Ctrip 취약점 노출: 화이트 햇 해커와 대화

Ctrip 취약점 노출: 흰색 모자를 해커 지난 주말 대화 했다 평화로운. 3 월 22 일 18시 18분 54302, 번호는 취약점 보고서 피드백 플랫폼 클라우드 (wooyun.org)는 인터넷 보안 문제에 노출 됐다, 게시자는 검은 구름 코어 화이트 햇 해커. 보고서에서는 Ctrip에 결함이 은행 카드 정보 유출, 사용자의 많은 수로 이어질 것입니다이 정보 직접 브러쉬 훔치는 등 문제가 발생할 수 있습니다. 뉴스는 빠르게 확산의 다른 뉴스 "화 웨이 본사 서버에 의해 침략 미국 보안 국" 나중 노출 보다도 더 많은 주의와 미디어를 통해 또한 이전 노출 넘어 일부 겉보기 심각한 허점. 카드를 변경 하려면 사용자를 허용 하는 허점 소개에 따르면 Ctrip 사용자 지불 처리 하는 데 사용 하기 때문에 보안의 결제 서버 인터페이스 디버깅 기능, 사용자의 지불 레코드 텍스트와 함께 저장 됩니다. 동시에 결제 로그를 보유 하는 서버에는 엄격한 기준 보안 구성 이므로 어떤 해커에 의해 읽히고 결제 과정에서 모든 디버깅 정보를 디렉터리 탐색 취약점. 검색 경로, 하나는 트리의 각 노드에 대 한 하나의 방문 한 번에 통과 일반적으로 정의 됩니다. 이 분류는 중요 한 정보 유출 취약점, Ctrip 사용자 정보 노출의 많은 수를이 끌 주장 등: 카드 소지자 이름 ID 카드, 은행 카드 번호, 은행 카드 CVV 코드, 6 비트 카드 빈, 등 매우 민감한 콘텐츠. Ctrip 공식 설명: 기술 개발자 시스템 질문, 과실으로 인해 임시 로그를 떠나는 문제를 해결 하려면 시간에서 삭제 하지 않았다. 그러나, MEDIAV 회사 CTO Junin 또는 마이크로 블로그 비판 하는: 일반 텍스트에 대 한 데이터 전송 시스템 로그 결과 오랜 시간에 대 한 디버깅 기능을 열 선에 또한 명확 하다, 그리고 하지 않았다 청소 시간, 저장된 서버 또한에 보안 취약점. Sina 기술 Ctrip의 동료, Ctrip 무선 되었습니다 측면 매우 안전한 방법이 아니다,이 이렇게 비록 사용자 친화적인 작업, 하지만 특정 보안 위험이 있다. 그리고 시 나 기술, Ctrip 내부 말했다이 안전 사고의 사고, Ctrip 느낌 또한 이해할 수 없는 내부 ctrip의 문제 등 사용자의 관련 정보를 저장 하기 위한 것이 아닙니다. 사용자는 더욱 이해할 수 없습니다. 누설 유출 정보, 의미는 사용자의 은행 카드 정보 노출 위험,이 정보를 사용의 거의 모든 신용 카드 도난 케이크 한 조각이 될 수 있습니다. 가장 큰 위험은 Ctrip의 무선 측면에서 최근 거래는 사용자에서입니다. Ctrip의 존재와는 허점의 범위 제한을 공개 하지 않는 위험을 방지 하는 가장 좋은 방법은 교환 카드를 은행에 즉시 연락 하는 것입니다. 중국 상인 은행 신용 카드 고객 서비스 공개는 지난 몇 일, 많은 사용자가 되었습니다 Ctrip의 문제에 따라 자문 전화, 그들의 대부분 원래 신용 카드, 별도 조치를 막아 새로운 카드의 열기의 즉각적인 취소 하고있다. 중국 상인 은행 직원 신용 카드를 만들기 위해 2 일 걸리는 플러스 배달 기간 동안 신용 카드는 사용할 수 없습니다, 일주일 정도 걸릴 것 이다 고 말했다. 키: CVV와 PCI 공개의 위험에 노출 됩니다, 그리고 CVV 관심의 초점 이다. CVV (CARD 확인 값은이 부분의 정보는 3 자리 또는 4 자리 번호 번호, 만료, 및 일반적으로 카드의 마그네틱 스 트 라이프의 2 트랙 사용자 정의 데이터 영역에 작성 된 서비스 제약 조건 코드는 CVC (카드 유효성 검사 코드), 또한 알려져 있다. CVV 및 CVC 생성 방법, 하지만 그들은 다른 불린다. 이 정보는 거래를 조정 하는 데 사용 됩니다. CVV 온라인 트랜잭션 (슬쩍 카드)에 확인 하 고 실제로 카드를 안으로 들 여, 하는 과정에서이 정보 결정적인 효과가 있다. 그러나, 그것은 적 가치가 우리가 일반적으로 지불 하는 과정에서 지불 하지 않으면, 정보를 제공 하는 필요 실제로 CVV2, 즉, 카드 뒷면의 3 자리 옆 서명 파일 이라고. 중요 한 정보, 인터넷 지불 및 기타 비 슬쩍 거래에 CVV2 치료의 명확한 규칙이 있다. "은행 카드 영수증 관리 표준" 중국은 련에 의해 발행에 따르면 시스템 트랜잭션 클리어런스, 카드 인증 코드, 개인 식별 번호 (PIN) 및 카드 유효 기간만 저장할 수 있습니다. 트랙 정보, 카드 인증 코드, 개인 식별 코드은 련 카드 거래의 완료에만 카드 유효 하, 다른 목적으로 사용할 수 없습니다 합니다. 온라인 지불의 공급자의 수 또한 시 나 관련 규정에 따라 실제 작업에서 기술 될 것입니다, 하 것 수 관련이 없습니다 불법 저장에 사용자 정보. CVV와 비교 하면, 또 다른 게 Ctrip 얼굴 영어 약어의 비난 PCI입니다. PCI, 금융 업계에서 보통 말합니다 결제 카드 산업 데이터 보안 표준, PCI DSS (결제 카드 산업 표준)입니다. PCI의 목적은 직불 카드와 현금 카드 거래, 신용 카드의 보안을 최적화 하 고 다른 사람에 의해 악용 되 고에서 카드 소유자의 개인 정보를 보호 하기 위해.