携程安全支付存在安全隐患（只需要信用卡日期和卡号就可进行消费）

admin

140846
文章

117
评论

2015年4月22日04:17:15评论636 views字数 244阅读0分48秒阅读模式

摘要

2014-07-07：细节已通知厂商并且等待厂商处理中
2014-07-07：厂商已查看当前漏洞内容,细节仅向厂商公开
2014-07-07：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(91) 关注此漏洞

缺陷编号： WooYun-2014-67647

漏洞标题：携程安全支付存在安全隐患（只需要信用卡日期和卡号就可进行消费）

漏洞作者： felixk3y

提交时间： 2014-07-07 00:18

公开时间： 2014-07-07 01:21

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：设计不当设计缺陷支付行业敏感

3人收藏

漏洞详情

披露状态：

简要描述：

只需要信用卡有效期和卡号即可消费

详细说明：

#1 场景如下

code 区域

XX：您好，请问我刚在网上预定***，为什么没输入密码，就把银行卡里的钱给扣了?
 客服：（此处省略1000字），因为就是不用输入密码啊,（此处再次省略1000000字）..

code 区域

话外音：！@#￥%……&**（……%%@（惊出了一身冷汗）@#$%^&*())..

code 区域

最终结果是：客服说无法解释，再次惊呆了...
 好吧 既然你们对用户这么不负责任，那么我也就不客气了..

#2 支付过程

过程真的很简单，全是正常的流程..

code 区域

step1 随便预定一个门票(或其他);

code 区域

step2 正常填写，直到这里（真正的姓名，身份证可Google搜索一个），信用卡支付

code 区域

选择信用卡，点击下一步提交，到了这里，如图

code 区域

这里填写一个合法的信用卡卡号，正常提交..，几分钟后，奇迹出现了...
 短信提示成功预定，扣款XXXRMB，就这么简单的流程？是的 就这么简单..
 什么？居然不相信自己的眼睛？好吧 打客服电话询问，确实成功预订!

漏洞证明：

#3 结束语

成功预定的短信我不想截图，我也不想多说其他什么

修复方案：

请给广大用户一个合理的解释...

版权声明：转载请注明来源 felixk3y@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-07-07 01:21

厂商回复：

您好：

经过与您的沟通与确认，此问题为误报。

在携程信用卡支付过程中，不同的银行和支付渠道会要求提交不同的支付信息，有的银行只需要卡号和有效期就可以完成支付，而不需要其他繁琐的验证，其支付风控措改由后端完成，表面上用户“简单”了，但是控制措施会从其他方面弥补，总体安全性并无减弱。

另外，使用伪卡或盗用其他人的卡片信息进行支付是违法行为，携程旅行网提醒用户妥善保管好自己的信用卡信息，以免影响用卡安全。携程旅行网已经通过了PCI认证，将与银行会对此类行为加强风控管控，携手银行一起为用户提供更安全与便捷的支付体验。

我们对此漏洞选择了忽略，携程旅行网非常重视各类安全问题，如有疑问请随时与我们联系，感谢支持与反馈！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-07-06 22:33 | 【|→上善若水】 ( 普通白帽子 | Rank:127 漏洞数:23 | 【|→上善若水】)

3

@felixk3y 坑爹啊，难怪我最近的银行卡钱少的多啊。没找到原因！

1# 回复此人
2014-07-06 22:34 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:539 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

4

我的留言会上新闻吗？呀灭蝶

2# 回复此人
2014-07-06 22:34 | 专业种田 ( 核心白帽子 | Rank:1676 漏洞数:189 | 没有最专业的农民,只有更努力地耕耘..........)

0

楼主，你这样不怕被水表吗

3# 回复此人
2014-07-06 22:35 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

0

我要上新闻啊啊哈哈哈哈

4# 回复此人
2014-07-06 22:36 | niliu ( 核心白帽子 | Rank:1803 漏洞数:207 | 逆流而上)

0

携程....坐等

5# 回复此人
2014-07-06 22:36 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

0

前排出售瓜子

6# 回复此人
2014-07-06 22:36 | HackBraid ( 核心白帽子 | Rank:1914 漏洞数:208 | 最近有人冒充该账号行骗，任何自称HackBrai...)

0

不是吧，有张张银行卡右上角写着携程。支付的问题在网络中直接关系个人利益，悲催的携程，求修补a。。。

7# 回复此人
2014-07-06 22:36 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:82 | ★ 梦想这条路踏上了，跪着也要...)

0

真腻害

8# 回复此人
2014-07-06 22:37 | ′ 雨。 ( 普通白帽子 | Rank:1332 漏洞数:196 | Only Code Never Lie To Me.)

