携程被曝支付日志漏洞致用户信用卡信息泄露

最新推荐文章于 2021-11-15 10:39:17 发布
最新推荐文章于 2021-11-15 10:39:17 发布
阅读量443 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/115056
携程安全支付服务器接口存在调试功能,将用户支付记录保存,但因服务器配置不当导致支付日志可被任意读取,可能泄露用户银行卡信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息(链接),指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银 行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。
screenshot

漏洞详情描述:

由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

携程旅行网回应:
screenshot

文章转载自 开源中国社区 [http://www.oschina.net]

web渗透--47--基于DOM的XSS跨站
武天旭的博客
09-22 1889
1、漏洞描述 文档对象模型(Document Object Model),即DOM。是用来在浏览器中表示文件的结构格式。DOM支持动态脚本,诸如JavaScript来引用文档组件,如表单字段或会话cookie。DOM也用于浏览器的安全,例如限制在不同域的脚本获取其它域的cookie会话。当活动内容(如JavaScript函数)被特制的请求修改时,可能会出现基于DOM的XSS漏洞,这样能够使得攻击者可以控制DOM元素。
信息泄露漏洞
jelly
07-27 7495
前言:信息泄露包括的内容很广泛,很多漏洞都可以归为信息泄露类的漏洞,所以这类漏洞需要去细细消化其中的每个技术. 本篇笔记主要参考burp学院的信息泄露相关内容 什么是信息泄露 是指网站无意间向用户泄露敏感信息。根据上下文,网站可能会将各种信息泄漏给潜在的攻击者,包括: 有关其他用户的数据,例如用户名或财务信息 敏感的商业或商业数据 有关网站及其基础架构的技术细节 泄露敏感的用户或业务数据的危险相当明显,但泄露技术信息有时可能同样严重。尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他
thinkphp日志泄漏漏洞_记一次火绒帮助企业用户分析日志:仅一个月遭遇近万次漏洞攻击...
weixin_36087877的博客
01-02 779
企业网络环境错综复杂,包括终端管理混乱,对U盘、外设、共享文件夹等公用资源缺乏防护,员工安全意识良莠不齐等,都容易导致病毒能够轻易入侵终端和服务器。部分企业在安装安全软件发现并解决当前安全威胁后,未能引起重视,进行全面排查等措施,或导致后续依旧有被攻击的风险。实际上,当企业中安全软件成功拦截漏洞攻击、查杀出病毒时,也往往意味着企业内部存在安全隐患,或正在遭遇外部攻击。需要管理人员根据安全软件的查杀...
银行卡信息安全事件频发 互联网站成数据泄露“重灾区”
weixin_34191734的博客
07-03 399
近期,国内银行卡信息安全事件频发,一些消费者遭遇财产损失。专家表示,目前银行卡信息盗取、买卖等已形成黑色产业链,许多互联网企业由于在安全防范上存在漏洞,沦为“黑客”和不法分子盗取用户信息的主要渠道,给金融安全带来重大危害和隐患,对此需采取措施加以完善。 “卡在身上,钱却莫名其妙地被转走了”,黑客5分钟就可以在网上获取1000个银行卡卡主的姓名、卡号、银行...
常见信息泄露漏洞风险与解决方案
晓川吖的专栏
09-09 9672
1.概述 信息泄露漏洞,是指由于技术人员疏忽,在开发或者运维过程当中,把敏感信息不恰当的展示给了用户所产生的安全漏洞。 一旦所产生的信息泄露问题被恶意攻击者利用,会导致网站用户信息被泄露,甚至会导致服务器被入侵。 漏洞类型统计: 2.安全事件 2014年携程安全支付日志可遍历下载漏洞 导致大量用户银行卡信息泄露 携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录
xstream xml转对象_【缺陷周话】第 38期——不安全的反序列化:XStream
weixin_39625008的博客
12-11 629
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。未经许可,禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。代码审计是使用静态分析发现源代码中安全缺陷的方法,辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并已成为安全开发生命周期SDL 和DevS...
ThinkPHP 日志信息泄露漏洞复现
小小猪的博客
11-15 5373
ThinkPHP 日志信息泄露漏洞复现 漏洞简介 ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多网站都没有关 ThinkPHP默认安装后,也会在Runtime目录下生成日志 THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.log THINKPHP3.1结构:Runtime\Logs\Home\16_09_09.log 日...
如何打动用户携程用户体验实践分享
02-20
进入Web2.0时代以来,用户体验(UserExperience)逐渐在互联网站实践中被发掘、提炼和延展,它贯穿产品的整个环节,于细微处体现着价值,助推着商机,在企业快速成长的征途中将成为核心竞争力之一。伴随这一趋势,...
