E旅行网-北京淘游

标题: 携程安全支付日志泄露，请立即换卡 [打印本页]

---

作者: releon    时间: 2014-3-22 20:22
标题: 携程安全支付日志泄露，请立即换卡


漏洞概要关注数(38) [url=]关注此漏洞[/url]缺陷编号：        WooYun-2014-54302漏洞标题：         携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)相关厂商：        携程旅行网漏洞作者：        猪猪侠提交时间：         2014-03-22 18:18漏洞类型：         敏感信息泄露危害等级：         高漏洞状态：         等待厂商处理漏洞来源：        http://www.wooyun.orgTags标签：         无[url=]1[/url]人收藏 [url=]收藏[/url]
分享漏洞：

[url=]0[/url]

---

漏洞详情披露状态：

2014-03-22：        细节已通知厂商并且等待厂商处理中

简要描述：

携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
(类似IIS或Apache的访问日志，记录URL POST内容)。

同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

其中泄露的信息包括用户的：
持卡人姓名
持卡人身份证
所持银行卡类别（比如，招商银行信用卡、中国银行信用卡）
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)

漏洞hash：bf9165488f5e2ea3ca02ec6b310446b0版权声明：转载请注明来源 猪猪侠@乌云

66e8f898jw1eeosnfteqij20hs0vkq5v.jpg (64.59 KB, 下载次数: 335)

下载附件

2014-3-22 20:21 上传

---

作者: 慕小贱    时间: 2014-3-22 20:23
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: kelsen4    时间: 2014-3-22 20:29
赶紧去看看

---

作者: 羽衣飞舞    时间: 2014-3-22 21:08
天，我才用信用卡支付过

---

作者: kittymyj    时间: 2014-3-22 21:13
这么可怕！那以前用过该怎么办啊？

---

作者: lingfeng3362    时间: 2014-3-22 21:23
差，刚刚用过！！！！！！！

---

作者: roybb    时间: 2014-3-22 21:49
马上停了广发 。发现广发好奇葩，挂失要收35的手续费

---

作者: soppysx    时间: 2014-3-22 21:55
我去，刚在携程支付过
不过我是不想管了，真要盗刷了，携程能脱的了关系？

---

作者: ★裤⑧哥↑    时间: 2014-3-22 22:13
还好从没在携程买过

---

作者: 元気    时间: 2014-3-22 22:14
招行可以免费换卡，刚打电话申请了
天杀的携程竟然储存客户的CVV码，从此黑名单

---

作者: 星星    时间: 2014-3-22 22:47
晕倒。已换卡。尼玛，这需要赔偿阿。太过分了。

---

作者: zudas    时间: 2014-3-23 01:43
只要有支付宝就从不用信用卡在这种地方刷的

---

作者: cspwc    时间: 2014-3-23 09:03
MD以前在携程用卡担保订过房 咋办

---

作者: badbat    时间: 2014-3-23 20:24
不知道去年用的有没有事

---

作者: 梦飞行    时间: 2014-3-23 20:37

cspwc 发表于 2014-3-23 09:03
MD以前在携程用卡担保订过房 咋办

这头像太牛了

---

作者: 空之境界    时间: 2014-3-23 22:36

梦飞行 发表于 2014-3-23 20:37
这头像太牛了

黑崎一护的FANS吧

---

欢迎光临 E旅行网-北京淘游 (http://www.elvxing.net/)

Powered by Discuz! X3.2