Re: [問題] 虎航買票明碼傳輸信用卡資料沒問題？

看板Japan_Travel作者grapherd (NULL)時間6年前 (2017/08/24 12:02)推噓8(8推 0噓 1→)

留言9則, 9人參與討論串2/2 (看更多)

※ 引述《tzujan (無)》之銘言：基本上你對於明碼傳輸 (明文傳輸) 的認知是錯誤的。明文傳輸指的是，你使用的協定沒有做加密讓第三者竊聽後可以直接看到資料來：客戶 -> 網路線路 -> 伺服器 | --> Bob 假設 Bob 在途中獲得了你的封包，如果是明文的，他就能夠直接得到裏面的資料 (對，就是你的信用卡資料) 封包 -> {"cvv": "123", "nameOfCard": "null", ...} 但是如果是加密過的，他還是可以拿到你的封包，但是因為加密的關係，他沒有辦法解出明文來：封包 -> \x00\x11\x019\xav\xb1\x19\x19\x11.... 因為加密的關係，讓只有 key 的人才有辦法解出來，也就是伺服器：封包 -> 正確的 key -> {"cvv": "123", "nameOfCard": "null"...} 只要他設定是正確的，基本上 https 傳輸上不會出事。 : 買機票買到快腦溢血 : 到最後一關刷卡一直當 : 按F12看console : 把整個信用卡的資料全部印出來 : 包括cvc 長這樣吧？ http://i.imgur.com/r88kNpP.png

左邊 4 個紅色 payment 代表嘗試連線請款了 4 次。如果不懂資安，請至少看一個地方再來說嘴： General -> Request URL 的部份，前面是不是 https，虎航長這個樣子： https://tiger-wkgk.matchbyte.net/wkapi/v1.0/payment ^^^^^^^^ 基本上代表，你這包就算被攔截到了，別人也解不開。 : 如果他丟的資料是那一整包了話是，丟一整包過去，包含你所有的資料。 accountNumber, cvv, dccAccepted, expiryMonth, expiryYear, nameOnCard. 沒有這些資料要怎麼請款啊啊啊啊啊啊啊。 : 沒有安全問題嗎？？？這部份沒有。 : 好怕被盜刷盜刷有什麼好怕的 = =? : ----- : Sent from JPTT on my Asus ASUS_Z01HDA. 下次要找，請特別注意找這種的，台灣企業很會： https://goo.gl/WnSouD 明碼把資料存在 javascript 裏面。這才會有資安問題。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.122.206 ※ 文章網址: https://www.ptt.cc/bbs/Japan_Travel/M.1503547369.A.B55.html ※ 編輯: grapherd (60.248.122.206), 08/24/2017 12:13:14

推

Vett

08/24 12:26, , 1^F

08/24 12:26, 1^F

推

c918

08/24 13:23, , 2^F

08/24 13:23, 2^F

推

spiritman

08/24 13:31, , 3^F

08/24 13:31, 3^F