当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-067647

漏洞标题:携程安全支付存在安全隐患(只需要信用卡日期和卡号就可进行消费)

相关厂商:携程旅行网

漏洞作者: felixk3y

提交时间:2014-07-07 00:18

修复时间:2014-07-07 01:21

公开时间:2014-07-07 01:21

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

只需要信用卡有效期和卡号即可消费

详细说明:

#1 场景如下

XX:您好,请问我刚在网上预定***,为什么没输入密码,就把银行卡里的钱给扣了?
客服:(此处省略1000字),因为就是不用输入密码啊,(此处再次省略1000000字)..


话外音:!@#¥%……&**(……%%@(惊出了一身冷汗)@#$%^&*())..

最终结果是:客服说无法解释,再次惊呆了...
好吧 既然你们对用户这么不负责任,那么我也就不客气了..


#2 支付过程
过程真的很简单,全是正常的流程..

step1 随便预定一个门票(或其他);


step2 正常填写,直到这里(真正的姓名,身份证可Google搜索一个),信用卡支付


选择信用卡,点击下一步提交,到了这里,如图


1.jpg


这里填写一个合法的信用卡卡号,正常提交..,几分钟后,奇迹出现了...
短信提示成功预定,扣款XXXRMB,就这么简单的流程?是的 就这么简单..
什么?居然不相信自己的眼睛?好吧 打客服电话询问,确实成功预订!

漏洞证明:

#3 结束语
成功预定的短信我不想截图,我也不想多说其他什么

修复方案:

请给广大用户一个合理的解释...

版权声明:转载请注明来源 felixk3y@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-07-07 01:21

厂商回复:

您好:
经过与您的沟通与确认,此问题为误报。
在携程信用卡支付过程中,不同的银行和支付渠道会要求提交不同的支付信息,有的银行只需要卡号和有效期就可以完成支付,而不需要其他繁琐的验证,其支付风控措改由后端完成,表面上用户“简单”了,但是控制措施会从其他方面弥补,总体安全性并无减弱。
另外,使用伪卡或盗用其他人的卡片信息进行支付是违法行为,携程旅行网提醒用户妥善保管好自己的信用卡信息,以免影响用卡安全。携程旅行网已经通过了PCI认证,将与银行会对此类行为加强风控管控,携手银行一起为用户提供更安全与便捷的支付体验。
我们对此漏洞选择了忽略,携程旅行网非常重视各类安全问题,如有疑问请随时与我们联系,感谢支持与反馈!

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-06 22:33 | 【|→上善若水】 ( 普通白帽子 | Rank:127 漏洞数:25 | 【|→上善若水】)

    @felixk3y 坑爹啊,难怪我最近的银行卡钱少的多啊。没找到原因!

  2. 2014-07-06 22:34 | YY-2012 ( 普通白帽子 | Rank:2763 漏洞数:641 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    我的留言会上新闻吗?呀灭蝶

  3. 2014-07-06 22:34 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    楼主,你这样不怕被水表吗

  4. 2014-07-06 22:35 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

    我要上新闻啊 啊哈哈哈哈

  5. 2014-07-06 22:36 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    携程....坐等

  6. 2014-07-06 22:36 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

    前排出售瓜子

  7. 2014-07-06 22:36 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    不是吧,有张张银行卡右上角写着携程。支付的问题在网络中直接关系个人利益,悲催的携程,求修补a。。。

  8. 2014-07-06 22:36 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    真腻害

  9. 2014-07-06 22:37 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    上新闻。

  10. 2014-07-06 22:39 | 雅柏菲卡 ( 普通白帽子 | Rank:1213 漏洞数:234 | 雙魚座聖鬥士雅柏菲卡)

    坐等雷劈

  11. 2014-07-06 22:39 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    得火啊!!!!!火前留名

  12. 2014-07-06 22:39 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    我很想了解这个流程是怎么完成的?可消费任意信用卡 太吓人了...

  13. 2014-07-06 22:40 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    第一页,上CCTV

  14. 2014-07-06 22:40 | roker ( 普通白帽子 | Rank:357 漏洞数:108 )

    前排没抢到啊!!

  15. 2014-07-06 22:41 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

    CCTV我来了

  16. 2014-07-06 22:41 | 忆苦思甜 ( 实习白帽子 | Rank:65 漏洞数:25 )

    要上新闻了。

  17. 2014-07-06 22:41 | 小小鸟 ( 路人 | Rank:8 漏洞数:6 | 小白一个)

    赶快前排占位子

  18. 2014-07-06 22:42 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    bus?

