携程“泄密门”分析 @goodwell-龚蔚 2014年3月23日 srxh 写评论 首先这不是一个单一的信息泄密漏洞,他是由一连串的漏洞关联引发的。从目录历遍到开发记录调试日志信息,再到将敏感信息未做保护直接交由信息系统处理。原本这每一个漏洞都只能算是一个鸡肋的低危漏洞,而正是这一连串的漏洞关联足以将该事件推到了风口浪尖, 继续阅读 →
携程被曝支付日志漏洞致用户信用卡信息泄露 2014年3月22日 srxh 写评论 携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。(类似IIS或Apache的访问日志,记录URL POST内容)。 继续阅读 →