烏雲網(WooYun)漏洞平台是一個位於廠商和安全研究者之間的安全問題反饋平台,在對安全問題進行反饋處理跟進的同時,為網際網路安全研究者提供一個公益、學習、交流和研究的平台。
其名字來源於網際網路上的“雲”,在這個不做“雲”不好意思和人家打招呼的時代,網路安全相關的,無論是技術還是思路都會有點黑色的感覺,所以自然出現了烏雲。
我們對註冊的用戶做嚴格的校驗,所有安全信息在按照流程處理完成之前不會對外公開,廠商必須得到足夠的身份證明才能獲得相關的安全信息,包括但不限於採用線上證明、後台的審核以及線下的溝通等方式,而白帽子註冊必須通過Email的驗證,為了保證信息的高可靠性和價值,對於提交虛假漏洞信息的用戶在證實後,我們將根據情況扣除用戶的Rank甚至直接刪除用戶。對於在烏雲平台發布的漏洞,所有權歸提交者所有,白帽子需要保證研究漏洞的方法、方式、工具及手段的合法性,烏雲對此不承擔任何法律責任。烏雲及團隊儘量保證信息的可靠性,但是不絕對保證所有信息來源的可信,其中漏洞證明方法可能存在攻擊性,但是一切都是為了說明問題而存在,烏雲對此不負擔任何責任。用戶在使用烏雲的相關服務時,必須遵守中華人民共和國相關法律法規的規定,用戶應同意將不會利用本平台進行任何違法或不正當的活動,包括但不限於下列行為∶一 上載、展示、張貼、傳播或以其它方式傳送含有下列內容之一的信息:1)反對憲法所確定的基本原則的;2) 危害國家安全,泄露國家秘密,顛覆國家政權,破壞國家統一的;3) 損害國家榮譽和利益的;4) 煽動民族仇恨、民族歧視、破壞民族團結的;5) 破壞國家宗教政策,宣揚邪教和封建迷信的;6) 散布謠言,擾亂社會秩序,破壞社會穩定的;7) 散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;8) 侮辱或者誹謗他人,侵害他人合法權利的;9) 含有虛假、有害、脅迫、侵害他人隱私、騷擾、侵害、中傷、粗俗、猥褻、或其它道德上令人反感的內容;10)含有中國法律、法規、規章、條例以及任何具有法律效力之規範所限制或禁止的其它內容的;二 不得為任何非法目的而使用烏雲及烏雲提供的相關信息:1)不得利用烏雲網站進行任何可能對網際網路或移動網正常運轉造成不利影響的行為;2)不得利用烏雲提供的網路服務上傳、展示或傳播任何虛假的、騷擾性的、中傷他人的、辱罵性的、恐嚇性的、庸俗淫穢的或其他任何非法的信息資料;3)不得侵犯其他任何第三方的專利權、著作權、商標權、名譽權或其他任何合法權益;4)不得利用烏雲網路服務系統進行任何不利於烏雲的行為;三 不利用烏雲服務和網站相關信息從事以下活動:1) 未經允許,進入計算機信息網路或者使用計算機信息網路資源的;2) 未經允許,對計算機信息網路功能進行刪除、修改或者增加的;3) 未經允許,對進入計算機信息網路中存儲、處理或者傳輸的數據和應用程式進行刪除、修改或者增加的;4) 故意製作、傳播計算機病毒等破壞性程式的;5) 其他危害計算機信息網路安全的行為。
尊重作為一個
網際網路漏洞報告平台,烏雲最重要的使命就是尊重。我們觀察到的安全研究者與廠商之間存在著天生的不平等,不尊重。對於漏洞發現者來說,由於缺乏廠商的聯繫方式,即使發現了漏洞也很難將信息傳遞給廠商,而廠商也根本無法顧及散落在網際網路各地的漏洞信息,最終導致一些漏洞被人遺忘,未得到修復而造成損失。另外一方面,一些廠商對漏洞研究者的報告也很不尊重,甚至是一種輕視的態度,在出現問題之後對問題不是迅速修復以確保網際網路用戶的安全而是通過其他手段嘗試掩蓋漏洞甚至是否認漏洞的存在,在這種不尊重的前提下,漏洞研究者就可能直接將漏洞公開,直接損害了廠商的利益。破壞和建設一樣,同樣作為一種技術的存在,我們嘗試喚回大家對技術的尊重,烏雲將跟蹤漏洞的報告情況,所有跟技術有關的細節都會對外公開,在這個平台里,漏洞研究者和廠商是平等的,烏云為平等而努力。進步我們關注技術本身,相信Know it then hack it,只有對原理瞭然於心,才能做到真正的自由,只有突破更多的限制,才可能獲得真正意義上的技術進步,我們嘗試與加入WooYun的廠商及研究人員一起研究問題的最終根源,做出正確的評價並給出修復措施,最終一起進步。意義我們堅信一切存在的東西都是有意義的,我們也相信烏雲能夠給研究人員和廠商帶來價值,這種價值將是烏雲存在的意義,研究人員可以通過烏雲發布自己的技術成果,展示自己的實力,廠商可以通過烏雲來發現自己存在的和可能存在的問題,我們甚至鼓勵廠商對漏洞研究者作出鼓勵或者直接招聘人才。