  19. 2014-07-06 22:42 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    前排占位

  20. 2014-07-06 22:42 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

    楼主对携程致命一击

  21. 2014-07-06 22:43 | Hero ( 普通白帽子 | Rank:116 漏洞数:31 | 药药切克闹,充气娃娃迷幻药)

    据说又要上CCAV?

  22. 2014-07-06 22:44 | IT偏执狂 ( 路人 | Rank:6 漏洞数:3 | 禁锢我们的究竟是什么?)

    错别字算是漏洞吗?

  23. 2014-07-06 22:44 | xssing ( 路人 | Rank:10 漏洞数:7 | xssing)

    我得赶紧前排占座。。。坐等上新闻

  24. 2014-07-06 22:47 | 狗狗侠 ( 普通白帽子 | Rank:497 漏洞数:55 | 我是狗狗侠)

    赶紧抛股票。。。又TMD得跌了。。。“携程在手,说走就走”!

  25. 2014-07-06 22:47 | 迦南 ( 路人 | Rank:14 漏洞数:11 | 我不是玩黑,我就是认真)

    坐等上新闻

  26. 2014-07-06 22:47 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    我擦、

  27. 2014-07-06 22:49 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    顶洞主

  28. 2014-07-06 22:49 | 秋末诉伤 ( 实习白帽子 | Rank:90 漏洞数:27 | nonono)

    出售瓜子花生饮料

  29. 2014-07-06 22:49 | Noxxx ( 普通白帽子 | Rank:509 漏洞数:41 )

    前排

  30. 2014-07-06 22:49 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    来晚了,我才是来上新闻的。没给打雷标志,可能就是一些不是很高级的漏洞了,目测携程真的可以说是误操作。

  31. 2014-07-06 22:49 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    要遭雷劈。

  32. 2014-07-06 22:51 | aaaaty ( 实习白帽子 | Rank:83 漏洞数:28 | 爱情就像,我问服务器whoami,它说root)

    又要上电视的感觉。

  33. 2014-07-06 22:51 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    巴扎黑~~

  34. 2014-07-06 22:52 | 马燕羊蝎子 ( 实习白帽子 | Rank:83 漏洞数:10 | 亲,啥时候请吃马燕羊蝎子。)

    别吓我好不好,刚拍了一锅羊蝎子...

  35. 2014-07-06 22:52 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    e

  36. 2014-07-07 01:37 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    呀,竟然给恢复出来了!删掉的原来可以恢复哦, 看来乌云有垃圾站功能啊。

  37. 2014-07-07 02:35 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    求上ccav。。。。求上ccav。。。。求上ccav

  38. 2014-07-07 03:43 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    镜头请采访我

  39. 2014-07-07 04:12 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    楼上这些~话说这属于正常支付流程的……

  40. 2014-07-07 06:48 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    那岂不是只要我的信用卡卡号泄露就能被别人任意刷了?如果不是我刷的钱,这钱怎么追回呢?@携程旅行网

  41. 2014-07-07 06:54 | HackPanda ( 普通白帽子 | Rank:113 漏洞数:15 | Talk is cheap,show me the shell.)

    我支付也是这个流程阿…

  42. 2014-07-07 07:53 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    这个支付一直是这样的呀,有次同事在我电脑上支付了,浏览器记住了卡号呢,我可是随便消费。银行应该会负责的。

  43. 2014-07-07 08:11 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ,菜渣, 菜呀!)

    坐等楼主喝茶

  44. 2014-07-07 08:28 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    我也要上新闻

  45. 2014-07-07 08:46 | Debug0man ( 路人 | Rank:8 漏洞数:1 | 叽叽呗呗...)

    楼主貌似被警告了哈哈...

  46. 2014-07-07 09:25 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    已报警..

  47. 2014-07-07 09:38 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    坐看云起时:http://news.mydrivers.com/1/311/311167.htm

  48. 2014-07-07 09:39 | 只发通用型 ( 实习白帽子 | Rank:93 漏洞数:14 | 刷通用型奖金小号)

    估计又会有很多无良媒体出来黑携程了

  49. 2014-07-07 09:44 | 林枫 ( 实习白帽子 | Rank:44 漏洞数:6 | ....)

    携程的意思就是漏洞是存在的,如果钱被盗是用户信用卡卡号和有效期泄露造成的。

  50. 2014-07-07 10:06 | 浩森 ( 路人 | Rank:30 漏洞数:6 )

    第一页,上CCTV

  51. 2014-07-07 10:07 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    CCTV,我这楼层还来得及么?

