[公开漏洞]携程安全支付存在安全隐患（只需要信用卡日期和卡号就可进行消费）

携程安全支付存在安全隐患（只需要信用卡日期和卡号就可进行消费） 相关厂商： 携程旅行网 漏洞作者：felixk3y 提交时间：2014-07-07 00:18 公开时间：2014-07-07 01:21 漏洞类型：设计缺陷/逻辑错误 危害等级：高 自评Rank：20 漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞 漏洞来源：http://www.wooyun.org Tags标签： 设计不当 设计缺陷 支付行业敏感 漏洞详情 披露状态：

2014-07-07：细节已通知厂商并且等待厂商处理中
2014-07-07：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

只需要信用卡有效期和卡号即可消费

详细说明：

#1 场景如下

XX：您好，请问我刚在网上预定***，为什么没输入密码，就把银行卡里的钱给扣了?

客服：（此处省略1000字），因为就是不用输入密码啊,（此处再次省略1000000字）..

话外音：！@#￥%……&**（……%%@（惊出了一身冷汗）@#$%^&*())..

最终结果是：客服说无法解释，再次惊呆了...

好吧 既然你们对用户这么不负责任，那么我也就不客气了..

#2 支付过程

过程真的很简单，全是正常的流程..

step1 随便预定一个门票(或其他);

step2 正常填写，直到这里（真正的姓名，身份证可Google搜索一个），信用卡支付

选择信用卡，点击下一步提交，到了这里，如图

这里填写一个合法的信用卡卡号，正常提交..，几分钟后，奇迹出现了...

短信提示成功预定，扣款XXXRMB，就这么简单的流程？是的 就这么简单..

什么？居然不相信自己的眼睛？好吧 打客服电话询问，确实成功预订!

漏洞证明：

#3 结束语

成功预定的短信我不想截图，我也不想多说其他什么

修复方案：

请给广大用户一个合理的解释...

版权声明：转载请注明来源 felixk3y@乌云 漏洞回应 厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-07-07 01:21

厂商回复：

您好：

经过与您的沟通与确认，此问题为误报。

在携程信用卡支付过程中，不同的银行和支付渠道会要求提交不同的支付信息，有的银行只需要卡号和有效期就可以完成支付，而不需要其他繁琐的验证，其支付风控措改由后端完成，表面上用户“简单”了，但是控制措施会从其他方面弥补，总体安全性并无减弱。

另外，使用伪卡或盗用其他人的卡片信息进行支付是违法行为，携程旅行网提醒用户妥善保管好自己的信用卡信息，以免影响用卡安全。携程旅行网已经通过了PCI认证，将与银行会对此类行为加强风控管控，携手银行一起为用户提供更安全与便捷的支付体验。

我们对此漏洞选择了忽略，携程旅行网非常重视各类安全问题，如有疑问请随时与我们联系，感谢支持与反馈！

最新状态：

暂无