0

上新闻。

9# 回复此人
2014-07-06 22:39 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:257 | 雙魚座聖鬥士雅柏菲卡)

0

坐等雷劈

10# 回复此人
2014-07-06 22:39 | phith0n ( 普通白帽子 | Rank:834 漏洞数:126 | 一个想当文人的黑客~)

0

得火啊！！！！！火前留名

11# 回复此人
2014-07-06 22:39 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:134 | 爱吃小龙虾。)

1

我很想了解这个流程是怎么完成的？可消费任意信用卡太吓人了...

12# 回复此人
2014-07-06 22:40 | loli ( 普通白帽子 | Rank:649 漏洞数:58 | 每个男人心中都住着一个叫小红的88号技师。)

0

第一页，上CCTV

13# 回复此人
2014-07-06 22:40 | roker ( 普通白帽子 | Rank:372 漏洞数:102 )

0

前排没抢到啊！！

14# 回复此人
2014-07-06 22:41 | tzrj ( 实习白帽子 | Rank:87 漏洞数:24 | 1111)

0

CCTV我来了

15# 回复此人
2014-07-06 22:41 | 忆苦思甜 ( 实习白帽子 | Rank:65 漏洞数:25 )

0

要上新闻了。

16# 回复此人
2014-07-06 22:41 | 小小鸟 ( 路人 | Rank:8 漏洞数:6 | 小白一个)

0

赶快前排占位子

17# 回复此人
2014-07-06 22:42 | 小川 ( 核心白帽子 | Rank:1627 漏洞数:230 | 一个致力要将乌云变成搞笑论坛的男人)

0

bus?

18# 回复此人
2014-07-06 22:42 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:90 | 不作死就不会死)

0

前排占位

19# 回复此人
2014-07-06 22:42 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

0

楼主对携程致命一击

20# 回复此人
2014-07-06 22:43 | Hero ( 普通白帽子 | Rank:162 漏洞数:44 | 药药切克闹,充气娃娃迷幻药)

0

据说又要上CCAV？

21# 回复此人
2014-07-06 22:44 | IT偏执狂 ( 路人 | Rank:6 漏洞数:3 | 禁锢我们的究竟是什么？)

0

错别字算是漏洞吗？

22# 回复此人
2014-07-06 22:44 | xssing ( 路人 | Rank:10 漏洞数:3 | xssing)

0

我得赶紧前排占座。。。坐等上新闻

23# 回复此人
2014-07-06 22:47 | 狗狗侠 ( 普通白帽子 | 还没有发布任何漏洞 | 我是狗狗侠)

0

赶紧抛股票。。。又TMD得跌了。。。 “携程在手，说走就走”！

24# 回复此人
2014-07-06 22:47 | 迦南 ( 路人 | Rank:14 漏洞数:8 | 我不是玩黑，我就是认真)

0

坐等上新闻

25# 回复此人
2014-07-06 22:47 | se55i0n ( 普通白帽子 | Rank:1571 漏洞数:172 )

0

我擦、

26# 回复此人
2014-07-06 22:49 | 孤独雪狼 ( 普通白帽子 | Rank:761 漏洞数:64 | 七夕手机被偷，这坑爹的七夕啊。。。。)

0

顶洞主

27# 回复此人
2014-07-06 22:49 | 秋末诉伤 ( 普通白帽子 | Rank:130 漏洞数:13 | nonono)

0

出售瓜子花生饮料

28# 回复此人
2014-07-06 22:49 | Noxxx ( 普通白帽子 | Rank:720 漏洞数:43 )

0

前排

29# 回复此人
2014-07-06 22:49 | 计算姬 ( 普通白帽子 | Rank:530 漏洞数:34 | 看我看我看我啊)

0

来晚了，我才是来上新闻的。没给打雷标志，可能就是一些不是很高级的漏洞了，目测携程真的可以说是误操作。

30# 回复此人
2014-07-06 22:49 | Ano_Tom ( 普通白帽子 | Rank:474 漏洞数:44 | Talk is cheap.:)

0

要遭雷劈。

31# 回复此人
2014-07-06 22:51 | aaaaty ( 普通白帽子 | Rank:109 漏洞数:32 | 爱情就像，我问服务器whoami，它说root)

0

又要上电视的感觉。

32# 回复此人
2014-07-06 22:51 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:41 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

0

巴扎黑~~

33# 回复此人
2014-07-06 22:52 | 马燕羊蝎子 ( 实习白帽子 | Rank:83 漏洞数:10 | 亲，啥时候请吃马燕羊蝎子。)

0

别吓我好不好，刚拍了一锅羊蝎子...

