2014-07-07:细节已通知厂商并且等待厂商处理中
2014-07-07:厂商已经主动忽略漏洞,细节向公众公开
只需要信用卡有效期和卡号即可消费
详细说明:#1 场景如下
XX:您好,请问我刚在网上预定***,为什么没输入密码,就把银行卡里的钱给扣了?
客服:(此处省略1000字),因为就是不用输入密码啊,(此处再次省略1000000字)..
话外音:!@#¥%……&**(……%%@(惊出了一身冷汗)@#$%^&*())..最终结果是:客服说无法解释,再次惊呆了...
好吧 既然你们对用户这么不负责任,那么我也就不客气了..
#2 支付过程
过程真的很简单,全是正常的流程..
step1 随便预定一个门票(或其他);
step2 正常填写,直到这里(真正的姓名,身份证可Google搜索一个),信用卡支付
选择信用卡,点击下一步提交,到了这里,如图
这里填写一个合法的信用卡卡号,正常提交..,几分钟后,奇迹出现了...
短信提示成功预定,扣款XXXRMB,就这么简单的流程?是的 就这么简单..
什么?居然不相信自己的眼睛?好吧 打客服电话询问,确实成功预订!漏洞证明:
#3 结束语
成功预定的短信我不想截图,我也不想多说其他什么
请给广大用户一个合理的解释...
版权声明:转载请注明来源 felixk3y@乌云 漏洞回应 厂商回应:危害等级:无影响厂商忽略
忽略时间:2014-07-07 01:21
厂商回复:您好:
经过与您的沟通与确认,此问题为误报。
在携程信用卡支付过程中,不同的银行和支付渠道会要求提交不同的支付信息,有的银行只需要卡号和有效期就可以完成支付,而不需要其他繁琐的验证,其支付风控措改由后端完成,表面上用户“简单”了,但是控制措施会从其他方面弥补,总体安全性并无减弱。
另外,使用伪卡或盗用其他人的卡片信息进行支付是违法行为,携程旅行网提醒用户妥善保管好自己的信用卡信息,以免影响用卡安全。携程旅行网已经通过了PCI认证,将与银行会对此类行为加强风控管控,携手银行一起为用户提供更安全与便捷的支付体验。
我们对此漏洞选择了忽略,携程旅行网非常重视各类安全问题,如有疑问请随时与我们联系,感谢支持与反馈!
暂无