携程安全门带来的思考

来源: 互联网
2014/3/24 13:02:07
由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

分享到: 新浪微博 腾讯微博
本文关键字: 携程网 安全门 其它安全

携程事件在微博上已经沸沸扬扬了,不少朋友还不太清楚整个过程,也不了解漏洞情况, 这个事件最早被曝光是在乌云(wooyun.org,白帽子漏洞发布平台)上的一个漏洞概述:

\

漏洞详情描述:

由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。

言下之意就是你只要用了这个接口进行支付,你提交的信息就被存在了服务器,如果有黑客可以入侵该服务器的话,就能读取到这些内容。携程官方给出的评论是说在调试过程中间,有两小时左右用户的支付信息是被明文保存在服务器上的,其中最严重的是信用卡信息泄露,包括但不限于持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。比较幸运的是,这些数据没有被保存在任何数据库里面,只是存在日志中间,看起来很像是一场意外,比起一些直接保存私密信息进数据库的行为,这个从责任上看是疏忽,不算是恶劣行径。

但是注意,上面说的是如果有黑客入侵的情况。事实上还真就能入侵, 因为存在另一个漏洞--安全日志可以遍历下载! 这个的原因据携程自己人说是webconfig开了目录遍历,具体情况我也不太清楚,然而就是这个遍历漏洞,把影响扩大了,导致用户不得不去换卡,人心惶惶。但是这个漏洞也某种程度转移了注意力,让携程把用户的目光转移到:消灭遍历漏洞,就能保护住用户隐私安全了。那么如果这个安全日志遍历的漏洞没有爆出来的话,就是安全了吗?

共2页: 上一页1 [2]
责编:王雅京
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map