携程被曝支付日志漏洞致用户信用卡信息泄露

漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息(链接),指出携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银 行卡号、卡CVV码、6位卡Bin),并称已将细节通知厂商并且等待厂商处理中。此外,携程还被曝携程某分站源代码包可直接下载。

漏洞详情描述:

由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

携程旅行网回应:

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-09-19 08:53:07

携程被曝支付日志漏洞致用户信用卡信息泄露的相关文章

携程支付日志漏洞 用户信用卡信息泄露

漏洞报告平台乌云网今日在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历下载,导致大量用户 银行卡信息泄露(包含持卡人姓名身份证.银行卡号.卡CVV码.6位卡Bin),并称已将细节通知厂商并且等待厂商处理中.此外,携程还被曝携程某分站源代码包可直接下载.漏洞详情描述:由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来.同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取.所谓遍历

Google Play隐私保护出漏洞 付费用户个人信息泄露

中介交易 SEO诊断 淘宝客 云主机 技术大厅 Google Play隐私保护出漏洞(腾讯科技配图) 腾讯科技讯(王芮) 北京时间2月15日消息,据国外媒体报道,谷歌(微博)应用商店Google Play在没有获得用户许可的情况下,将付费用户的个人信息透露给了应用开发者. 根据澳大利亚的一位应用开发者丹-诺兰(Dan Nolan)透露,谷歌曾发送给他购买他的应用用户的姓名.住址以及电子邮箱地址,而这些资料足以使他能找到并骚扰那些留下负面评价的用户.诺兰是在近期升级付费用户信息时在他的"商家账户&

搜狗浏览器被曝存安全漏洞 用户账户信息遭泄露

新华社上海11月5日新媒体专电(记者高少华)http://www.aliyun.com/zixun/aggregation/10910.html">搜狗浏览器5日被曝出存在严重安全漏洞,用户使用QQ账号登录搜狗浏览器,可以查看到数千个其他用户的个人账号,包括QQ.邮箱.支付宝.银行等用户账户信息,从而给网民信息安全带来巨大隐患. 网友"k53941"5日上午在专业技术论坛"卡饭"上称,发现搜狗浏览器一个大漏洞,用QQ账号登录搜狗,快速点击几下退出 然

携程再曝重大漏洞:怎么又是信用卡

3月份,乌云漏洞报告平台公布的最新漏洞称,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证.银行卡号.卡CVV码.6位卡Bin).乌云网称已将细节通知厂商并且等待厂商处理中.此外,携程还被曝携程某分站源代码包可直接下载.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="携程再曝重大漏洞:怎么又是信用卡" width=&quo

从携程信用卡信息泄露事件谈网上支付安全

最近携程被爆信用卡信息泄露事件,事件内容:http://www.wooyun.org/bugs/wooyun-2010-054302 携程声明:http://pages.ctrip.com/commerce/promote/201403/other/xf/index.html 各种互联网大公司网站各种漏洞:http://www.wooyun.org/index.php 首先,用户通过携程订票在支付时,会将自己的信用卡支付信息在携程的页面中填写好,然后携程通过银行给的接口将表单信息传送给银行进行验

东航被曝系统漏洞或致大量用户订单信息泄露

乌云漏洞在12月2日晚间公开了一个关于东方航空大量用户订单信息泄露的漏洞.该漏洞于12月2日提交,漏洞类型为重要敏感信息泄露,危害等级为高.12月2日20:19,乌云白帽子"路人甲"提交了一个关于"东方航空大量用户订单信息泄露"的漏洞,不过目前,漏洞状态仍然是"等待厂商处理".资深航空从业人士指出,这样的漏洞会导致关于旅客姓名.手机号以及航班信息等资料外泄."近期航班短信诈骗频发,如果这些重要信息被不法分子拿到,后果不堪设想."

携程信用卡信息泄露的五个基本问题,别拿PCI DSS说事!

携程信用卡信息泄露事件昨日曝光后持续发酵,由于携程用户数量巨大,且在在线旅游业OTA行业树大招风,各路好汉番茄鸡蛋一起招呼,使得此事件大有闹剧化和狗血化趋势.一些不明真相的群众受到别有用心的煽动,开始对用卡安全产生担忧,以下安全牛不代表任何一方利益,仅仅摆一摆几个基本事实和问题: 一.在乌云平台上曝光的携程漏洞是什么? 携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户的支付记录用文本保存了下来.同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中

陕汽德龙被曝早产质量缺陷致用户伤残

曝陕汽集团涉嫌违法销售非公告产品系列报道之一 陕汽德龙被曝早产 质量缺陷致用户伤残 背景: 日前,人民网(603000)黑龙江频道报道称,600多万元购买陕汽重卡集体出现问题,引起社会各界广泛关注.当日,当地工商部门正式立案并致函陕西重汽公司,要求陕汽就"问题"自卸货车是否为非公告车型一事提交相关证明材料. 根据人民网要求,人民网黑龙江频道联合陕西频道,对此事进行系列调查. 1月6日,记者从哈尔滨市工商局获悉,黑龙江汇通建设发展有限公司于2012年在哈尔滨购买的20台陕汽德龙F3000

小米今日再爆另一安全漏洞 可致用户资料大量泄露

小米今日再爆另一安全漏洞 可致用户资料大量泄露[TechWeb报道]5月14日消息,继昨日小米被爆出现一安全漏洞致用户账号信息泄露之后,今日乌云网再次 曝光了小米又一新漏洞,该漏洞显示小米科技某安全漏洞影响88W+360W数据,其漏洞类型为用户资料大量泄漏,同时厂商已经确认.目前小米官方还未对这一新漏洞进行回应.昨日晚间,有微博爆料称小米论坛用户数据库疑似泄露,涉及800万小米论坛注册用户.小米今日早间发布公告,承认确有部分2012年8月前注册的论坛账号信息被非法获取.