大爷的,我携程有绑定信用卡!!!!
http://www.wooyun.org/bugs/wooyun-2014-054302提交日期 漏洞名称 评论/关注 作者
2014-03-22 携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
漏洞概要 关注数(37) 关注此漏洞
缺陷编号: WooYun-2014-54302
漏洞标题: 携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)
相关厂商: 携程旅行网
漏洞作者: 猪猪侠
提交时间: 2014-03-22 18:18
漏洞类型: 敏感信息泄露
危害等级: 高
漏洞状态: 等待厂商处理
漏洞来源:
http://www.wooyun.orgTags标签: 无
1人收藏 收藏 分享漏洞:4
漏洞详情
披露状态:
2014-03-22: 细节已通知厂商并且等待厂商处理中
简要描述:
携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。
(类似IIS或Apache的访问日志,记录URL POST内容)。
同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
其中泄露的信息包括用户的:
持卡人姓名
持卡人身份证
所持银行卡类别(比如,招商银行信用卡、中国银行信用卡)
所持银行卡卡号
所持银行卡CVV码
所持银行卡6位Bin(用于支付的6位数字)
漏洞hash:bf9165488f5e2ea3ca02ec6b310446b0
漏洞概要 关注数(15) 关注此漏洞
缺陷编号: WooYun-2014-54298
漏洞标题: 携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)
相关厂商: 携程旅行网
漏洞作者: 猪猪侠
提交时间: 2014-03-22 17:28
漏洞类型: 敏感信息泄露
危害等级: 高
漏洞状态: 等待厂商处理
漏洞来源:
http://www.wooyun.orgTags标签: 无
1人收藏 收藏 分享漏洞:0
漏洞详情
披露状态:
2014-03-22: 细节已通知厂商并且等待厂商处理中
简要描述:
发布时候存留下来的代码包。
漏洞hash:e13d1155b3700de30e14bcf28b3a9137