本文目录
乌云的曝光事件
乌云曝光携程事情暴发于3月22日 ,著名的网站漏洞曝光平台“乌云网”上,网名“猪猪侠”登出了“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。尤其是后面的漏洞类型属于“敏感信息泄露”,危害等级为“高漏洞”。且“厂商已经确认”。事情的过程是,由于携程用于处理用户支付的安全支付服务器接口存在调试功能,将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。所谓遍历通常是指沿着某条搜索路线,依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞,被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。事情的解决办法正如本文开头所描述的那样,当晚携程很快就在其官方微博上回应称公司相关部门已经在第一时间展开技术排查,并在消息发布两个小时内进行了漏洞弥补工作。但是,人们关注的是,根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。银联2008年出台的《银联卡收单机构账户信息安全管理标准》中也有称,银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素,并在该批次结束后及时予以清除;各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。“从目前披露的情况看,携程方面可能存在一些瑕疵”,银联风险管理专家王宇对此声称,我们一直在积极推动相关机构严格落实相关要求,商户及收单机构不能留存持卡人的敏感信息,同时也要采取多种措施提升交易环节的信息安全管理。但这并不是携程在信息泄露上的全部危险。更大的漏洞,是流程上的不合理。存储信息资格“2010年的时候,这个方案已经在用了。”一位支付行业高管透露。如果只有信用卡卡号和有效期就刷卡成功,那么这个漏洞太大了。“理论上来说第三方支付公司从银行拿接口必须提供实名校验,这就意味着必须提供个人的姓名、身份证号、卡号、CVV有效期才能完成这笔扣费。其实携程无权留取用户的卡等信息,因为这必须是银行或者是第三方有资质的机构。但携程是在走擦边球,一直在做这种留存。据我所知,如果你不给他提供这种接口,携程不会跟你合作。而且合作条件很苛刻。”该人士透露。从乌云上流传出来的内容看,携程是对用户的银行卡、身份证等敏感信息做了留存的。更重要的问题是,这显然已经不是个新问题了,携程却一直没有解决。
我是如何搭建最新乌云漏洞平台到本地的 heatlevel
这不是漏洞,这是后门好不。漏洞是无意造成的,经过破解产生意料之外的结果,它属于设计上的疏忽。而这些接口是明确的编程接口。换句话说它就是特洛伊木马。它的所有功能都是百度主动编程实现的,具备设计者的主观故意。这并不是漏洞,而是后门。虽然伪装ip导致这个后门可以被广域网访问使得这个后门的影响扩大化。但即便没有这个问题,即便绑定到127.0.0.1,对本地应用来说,它也仍然是个不折不扣的后门。在pc系统下本地后门似乎并没有什么意义,但移动系统是有权限控制的,其他本地应用可以通过该后门访问自己并不具有权限访问的东西,绕过系统的权限体系,影响非常恶劣。我猜测百度并不是唯一这么做的。其他公司若有心,还是收敛收敛吧,被爆出来了也不太好看,不是么。
如何评价乌云漏洞平台曝百度旗下多款App存在WormHole后门
Android的权限管理机制导致,Android只是在安装App之前就告诉你App有这么多权限,你如果不想让它访问其中一个权限,要么不安装,只要你安装了,之后它使用这个权限都不会过问。访问联系人这种高敏感的权限,很容易被利用。比如现在很多市场去下载一个手电筒的App,都可能在权限使用列表中加入了联系人访问,访问地理位置等。稍有常识就知道这个是个有问题的App,可以选择不安装。但是百度这样的大公司出来的产品,谁会料到它会用这些权限来造个后门。在Android的地盘上干这些事情,只能Android自己来治。Android 6.0 出来的新的权限机制加入了 Runtime permission management, 在需要使用权限的时候才去跟用户申请,用户可以选择拒绝。
乌云漏洞平台是什么
乌云漏洞平台是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。乌云网成立的初衷也是致力于成为一个服务于互联网IT人士技术开发的互动平台,在业界有着一定的影响力。
