具体来说，这次携程的安全漏洞，并不是在Web网页上的漏洞导致，而是无线部门在手机APP产品调试过程中，保存了日志并在Web.config 开了目录遍历才出的状况。

某企业负责IT安全的人士也向腾讯科技表示，利用目录遍历攻击漏洞，攻击者能够超过服务器的根目录，从而访问到文件系统的其他部分，访问受限制文件或资源，或者采取更危险行为。

MediaV CTO胡宁也分析称，这可能是携程并未故意存储CVC信息。但其数据传输为明文，且线上竟长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞。所以一步错，步步错。

某互联网上市公司CTO告诉腾讯科技，不管是App还是Wap或Web，都只是产品的前端表现形式，所调用的数据源必然只有一个。新产品的上线流程一般是“开发机——内网测试机——发布员发布到外网”，每个环节都有QA测试，但在紧急或意外情况下，程序员会临时去外网修改产品，这么做非常危险，因为跳过了控制流程、跳过了发布员（跟产品开发不是一拨人）。

携程是上市公司，应该有非常严格的控制，该CTO猜测是不小心把没有过滤好的内网代码目录发布到外网了。如果是这种发布错误，问题并不严重，也就是版本控制不力——但如果是有员工跳过流程直接修改，就是特大问题，因为这意味着产品失去了对各环节和安全的控制点。

预防和处理方式

截至目前，携程回应称，消息发布后，携程立即展开技术排查，并在两小时内修复这个漏洞。用户在携程的交易仍旧是安全的，用户信息没有受到影响。

腾讯科技致电各大银行信号信用卡中心，都表示还没有收到携程官方公告通知具体情况和应对措施，招商银行和民生银行信用卡中心工作人员告诉腾讯科技，暂时不了解携程信用卡信息泄露相关的具体信息，但是客户如果担心私密信息被泄露，会冻结旧卡寄送新的卡片。

对用户来说，这样的漏洞几乎没有办法防护，但是安全专家建议用户，可以随时注意检查信用卡帐单和消费短信，如果发现异常，及时联系银行，以减轻损失。如果已确定发现信用卡交易异常，怀疑信用卡信息泄露，可选择关闭信用卡网上支付功能（对用户影响很大），或者联系银行注销旧卡片，更换新卡。