IT资源栈本文揭露了PCI DSS支付安全标准存在的一个隐蔽漏洞。尽管行业规定对卡号中间部分进行掩码处理以保护隐私,但作者通过实际案例证明,由于卡号前6位和后4位可见,剩余数字的排列组合仅剩约10万种可能。配合获取的有效期和姓名,攻击者可利用多个商家的支付API进行暴力穷举。更致命的是,部分支付网关过于详细的错误提示(如区分“卡号错误”与“CVV错误”)极大地助长了破解效率。攻击者还能利用豁免3D Secure验证的商户直接完成盗刷,揭示了仅满足“最低合规标准”而忽视实际攻击面的巨大风险。
原文链接:Hacker News
评论前必须登录!
立即登录 注册