当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-067647

漏洞标题:携程安全支付存在安全隐患(只需要信用卡日期和卡号就可进行消费)

相关厂商:携程旅行网

漏洞作者: felixk3y

提交时间:2014-07-07 00:18

修复时间:2014-07-07 01:21

公开时间:2014-07-07 01:21

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

只需要信用卡有效期和卡号即可消费

详细说明:

#1 场景如下

XX:您好,请问我刚在网上预定***,为什么没输入密码,就把银行卡里的钱给扣了?
客服:(此处省略1000字),因为就是不用输入密码啊,(此处再次省略1000000字)..


话外音:!@#¥%……&**(……%%@(惊出了一身冷汗)@#$%^&*())..

最终结果是:客服说无法解释,再次惊呆了...
好吧 既然你们对用户这么不负责任,那么我也就不客气了..


#2 支付过程
过程真的很简单,全是正常的流程..

step1 随便预定一个门票(或其他);


step2 正常填写,直到这里(真正的姓名,身份证可Google搜索一个),信用卡支付


选择信用卡,点击下一步提交,到了这里,如图


1.jpg


这里填写一个合法的信用卡卡号,正常提交..,几分钟后,奇迹出现了...
短信提示成功预定,扣款XXXRMB,就这么简单的流程?是的 就这么简单..
什么?居然不相信自己的眼睛?好吧 打客服电话询问,确实成功预订!

漏洞证明:

#3 结束语
成功预定的短信我不想截图,我也不想多说其他什么

修复方案:

请给广大用户一个合理的解释...

版权声明:转载请注明来源 felixk3y@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-07-07 01:21

厂商回复:

您好:
经过与您的沟通与确认,此问题为误报。
在携程信用卡支付过程中,不同的银行和支付渠道会要求提交不同的支付信息,有的银行只需要卡号和有效期就可以完成支付,而不需要其他繁琐的验证,其支付风控措改由后端完成,表面上用户“简单”了,但是控制措施会从其他方面弥补,总体安全性并无减弱。
另外,使用伪卡或盗用其他人的卡片信息进行支付是违法行为,携程旅行网提醒用户妥善保管好自己的信用卡信息,以免影响用卡安全。携程旅行网已经通过了PCI认证,将与银行会对此类行为加强风控管控,携手银行一起为用户提供更安全与便捷的支付体验。
我们对此漏洞选择了忽略,携程旅行网非常重视各类安全问题,如有疑问请随时与我们联系,感谢支持与反馈!

最新状态:

暂无