-输入“万能号”别人违法随便查 -市交管局称“万能号”已被查封
在市交管局的网站上查询违法记录,只要输入“万能号码”就能看到别人的违法记录。昨天,有读者打来电话称?熏在一家网站的论坛上,有人提供这种“万能号码”,不少人均表示,如果该号码被滥用,自己的隐私难免不被曝光。
“万能发动机号”屡试屡中
从今年6月22日起,为防止个别人利用互联网机动车违法信息查询功能,窃取他人车辆信息,交管部门在机动车违法信息查询中增加了“输入发动机号”的查询条件。在查询时除了输入机动车车号外,还需输入机动车《行驶证》上登载的机动车“发动机号”。
然而,司机王女士昨天在某网站的论坛上浏览时,发现有网友提供了“万能发动机号”,对方称只要输入此号码,不用得到对方的发动机号,只输入车牌号,就可查到相应的违法信息。出于好奇,王女士输入了网友提供的该“万能号码”——1'or'1'='1,果然十分有效。为了验证王女士的说法,昨天记者登录了北京市交管局网站的首页,输入了自己的汽车牌号及所谓的“万能发动机号”后,车辆相关的违章信息果然映入眼帘,与输入真实的发动机号所得信息没有任何区别。随后,记者又输入了几位同事的车牌号,与“万能号码”搭配后,得到的违法信息也没有错误。
电脑工程师称设计存在漏洞
记者将此情况向一位电脑工程师描述后,工程师随即简单说明了其中的原理:比如原来从数据库里查询时,车牌号和发动机号输入两个条件同时满足,才能调出相应的车辆信息。但当有人输入的发动机号为“1'or'1'='1”时,由于语句or'1'='1' 的存在,该项条件就成了一条恒等式,于是,只要满足车牌号输入的条件,对应的记录就可显示。工程师告诉记者,这是最基本的黑客攻击方法,在四五年前使用的人还很多,后来大家从程序设计的角度都进行了改进。出现这样的问题,感觉程序开发有些业余。
“万能发动机号”已查封
昨天下午记者就此事向市交管局信通处进行了解,结果发现他们也早已经知道了此事,工作人员对记者表示,通过采取一些措施,目前这些“万能发动机号码”已经全部失效。昨天16时许,记者再次使用“万能号码”时,已无法查到违法信息。
晨报记者 赵欣 李康乐 线索:王女士
不支持Flash
|