3月22日晚间消息,漏洞报告平台乌云网连续发布两条漏洞报告,称携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,其中包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。
该漏洞的形成是由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。信用卡信息主要包含卡号、有效期、CVV2码等,其中打印在卡片签名区的3位CVV2码又被称作“第二密码”,只要提供CVV2码,就能完成支付。
对于此安全支付类漏洞,梆梆安全专家说到“随着移动互联网的快速发展,很多web端的漏洞已经逐渐减少,而很多新的漏洞则是从移动APP端找到,并发起攻击的,携程工程师说到web端的调试漏洞已经关系,很有可能这个调试漏洞是从携程APP端发起攻击的。而携程的问题主要包含三个方面:一,服务器不合规,存在调试接口未关闭以及遍历漏洞;二,缺乏健全的安全评估机制,不能提前发现客户端和服务器调试接口未关闭等安全隐患;三,客户端调试接口未关闭导致可利用客户端的调试功能获取指定客户的银行卡资料。”
梆梆安全专家提醒各位开发者,绝大部分移动App中都有很多的代码缺陷和逻辑漏洞、会直接引向对服务器的漏洞挖掘和攻击,要做好移动客户端安全、保护好移动端这个新入口、才能降低因客户端而带来的服务器系统安全。
同时,在梆梆安全加固的所有支付类产品里,针对类携程类的支付漏洞,梆梆安全加固都做了完美的预案,加固之前,通过专业的安全评估服务做客户端安全检测,提前发现其中调试接口漏洞等安全隐患,具体可从系统、业务、账号、数据和应用安全等全方位进行安全评估,符合人行安全评估标准;客户端安全加固产品,可以给客户端加壳保护,确保客户端不能被黑客工具调试,杜绝了调试后暴露用户隐私数据等风险。梆梆安全加固服务重构了1024位的指令集映射,安全强度可比拟SHA1,可以很好的防止客户端被调试、反编译和动态注入。
关于梆梆安全:业内最专业的移动安全解决方案提供商,在世界第一的安全与支付展览会Cartes2014大会荣获“2013年度全球安全技术突破大奖”,是国际IEEE-ICSG(国际顶级安全协会:国际电气电子工程师学会工业通讯安全协会)成员单位,提供业内最专业的客户端安全加固产品和安全评估服务。
3275
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
