本帖最后由 releon 于 2014-3-22 20:25 编辑
漏洞概要关注数(38) [url=]关注此漏洞[/url]缺陷编号: WooYun-2014-54302漏洞标题: 携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)相关厂商: 携程旅行网漏洞作者: 猪猪侠提交时间: 2014-03-22 18:18漏洞类型: 敏感信息泄露危害等级: 高漏洞状态: 等待厂商处理漏洞来源: http://www.wooyun.orgTags标签: 无[url=]1[/url]人收藏 [url=]收藏[/url]
分享漏洞:![]() [url=]0[/url]
漏洞详情披露状态:
2014-03-22: 细节已通知厂商并且等待厂商处理中
简要描述:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
(类似IIS或Apache的访问日志,记录URL POST内容)。
同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
其中泄露的信息包括用户的:
持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)
漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0版权声明:转载请注明来源 猪猪侠@乌云
| 
发表于 2014-3-22 20:22:13
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
微信
收藏
分享
支持
反对 {var f='http://service.weibo.com/share/share.php?appkey=1150538649',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&ralateUid=',o||'','&sourceUrl=',e(l),'&content=',c||'utf-8','&pic=',e(p||'')].join('');function a(){if(!window.open([f,p].join(''),'mb', ['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width- 440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');}; if(/Firefox/.test(navigator.userAgent)){setTimeout(a,0);}else{a();}}) (screen,document,encodeURIComponent,'','','http://elvxing.net/data/attachment/forum/201403/22/202147dq5ccx66achzjnxe.jpg','#E旅行网-北京淘游#[携程安全支付日志泄露,请立即换卡]本帖最后由 releon 于 2014-3-22 20:25 编辑 漏洞概要关注数(38) [url=]关注此漏洞[/url]缺陷编号: WooYun-2014-54302漏洞标题: ','','utf-8', ''));)
分享到新浪微博
