【IT168 厂商动态】3月22日晚间消息，漏洞报告平台乌云网连续发布两条漏洞报告，称携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，其中包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin。

　　该漏洞的形成是由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。信用卡信息主要包含卡号、有效期、CVV2码等，其中打印在卡片签名区的3位CVV2码又被称作“第二密码”，只要提供CVV2码，就能完成支付。

　　对于此安全支付类漏洞，梆梆安全专家说到“随着移动互联网的快速发展，很多web端的漏洞已经逐渐减少，而很多新的漏洞则是从移动APP端找到，并发起攻击的，携程工程师说到web端的调试漏洞已经关系，很有可能这个调试漏洞是从携程APP端发起攻击的。而携程的问题主要包含三个方面：一，服务器不合规，存在调试接口未关闭以及遍历漏洞；二，缺乏健全的安全评估机制，不能提前发现客户端和服务器调试接口未关闭等安全隐患；三，客户端调试接口未关闭导致可利用客户端的调试功能获取指定客户的银行卡资料。”

　　梆梆安全专家提醒各位开发者，绝大部分移动App中都有很多的代码缺陷和逻辑漏洞、会直接引向对服务器的漏洞挖掘和攻击，要做好移动客户端安全、保护好移动端这个新入口、才能降低因客户端而带来的服务器系统安全。

　　同时，针对移动支付类漏洞，梆梆安全专家建议各位开发者可以使用梆梆安全的加固服务。梆梆安全加固之前，对基线产品，服务器做合规检测；专业的安全评估服务，其中安全评估服务可从系统、业务、账号、数据和应用安全等全方位进行安全评估，符合人行安全评估标准，产品发布时对客户端和服务器端做安全评估检测；APP安全加固服务，防止客户端被调试后暴露用户隐私数据等都是梆梆安全加固都做的。梆梆安全加固服务重构了1024位的指令集映射，安全强度可比拟SHA1，可以很好的防止客户端被调试、反编译和动态注入。■