资讯
网站简介
名字由来
网站声明
我们对注册的用户做严格的校验,所有安全信息在按照流程处理完成之前不会对外公开,厂商必须得到足够的身份证明才能获得相关的安全信息,包括但不限于采用在线证明、后台的审核以及线下的沟通等方式,而白帽子注册必须通过Email的验证,为了保证信息的高可靠性和价值,对于提交虚假漏洞信息的用户在证实后,我们将根据情况扣除用户的Rank甚至直接删除用户。
对于在乌云平台发布的漏洞,所有权归提交者所有,白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性,乌云对此不承担任何法律责任。乌云及团队尽量保证信息的可靠性,但是不绝对保证所有信息来源的可信,其中漏洞证明方法可能存在攻击性,但是一切都是为了说明问题而存在,乌云对此不负担任何责任。
用户在使用乌云的相关服务时,必须遵守中华人民共和国相关法律法规的规定,用户应同意将不会利用本平台进行任何违法或不正当的活动,包括但不限于下列行为∶
一 上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息:
1)反对宪法所确定的基本原则的;
2) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3) 损害国家荣誉和利益的;
4) 煽动民族仇恨、民族歧视、破坏民族团结的;
5) 破坏国家宗教政策,宣扬邪教和封建迷信的;
6) 散布谣言,扰乱社会秩序,破坏社会稳定的;
7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
8) 侮辱或者诽谤他人,侵害他人合法权利的;
9) 含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容;
10)含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的;
二 不得为任何非法目的而使用乌云及乌云提供的相关信息:
1)不得利用乌云网站进行任何可能对互联网或移动网正常运转造成不利影响的行为;
2)不得利用乌云提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料;
3)不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益;
4)不得利用乌云网络服务系统进行任何不利于乌云的行为;
三 不利用乌云服务和网站相关信息从事以下活动:
1) 未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
2) 未经允许,对计算机信息网络功能进行删除、修改或者增加的;
3) 未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
4) 故意制作、传播计算机病毒等破坏性程序的;
使命与灵魂
尊重
进步
我们关注技术本身,相信Know it then hack it,只有对原理了然于心,才能做到真正的自由,只有突破更多的限制,才可能获得真正意义上的技术进步,我们尝试与加入WooYun的厂商及研究人员一起研究问题的最终根源,做出正确的评价并给出修复措施,最终一起进步。
意义
安全团队
PKAV技术宅交流小组
网络尖刀
90Sec
08安全团队
天马行空
NEURON
freebuf
Pax.Mac-Team
INSAFE
Insight-Labs
shell2us
HelloWorld(乌云分舵)
80sec
暗影团队
法律顾问
赵占领
关注领域
我们关心那些可能对互联网造成较大影响的漏洞,所以我们欢迎影响力较大的互联网企业来注册,对于漏洞的选择也会较为严格,对于一般情况下漏洞级别较低而且影响很小的漏洞我们可能会征求厂商的意见来选择是否接受进入WooYun数据库,这可以保证WooYun的质量和可信力。
另外,对于厂商有益的一些信息都可以作为漏洞提交到平台,譬如一些被证明的入侵事件和钓鱼欺诈之类对业务有影响的信息,可以较好帮助企业迅速解决相关问题。
曝光事件
尤其是后面的漏洞类型属于“敏感信息泄露”,危害等级为“高漏洞”。且“厂商已经确认”。
事情的过程是,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
事情的解决办法正如本文开头所描述的那样,当晚携程很快就在其官方微博上回应称公司相关部门已经在第一时间展开技术排查,并在消息发布两个小时内进行了漏洞弥补工作。
但是,人们关注的是,根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
银联2008年出台的《银联卡收单机构账户信息安全管理标准》中也有称,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
“从目前披露的情况看,携程方面可能存在一些瑕疵”,银联风险管理专家王宇对此声称,我们一直在积极推动相关机构严格落实相关要求,商户及收单机构不能留存持卡人的敏感信息,同时也要采取多种措施提升交易环节的信息安全管理。
但这并不是携程在信息泄露上的全部危险。更大的漏洞,是流程上的不合理。
存储信息资格
“2010年的时候,这个方案已经在用了。”一位支付行业高管透露。如果只有信用卡卡号和有效期就刷卡成功,那么这个漏洞太大了。
“理论上来说第三方支付公司从银行拿接口必须提供实名校验,这就意味着必须提供个人的姓名、身份证号、卡号、CVV有效期才能完成这笔扣费。其实携程无权留取用户的卡等信息,因为这必须是银行或者是第三方有资质的机构。但携程是在走擦边球,一直在做这种留存。据我所知,如果你不给他提供这种接口,携程不会跟你合作。而且合作条件很苛刻。”该人士透露。
从乌云上流传出来的内容看,携程是对用户的银行卡、身份证等敏感信息做了留存的。
约谈谣言
平台暂停服务引发传言,有传言称,乌云平台关停是受到了不久前“白帽子”袁炜被捕事件的影响,甚至乌云的高管也被有关部门约谈。乌云网相关人士昨天对记者表示,网站暂停服务,就是因为业务升级,“不知道那些谣言是从哪里出来的”。
网站从2016年7月20日开始,到现在仍没完成升级和提供正常服务。