  52. 2014-07-07 10:08 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    严格意义上说,携程确实趟枪了~

  53. 2014-07-07 10:38 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    我是ling,我为自己代言CCTV速度来,老子上电视了。

  54. 2014-07-07 10:39 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

    这样就支付成功了?还好我没信用卡啊

  55. 2014-07-07 10:48 | 小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)

    传说的大数据。。。

  56. 2014-07-07 10:57 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    这也算漏洞?那这个洞amazon存在十几年了。。

  57. 2014-07-07 10:58 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    前排花生瓜子八宝粥

  58. 2014-07-07 11:11 | ChinaMars ( 实习白帽子 | Rank:44 漏洞数:9 )

    国外信用卡支付都是这样的

  59. 2014-07-07 13:17 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    后排花生瓜子八宝粥

  60. 2014-07-07 14:58 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @ACGT amazon不需要提供CVV也可以的么?

  61. 2014-07-07 15:02 | Power ( 实习白帽子 | Rank:54 漏洞数:22 | 还需要等待.........)

    @ACGT 如果这样,搞点信用卡不就发了。。

  62. 2014-07-07 15:03 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @疯狗 狗哥,这算不算漏洞啊?是携程的问题还是说是银行接口的问题?按说银行接口应该不会这样设计啊,各种密码都不用

  63. 2014-07-07 15:05 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    有效期这个也是随便写的?

  64. 2014-07-07 15:20 | magerx ( 普通白帽子 | Rank:257 漏洞数:45 | 别说话。)

    @wefgod 有效期应该不是随便的

  65. 2014-07-07 15:26 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @疯狗 @ACGT @Power 需要cvv的 国内的分银行的

  66. 2014-07-07 15:35 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @magerx 如果是随便的那就真是大问题了。刚才看见原来洞主是拿朋友的来测的…………

  67. 2014-07-07 15:39 | menmen519 ( 普通白帽子 | Rank:762 漏洞数:146 | http://menmen519.blog.sohu.com/)

    估计是私下和谐了

  68. 2014-07-07 15:41 | 包子哥 ( 路人 | Rank:0 漏洞数:1 | test)

    我个人认为,在网上购物,不管是那家,只要不需要付任何费用,能消费,购买任何东西,都属于漏洞。(除去号被盗的可能信。)

  69. 2014-07-07 16:25 | 小五 ( 实习白帽子 | Rank:32 漏洞数:4 | 黑白两道,白当然好。)

    这根本不算漏洞。国外这样已经数年。

  70. 2014-07-07 16:56 | 牛奶坦克 ( 普通白帽子 | Rank:355 漏洞数:21 | 晚安,牛奶)

    我是来看评论的,看过后还是不明白,为什么最终的解释都变成了“国外也是这样做的”?

  71. 2014-07-07 17:01 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    看样子很多小伙伴都是高富帅,没有用过信用卡……信用卡号+信用卡有效期完成支付,这个应该是银行本身的问题,跟携程是没有多大关系的~。信用卡有效期+背面的7位数字都是特别重要的的东东,有经验的小伙伴肯定都把背面的7位数字都抠掉了~

  72. 2014-07-07 17:38 | web天空 ( 路人 | Rank:1 漏洞数:1 | 你猜镇,不告诉你村。)

    携程一个rank都没给,撸主应该郁闷坏了

  73. 2014-07-07 17:54 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    我只知道Amazon自己做支付网关,大部分的卡不用写CVV。

  74. 2014-07-07 18:17 | pentest ( 路人 | Rank:5 漏洞数:2 | pencil)

    楼主没有听说过CNP支付方式么?

  75. 2014-07-07 22:22 | Viigoss ( 实习白帽子 | Rank:36 漏洞数:5 | viigoss)

    国外信用卡付钱 都是卡号和CVV。就天朝加了个密码。

  76. 2014-07-07 23:30 | 网络小兵 ( 路人 | Rank:13 漏洞数:3 | t00ls)

    这个不算漏洞吧算是法律问题。

  77. 2014-07-08 01:55 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

    @小胖胖要减肥 @Power @疯狗 amazon.com信用卡支付只需要卡号、有效期、持卡人姓名,不需要cvv2,至少我的几张visa和master卡都没要过

  78. 2014-07-08 10:44 | 网络小兵 ( 路人 | Rank:13 漏洞数:3 | t00ls)

    @包子哥 这个漏洞是拿别人的信用卡里的钱来刷。。

  79. 2014-07-08 10:46 | 网络小兵 ( 路人 | Rank:13 漏洞数:3 | t00ls)

    @Power 的确是搞点信用卡就发了,国外市场大把这样的黑市。不过这个是违法的!多去了解吧。

  80. 2014-07-08 11:57 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @ACGT 哦 还要姓名的

  81. 2014-07-10 22:35 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    要火啊