烏雲有眾多的安全團隊在上面發布信息。(2014-06-24 更新)
團隊名稱 | Rank總值 |
PKAV技術宅交流小組 | 21302 |
網路尖刀 | 11976 |
90Sec | 3699 |
08安全團隊 | 2231 |
天馬行空 | 2131 |
NEURON | 2055 |
freebuf | 1926 |
Pax.Mac-Team | 1836 |
INSAFE | 1722 |
Insight-Labs | 1711 |
shell2us | 1493 |
HelloWorld(烏雲分舵) | 1232 |
80sec | 1203 |
暗影團隊 | 779 |
Vty | 475 |
趙占領
我們關心那些可能對網際網路造成較大影響的漏洞,所以我們歡迎影響力較大的網際網路企業來註冊,對於漏洞的選擇也會較為嚴格,對於一般情況下漏洞級別較低而且影響很小的漏洞我們可能會徵求廠商的意見來選擇是否接受進入WooYun資料庫,這可以保證WooYun的質量和可信力。另外,對於廠商有益的一些信息都可以作為漏洞提交到平台,譬如一些被證明的入侵事件和釣魚欺詐之類對業務有影響的信息,可以較好幫助企業迅速解決相關問題。我們相信對於漏洞的最好證明方式就是最大程度的利用,我們鼓勵用截圖或者錄像的方式做出漏洞危害證明,這同樣是對技術的一個提高。
烏雲曝光攜程事情暴發於3月22日,著名的網站漏洞曝光平台“烏雲網”上,網名“豬豬俠”登出了“攜程某分站原始碼包可直接下載(涉及資料庫配置和支付接口信息)”以及“攜程安全支付日誌可遍歷下載 導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)”的兩條信息。尤其是後面的漏洞類型屬於“敏感信息泄露”,危害等級為“高漏洞”。且“廠商已經確認”。事情的過程是,由於攜程用於處理用戶支付的安全支付伺服器接口存在調試功能,將用戶支付的記錄用文本保存了下來。同時因為保存支付日誌的伺服器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。所謂遍歷通常是指沿著某條搜尋路線,依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞,被指可能導致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。事情的解決辦法正如本文開頭所描述的那樣,當晚攜程很快就在其官方微博上回應稱公司相關部門已經在第一時間展開技術排查,並在訊息發布兩個小時內進行了漏洞彌補工作。但是,人們關注的是,根據中國人民銀行發布的《銀行卡收單業務管理辦法》第28條規定,收單機構不得以任何方式存儲銀行卡磁軌信息或晶片信息、卡片驗證碼、卡片有效期、個人標識碼等敏感信息。並應採取有效措施防止特約商戶和外包服務機構存儲銀行卡敏感信息。銀聯2008年出台的《銀聯卡收單機構賬戶信息安全管理標準》中也有稱,銀行卡受理終端僅限於保存當前交易批次內用於交易清分所必需的基本信息要素,並在該批次結束後及時予以清除;各類受理終端均不得存儲銀行卡磁軌信息、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶信息。“從目前披露的情況看,攜程方面可能存在一些瑕疵”,銀聯風險管理專家王宇對此聲稱,我們一直在積極推動相關機構嚴格落實相關要求,商戶及收單機構不能留存持卡人的敏感信息,同時也要採取多種措施提升交易環節的信息安全管理。但這並不是攜程在信息泄露上的全部危險。更大的漏洞,是流程上的不合理。存儲信息資格“2010年的時候,這個方案已經在用了。”一位支付行業高管透露。如果只有信用卡卡號和有效期就刷卡成功,那么這個漏洞太大了。“理論上來說第三方支付公司從銀行拿接口必須提供實名校驗,這就意味著必須提供個人的姓名、身份證號、卡號、CVV有效期才能完成這筆扣費。其實攜程無權留取用戶的卡等信息,因為這必須是銀行或者是第三方有資質的機構。但攜程是在走擦邊球,一直在做這種留存。據我所知,如果你不給他提供這種接口,攜程不會跟你合作。而且合作條件很苛刻。”該人士透露。從烏雲上流傳出來的內容看,攜程是對用戶的銀行卡、身份證等敏感信息做了留存的。更重要的問題是,這顯然已經不是個新問題了,攜程卻一直沒有解決。