携程实时用户行为系统实践
01-27
携程实时用户行为服务作为基础服务,目前普遍应用在多个场景中,比如猜你喜欢(携程的推荐系统),动态广告,用户画像,浏览历史等等。以猜你喜欢为例,猜你喜欢为应用内用户提供潜在选项,提高成交效率。旅行是一项...
ThinkPHP 日志信息泄露——漏洞复现
热门推荐
W小哥
02-20 2万+
一、漏洞简介 1、ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多网站都没有关 2、ThinkPHP默认安装后,也会在Runtime目录下生成日志 THINKPHP3.2 结构:Application\Runtime\Logs\Home\16_09_09.log THINKPHP3.1结构:Runtime\Logs\Home\16_09_09.log 日志存储结构是 :项目名\Runtime\Logs\Home\年份_月份_日期.log 注意: 日志信息非常详细
携程漏洞事件暴露支付安全现状 CVV码不应保留
u014313227的专栏
03-24 1379
根据乌云漏洞平台的描述,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。 持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等重要用户信息均被泄露。这一事件使得携程招致巨大的用户信任危机,其官方微博也遭受大量用户
漏洞复现篇——文件包含漏洞进阶-日志文件漏洞
爱国小白帽
02-19 1933
日志文件漏洞原理 当某个PHP文件存在本地包含漏洞,而却无法上传正常文件,这就意味这有包含漏洞却不能拿来利用,这时攻击者就有可能会利用apache日志文件来入侵。 Apache服务器运行后会生成两个日志文件,这两个文件是access.log(访问日志)和error.log(错误日志),apache的日志文件记录下我们的操作,并且写到访问日志文件access.log之中 例如:http://192...
【数据库技术】SQL语言基础操作示例:创建学生表、插入与查询数据入门教程
08-22
内容概要:本文档提供了一个简单的SQL语言示例,旨在帮助初学者快速掌握SQL的基本操作。示例的功能是创建一个学生表并插入数据,然后查询所有学生信息。首先,通过`CREATE TABLE`语句创建一个名为Students的表,定义了表的结构,包括id(自动递增主键)、name(非空字符串)、age(整数)和grade(字符串)四个字段。接着,利用`INSERT INTO`语句向表中插入了三条学生记录。最后,使用`SELECT * FROM`语句查询并显示了表中的所有数据。文中还简要介绍了运行这些SQL语句的方法,包括打开MySQL客户端、连接到指定数据库以及执行代码的具体步骤。 适合人群:对SQL语言感兴趣的初学者,尤其是刚开始接触数据库操作的新手。 使用场景及目标:①学习如何在SQL中创建表,定义表结构;②掌握向表中插入数据的方法;③学会使用查询语句从表中检索数据。 其他说明:此示例基于MySQL数据库,但大部分SQL语法具有通用性,适用于其他关系型数据库系统。建议读者按照文中提供的步骤,在自己的环境中实际操作,以便更好地理解和掌握SQL的基本概念和操作。
python38-pytz-2019.3-3.module_el8.5.0+742+dbad1979.tar.gz
最新发布
08-22
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
2024 年大模型面试必备宝典:全方位知识梳理与高效应试指南
08-22
资源下载链接为: https://pan.quark.cn/s/262584c7179b 在大模型蓬勃发展的当下,无论是校招还是社招,大模型相关岗位竞争愈发激烈,面试难度也不断攀升。为助力大家成功应对大模型面试,特推出《2024 大模型面试全攻略》 。 这本攻略全面且系统,从基础理论到进阶应用,从模型微调技巧到前沿技术探索,涵盖了大模型面试的各个关键领域。它不仅梳理了主流开源模型体系的特点与应用场景,如 GPT 系列、BERT、XLNet 等;还深入剖析了模型训练过程中的关键环节,像预训练与微调的流程及要点。 在面试题方面,无论是基础的 “目前主流的开源模型体系有哪些”“大模型 LLM 的架构介绍”,还是进阶的 “如何让大模型处理更长的文本”“如何缓解 LLMs 复读机问题”,亦或是微调相关的 “如果想要在某个模型基础上做全参数微调,究竟需要多少显存” 等高频问题,都能在其中找到详细解答。 此外,针对 LangChain、参数高效微调(PEFT)等热门技术,攻略也提供了丰富的面试问答与深度解析,帮助读者精准把握面试要点,提升面试成功率 。无论是初涉大模型领域的新手,还是寻求突破的资深从业者,《2024 大模型面试全攻略》都将是你求职路上的得力助手,助你在大模型面试中脱颖而出 。
python3-zxcvbn-4.4.28-2.el8.tar.gz
08-22
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
基于Python + Django的AD_Exchange管理系统.zip
08-22
基于Python + Django的AD_Exchange管理系统.zip
携程:Hadoop集中日志与信息生态揭秘
携程是一家全球知名的在线旅游服务公司,其在信息技术基础设施上采用了先进的集中式日志管理系统和周边生态来支持业务运营和数据分析。这个系统称为Ctrip R&D Framework,特别注重于2013年4月的版本,旨在实现高效、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值