携程安全门带来的思考

携程事件在微博上已经沸沸扬扬了，不少朋友还不太清楚整个过程，也不了解漏洞情况， 这个事件最早被曝光是在乌云(wooyun.org,白帽子漏洞发布平台)上的一个漏洞概述：

漏洞详情描述：

由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

言下之意就是你只要用了这个接口进行支付，你提交的信息就被存在了服务器，如果有黑客可以入侵该服务器的话，就能读取到这些内容。携程官方给出的评论是说在调试过程中间，有两小时左右用户的支付信息是被明文保存在服务器上的，其中最严重的是信用卡信息泄露，包括但不限于持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。比较幸运的是，这些数据没有被保存在任何数据库里面，只是存在日志中间，看起来很像是一场意外，比起一些直接保存私密信息进数据库的行为，这个从责任上看是疏忽，不算是恶劣行径。

但是注意，上面说的是如果有黑客入侵的情况。事实上还真就能入侵， 因为存在另一个漏洞--安全日志可以遍历下载! 这个的原因据携程自己人说是webconfig开了目录遍历，具体情况我也不太清楚，然而就是这个遍历漏洞，把影响扩大了，导致用户不得不去换卡，人心惶惶。但是这个漏洞也某种程度转移了注意力，让携程把用户的目光转移到：消灭遍历漏洞，就能保护住用户隐私安全了。那么如果这个安全日志遍历的漏洞没有爆出来的话，就是安全了吗?

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友