乌云漏洞网

摘要: 文/杨阳 我认为携程的漏洞比乌云曝光的那些更危险！ 因为这些漏洞是流程层面的。 3月23日，我借用别人的手机号拨打携程的电话4008206666，一位服务专员384409接待了我。 我表示，要订从上海去广州的票，这位专员用我借来的手机号注册了一个新的携程会员，...文/杨阳我认为携程的漏洞比乌云曝光的那些更危险

存储用户支付信息、明文保存用户密码……网站进行这些不规范操作，表面上是为了提供更简洁的流程，实质上却是以牺牲用户网络安全为代价。携程是行业巨头，又是上市公司，居然也在安全问题上犯这样的低级错误，这一事件使得携程招致巨大的用户信任危机。只能说没有把用户的利益放在第一位，同时也反映出当前中国互联

昨日晚间，根据乌云漏洞平台的描述，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等