新验证码上似乎植入了广告。记者刷新多次，发现彩图中确实有许多带有品牌标识的产品，甚至还有快餐连锁店。

此外，12306验证方式的此次升级，让大量的抢票浏览器和手机应用纷纷“阵亡”。记者昨日尝试登录多个抢票软件，均无法成功。一个叫“高铁管家”的应用在首页发出通告称：“3月16日起，12306系统验证码改造，导致高铁管家无法登录，技术人员正在尝试抢修。”

记者还尝试了360、百度、猎豹等“抢票浏览器”，都无法正常登录，猎豹抢票出现了12306官网的登录验证彩图，但点选后并无官网通过验证的红戳，也无法正常登录。

新验证码也有可能被破解

不过，破解的可能性也是存在的。要破解，需要能够模仿人的点击，识别汉语，这两项技术相对比较成熟。唯一稍微有问题的是图片识别，虽然现在百度提出了百度大脑，拍照搜索，但实际上效果还是非常差，机器识别图片现在的可用性还不高，比如，机器很难识别二维平面上呈现出来的透视关系，而人类却可以进行“脑补”。

但是，机器却有自己的粗暴办法。每一张图片的数字文件，都有自己特定的信息特征码，机器只要把图片的数字特征识别出来，然后，人工把这个唯一的数字特征与某种物品联系在一起，那么，当下一次机器遇到了这个图片，计算出了这个特征码之后，经过比对已有的特征码，机器就知道这张图片应该归为哪一类。

从社会意义上看，新的验证码虽然排除掉机器登录，杜绝了机器与人之间的不平等，但是，在熟悉电脑与不熟悉电脑的人群之中，仍然存在数字鸿沟，而买一张火车票，参与分配火车票这种稀缺资源，应该仅仅与公民的身份有关，不应该与年龄、文化程度有关。那么，从这个思路看，即便采用了新的验证方式，抢票也需要手脚更快，仍然做不到从容二字。

显然，我们把12306想得太“高端”了，没想到漏洞和破解来得这么快……