34# 回复此人
2014-07-06 22:52 | Coody ( 核心白帽子 | Rank:1809 漏洞数:152 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

1

e

35# 回复此人
2014-07-07 01:37 | [email protected] ( 普通白帽子 | Rank:288 漏洞数:24 | ANONYMOUS)

0

呀，竟然给恢复出来了！删掉的原来可以恢复哦，看来乌云有垃圾站功能啊。

36# 回复此人
2014-07-07 02:35 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

0

求上ccav。。。。求上ccav。。。。求上ccav

37# 回复此人
2014-07-07 03:43 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

0

镜头请采访我

38# 回复此人
2014-07-07 04:12 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:10 | 猜猜我是谁？)

0

楼上这些~话说这属于正常支付流程的……

39# 回复此人
2014-07-07 06:48 | Power ( 实习白帽子 | Rank:96 漏洞数:25 )

0

那岂不是只要我的信用卡卡号泄露就能被别人任意刷了？如果不是我刷的钱，这钱怎么追回呢？@携程旅行网

40# 回复此人
2014-07-07 06:54 | HackPanda ( 普通白帽子 | Rank:117 漏洞数:15 | Talk is cheap,show me the shell.)

1

我支付也是这个流程阿…

41# 回复此人
2014-07-07 07:53 | 专业种田 ( 核心白帽子 | Rank:1676 漏洞数:189 | 没有最专业的农民,只有更努力地耕耘..........)

0

这个支付一直是这样的呀，有次同事在我电脑上支付了，浏览器记住了卡号呢，我可是随便消费。银行应该会负责的。

42# 回复此人
2014-07-07 08:11 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:37 | 菜鸟，菜渣，菜呀！)

0

坐等楼主喝茶

43# 回复此人
2014-07-07 08:28 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

0

我也要上新闻

44# 回复此人
2014-07-07 08:46 | Debug0man ( 路人 | Rank:8 漏洞数:1 | 叽叽呗呗...)

1

楼主貌似被警告了哈哈...

45# 回复此人
2014-07-07 09:25 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群有漂亮妹纸！)

0

已报警..

46# 回复此人
2014-07-07 09:38 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:19 | 没有思想，没有道德，没有自由，没有人权的...)

0

坐看云起时：http://news.mydrivers.com/1/311/311167.htm

47# 回复此人
2014-07-07 09:39 | 只发通用型 ( 实习白帽子 | Rank:93 漏洞数:14 | 刷通用型奖金小号)

0

估计又会有很多无良媒体出来黑携程了

48# 回复此人
2014-07-07 09:44 | 林枫 ( 实习白帽子 | Rank:44 漏洞数:5 | ....)

1

携程的意思就是漏洞是存在的，如果钱被盗是用户信用卡卡号和有效期泄露造成的。

49# 回复此人
2014-07-07 10:06 | 浩森 ( 路人 | Rank:30 漏洞数:1 )

0

第一页，上CCTV

50# 回复此人
2014-07-07 10:07 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安，不只保险这么简单。)

0

CCTV,我这楼层还来得及么？

51# 回复此人
2014-07-07 10:08 | her0ma ( 普通白帽子 | Rank:716 漏洞数:95 | 专注小厂商三十年！)

0

严格意义上说，携程确实趟枪了~

52# 回复此人
2014-07-07 10:38 | ling ( 实习白帽子 | Rank:80 漏洞数:36 | 我是屌丝、我为自己代言。)

0

我是ling，我为自己代言 CCTV速度来，老子上电视了。

53# 回复此人
2014-07-07 10:39 | 冷静 ( 路人 | Rank:3 漏洞数:2 )

0

这样就支付成功了？还好我没信用卡啊

54# 回复此人
2014-07-07 10:48 | 小坤 ( 路人 | Rank:28 漏洞数:5 | "></input>pt></scr</script>pt src=http:...)

0

传说的大数据。。。

55# 回复此人
2014-07-07 10:57 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

3

这也算漏洞？那这个洞amazon存在十几年了。。

56# 回复此人
2014-07-07 10:58 | 一只猿 ( 普通白帽子 | Rank:560 漏洞数:98 | 硬件与无线通信研究方向)

0

前排花生瓜子八宝粥

57# 回复此人
2014-07-07 11:11 | ChinaMars ( 实习白帽子 | Rank:46 漏洞数:6 )

1

国外信用卡支付都是这样的

58# 回复此人
2014-07-07 13:17 | bey0nd ( 普通白帽子 | Rank:941 漏洞数:128 | 相忘于江湖，不如相濡以沫)

