漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-067647
漏洞标题:携程安全支付存在安全隐患(只需要信用卡日期和卡号就可进行消费)
相关厂商:携程旅行网
漏洞作者: felixk3y
提交时间:2014-07-07 00:18
修复时间:2014-07-07 01:21
公开时间:2014-07-07 01:21
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-07: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
只需要信用卡有效期和卡号即可消费
详细说明:
#1 场景如下
#2 支付过程
过程真的很简单,全是正常的流程..
漏洞证明:
#3 结束语
成功预定的短信我不想截图,我也不想多说其他什么
修复方案:
请给广大用户一个合理的解释...
版权声明:转载请注明来源 felixk3y@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-07-07 01:21
厂商回复:
您好:
经过与您的沟通与确认,此问题为误报。
在携程信用卡支付过程中,不同的银行和支付渠道会要求提交不同的支付信息,有的银行只需要卡号和有效期就可以完成支付,而不需要其他繁琐的验证,其支付风控措改由后端完成,表面上用户“简单”了,但是控制措施会从其他方面弥补,总体安全性并无减弱。
另外,使用伪卡或盗用其他人的卡片信息进行支付是违法行为,携程旅行网提醒用户妥善保管好自己的信用卡信息,以免影响用卡安全。携程旅行网已经通过了PCI认证,将与银行会对此类行为加强风控管控,携手银行一起为用户提供更安全与便捷的支付体验。
我们对此漏洞选择了忽略,携程旅行网非常重视各类安全问题,如有疑问请随时与我们联系,感谢支持与反馈!
最新状态:
暂无