携程安全门带来的思考由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。 携程事件在微博上已经沸沸扬扬了,不少朋友还不太清楚整个过程,也不了解漏洞情况, 这个事件最早被曝光是在乌云(wooyun.org,白帽子漏洞发布平台)上的一个漏洞概述:
漏洞详情描述: 由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。 言下之意就是你只要用了这个接口进行支付,你提交的信息就被存在了服务器,如果有黑客可以入侵该服务器的话,就能读取到这些内容。携程官方给出的评论是说在调试过程中间,有两小时左右用户的支付信息是被明文保存在服务器上的,其中最严重的是信用卡信息泄露,包括但不限于持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。比较幸运的是,这些数据没有被保存在任何数据库里面,只是存在日志中间,看起来很像是一场意外,比起一些直接保存私密信息进数据库的行为,这个从责任上看是疏忽,不算是恶劣行径。 但是注意,上面说的是如果有黑客入侵的情况。事实上还真就能入侵, 因为存在另一个漏洞--安全日志可以遍历下载! 这个的原因据携程自己人说是webconfig开了目录遍历,具体情况我也不太清楚,然而就是这个遍历漏洞,把影响扩大了,导致用户不得不去换卡,人心惶惶。但是这个漏洞也某种程度转移了注意力,让携程把用户的目光转移到:消灭遍历漏洞,就能保护住用户隐私安全了。那么如果这个安全日志遍历的漏洞没有爆出来的话,就是安全了吗? 责编:王雅京  微信扫一扫实时了解行业动态 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