0

后排花生瓜子八宝粥

59# 回复此人
2014-07-07 14:58 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

0

@ACGT amazon不需要提供CVV也可以的么？

60# 回复此人
2014-07-07 15:02 | Power ( 实习白帽子 | Rank:96 漏洞数:25 )

0

@ACGT 如果这样，搞点信用卡不就发了。。

61# 回复此人
2014-07-07 15:03 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:177 | 力不从心)

0

@疯狗狗哥，这算不算漏洞啊？是携程的问题还是说是银行接口的问题？按说银行接口应该不会这样设计啊，各种密码都不用

62# 回复此人
2014-07-07 15:05 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:177 | 力不从心)

0

有效期这个也是随便写的？

63# 回复此人
2014-07-07 15:20 | magerx ( 普通白帽子 | Rank:261 漏洞数:43 | 别说话。)

0

@wefgod 有效期应该不是随便的

64# 回复此人
2014-07-07 15:26 | 小胖胖要减肥 ( 普通白帽子 | Rank:686 漏洞数:84 )

0

@疯狗 @ACGT @Power 需要cvv的国内的分银行的

65# 回复此人
2014-07-07 15:35 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:177 | 力不从心)

0

@magerx 如果是随便的那就真是大问题了。刚才看见原来洞主是拿朋友的来测的…………

66# 回复此人
2014-07-07 15:39 | menmen519 ( 普通白帽子 | Rank:970 漏洞数:154 | http://menmen519.blog.sohu.com/)

0

估计是私下和谐了

67# 回复此人
2014-07-07 15:41 | 包子哥 ( 路人 | Rank:0 漏洞数:1 | test)

0

我个人认为，在网上购物，不管是那家，只要不需要付任何费用，能消费，购买任何东西，都属于漏洞。（除去号被盗的可能信。）

68# 回复此人
2014-07-07 16:25 | 小五 ( 实习白帽子 | Rank:38 漏洞数:4 | 黑白两道，白当然好。)

0

这根本不算漏洞。国外这样已经数年。

69# 回复此人
2014-07-07 16:56 | 牛奶坦克 ( 普通白帽子 | Rank:355 漏洞数:20 | 晚安,牛奶)

0

我是来看评论的，看过后还是不明白，为什么最终的解释都变成了“国外也是这样做的”？

70# 回复此人
2014-07-07 17:01 | her0ma ( 普通白帽子 | Rank:716 漏洞数:95 | 专注小厂商三十年！)

0

看样子很多小伙伴都是高富帅，没有用过信用卡…… 信用卡号+信用卡有效期完成支付，这个应该是银行本身的问题，跟携程是没有多大关系的~。信用卡有效期+背面的7位数字都是特别重要的的东东，有经验的小伙伴肯定都把背面的7位数字都抠掉了~

71# 回复此人
2014-07-07 17:38 | web天空 ( 路人 | Rank:1 漏洞数:1 | 你猜镇，不告诉你村。)

0

携程一个rank都没给，撸主应该郁闷坏了

72# 回复此人
2014-07-07 17:54 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活，亭长放解)

1

我只知道Amazon自己做支付网关，大部分的卡不用写CVV。

73# 回复此人
2014-07-07 18:17 | pentest ( 路人 | Rank:5 漏洞数:2 | pencil)

0

楼主没有听说过CNP支付方式么？

74# 回复此人
2014-07-07 22:22 | Viigoss ( 实习白帽子 | Rank:36 漏洞数:4 | viigoss)

0

国外信用卡付钱都是卡号和CVV。就天朝加了个密码。

75# 回复此人
2014-07-07 23:30 | 网络小兵 ( 路人 | Rank:13 漏洞数:3 | t00ls)

0

这个不算漏洞吧算是法律问题。

76# 回复此人
2014-07-08 01:55 | ACGT ( 实习白帽子 | Rank:32 漏洞数:4 | another script kiddie)

0

@小胖胖要减肥 @Power @疯狗 amazon.com信用卡支付只需要卡号、有效期、持卡人姓名，不需要cvv2，至少我的几张visa和master卡都没要过

77# 回复此人
2014-07-08 10:44 | 网络小兵 ( 路人 | Rank:13 漏洞数:3 | t00ls)

0

@包子哥这个漏洞是拿别人的信用卡里的钱来刷。。

78# 回复此人
2014-07-08 10:46 | 网络小兵 ( 路人 | Rank:13 漏洞数:3 | t00ls)

0

@Power 的确是搞点信用卡就发了，国外市场大把这样的黑市。不过这个是违法的！多去了解吧。

79# 回复此人
2014-07-08 11:57 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

1

@ACGT 哦还要姓名的

80# 回复此人
2014-07-10 22:35 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

0

要火啊

81# 回复此人