|
携程安全门带来的思考
由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
携程事件在微博上已经沸沸扬扬了,不少朋友还不太清楚整个过程,也不了解漏洞情况, 这个事件最早被曝光是在乌云(wooyun.org,白帽子漏洞发布平台)上的一个漏洞概述: 漏洞详情描述: 由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。 言下之意就是你只要用了这个接口进行支付,你提交的信息就被存在了服务器,如果有黑客可以入侵该服务器的话,就能读取到这些内容。携程官方给出的评论是说在调试过程中间,有两小时左右用户的支付信息是被明文保存在服务器上的,其中最严重的是信用卡信息泄露,包括但不限于持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等。比较幸运的是,这些数据没有被保存在任何数据库里面,只是存在日志中间,看起来很像是一场意外,比起一些直接保存私密信息进数据库的行为,这个从责任上看是疏忽,不算是恶劣行径。 但是注意,上面说的是如果有黑客入侵的情况。事实上还真就能入侵, 因为存在另一个漏洞--安全日志可以遍历下载! 这个的原因据携程自己人说是webconfig开了目录遍历,具体情况我也不太清楚,然而就是这个遍历漏洞,把影响扩大了,导致用户不得不去换卡,人心惶惶。但是这个漏洞也某种程度转移了注意力,让携程把用户的目光转移到:消灭遍历漏洞,就能保护住用户隐私安全了。那么如果这个安全日志遍历的漏洞没有爆出来的话,就是安全了吗?
责编:王雅京
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|