本文详细分析了2014年携程信用卡门事件,揭示了由于线上调试接口导致敏感信息明文存储及服务器目录遍历漏洞,使得用户信用卡关键信息,包括卡号、CVV码等泄露。虽然携程及时处理,但提醒用户应保护好自己的信用卡信息,如CVV2码,以防止潜在的风险。
把前断时间写的几篇漏洞分析的报告传上来
关于携程信用卡门事件的信息汇总和分析
一. 携程漏洞事件爆出
2014-03-22在乌云漏洞平台,爆出了携程安全支付日志可遍历下载,导致用户信息卡关键信息泄露
二. 透露出的产生漏洞的原因
据携程官方答复为是技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除,目前,这些信息已被全部删除,经携程排查,仅漏洞发现人做了测试下载,内容含有极少量加密卡号信息,共涉及93名存在潜在风险的携程用户。
根据漏洞作者本人、携程官方说法根据及各方信息报道来看,携程此次用户信息泄露事件,是产品调试过程中,保存了日志并在Web.config 开了目录遍历,然后可以利用目录遍历攻击漏洞,从而访问到文件系统调试日志信息。
也就是说这次事件中携程是两个事件的关联发生导致的漏洞爆发:
1.线上调试接口导致敏感的信用卡信息明文存储在日中文件中
2.是服务器存在目录遍历漏洞,导致所谓的调试信息日志泄露
这次漏洞比较受关注的原因是因为用户信用卡关键信息被泄露。
信用卡公司和金融机构采用PCI-DSS (Payment Card Industry-data storagesecurity)一种第三方支付的规范来保证信用卡人的信息防止被他人利用 及3D 验证的方式保证信用卡支付使用安全(3D验证一般是在支付时候会弹框要求输入更加详细
最低0.47元/天 解锁文章
扫一扫
4038
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
