这里解释一下“撞库”，就是从其他不是很安全的网站，比如游戏网站啊，一些低安全的网站获得用户名和密码，再拿到12306上尝试，因为12306上有更全面的用户资料信息，所以撞库可以让黑客获得更完整有价值的用户信息。

但是撞库有一个麻烦的事情，那就是与肉鸡，暴力爆破不一样的是，撞库是属于数据一一对应的，这不太容易为分布控制。我们看下肉鸡攻击，这类攻击，只是被控制的计算机简单的向目标计算机发出攻击信息。而暴力破解实际就是被控制的计算机跑一些很小规模的字典，以期待有意外获得。比如，如果网站admin的密码相对简单的话。

问题是撞库是略微有些麻烦，他需要由控制的机器，发出HTTP 系列指令，获得session机制的cookie，跳转制定页面，截取页面信息。发挥中央控制服务器。

从表面看这样的代码似乎并不难，如果我是用随便一个语言HTTP 的插件就可是实现模拟登录。但就我的经验这也不容易。之所以不容易就是很多网站会有自己防范用户反复登录的机制。最常见，也是最有效的办法，就是验证码。我是在事件出来以后去看12306 的，简单的打开浏览器的调试工具，看network，就知道12306已经有防止恶意登录的机制，而不用任何工具，就可以看到12306 是有验证码机制的。

好了，我不是说验证码是不可破解的，对图片验证码的破解有很多，很难保12306的验证码图片已经被破解。但是这样的破解都是基于一定的图像识别算法来的。从HTTP 控制到图像算法，要做出一个程序不会很大，但是要作为一个木马会显得太过大。而且你还要考虑到分布控制，这里面比如你分配的机器只跑了一部分用户就关机了怎么办，你怎么协同到其他机器去。这里且不说验证码并不是说攻破就攻破得了的。我们可以看到在12036进入登录页面时cookie里就有了Session id 这很明显就是防止重复恶意登录的，加上验证码。这其实是个很难破的页面。

也就是说撞库虽然是黑客很常见的手法，但是缺很难用木马程序分布处理，这样就会非常容易被跟踪到。你可以说不考虑验证码，我用loadrunner,selnium就可以模拟登录12306。获得页面信息。不过这显然是很外行的辩护。

判断撞库的是一家所谓的国内知名网络安全公司，但很有可能他们不过是在为12306洗地而已。12036出现SQL注入的事情的问题，我记得很早我就在板上提到过，黑客们有清晰的操作步骤，截图，说明如何实现SQL 注入的。虽然12306几次改版，但以他们项目管理经验来说，之前那么糟的东西都能上线，以后能修改成怎样，还真不好说。12306再三强调，用户的密码是加密的，不会是明文。但是很显然，首先固定加密的反破解是非常容易的，拿MD5 来说，到现在，简单的MD5加密就跟没加密没啥区别。其次，12306强调的也是废话，我不知道他们发言人怎么想的，但凡是黑客公布，且成功获得信息的，自然是被解密的明文密码，难道黑客公布加密密码才算是攻克了12306？这种牵强的辩护只能说明，他们的工程师几乎就是在糊弄公司其他部门。随便塞了一个说法。那么我们对此产生怀疑也再合情合理不过了。