乌云的曝光事件

乌云曝光携程事情暴发于3月22日 ，著名的网站漏洞曝光平台“乌云网”上，网名“猪猪侠”登出了“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。

尤其是后面的漏洞类型属于“敏感信息泄露”，危害等级为“高漏洞”。且“厂商已经确认”。

事情的过程是，由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

所谓遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

事情的解决办法正如本文开头所描述的那样，当晚携程很快就在其官方微博上回应称公司相关部门已经在第一时间展开技术排查，并在消息发布两个小时内进行了漏洞弥补工作。

但是，人们关注的是，根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定，收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。

银联2008年出台的《银联卡收单机构账户信息安全管理标准》中也有称，银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素，并在该批次结束后及时予以清除；各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

“从目前披露的情况看，携程方面可能存在一些瑕疵”，银联风险管理专家王宇对此声称，我们一直在积极推动相关机构严格落实相关要求，商户及收单机构不能留存持卡人的敏感信息，同时也要采取多种措施提升交易环节的信息安全管理。

但这并不是携程在信息泄露上的全部危险。更大的漏洞，是流程上的不合理。

存储信息资格

“2010年的时候，这个方案已经在用了。”一位支付行业高管透露。如果只有信用卡卡号和有效期就刷卡成功，那么这个漏洞太大了。

“理论上来说第三方支付公司从银行拿接口必须提供实名校验，这就意味着必须提供个人的姓名、身份证号、卡号、CVV有效期才能完成这笔扣费。其实携程无权留取用户的卡等信息，因为这必须是银行或者是第三方有资质的机构。但携程是在走擦边球，一直在做这种留存。据我所知，如果你不给他提供这种接口，携程不会跟你合作。而且合作条件很苛刻。”该人士透露。

从乌云上流传出来的内容看，携程是对用户的银行卡、身份证等敏感信息做了留存的。

更重要的问题是，这显然已经不是个新问题了，携程却一直没有解决。

【2011-8-19】 DedeCMS全局变量初始化存在漏洞

描述：可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

【2012-3-21】 DedeCMS官方源码被植入后门

描述：导致黑客可以执行任意代码从而控制整个网站或服务器

【2013-3-29】DedeCMS安全漏洞

描述：“本地文件包含漏洞”，发现时为“0day”，官方已修复

【2013-4-1】DedeCMS 爆SQL注入漏洞

描述：乌云平台曝光， “0day”，官方已修复

【2013-5-2】DedeCMS“重安装”高危安全漏洞

描述：被发现“0day”，通知官方修复并启用临时修复方案

【2013-6-4】DedeCMS 高危安全漏洞

描述：此漏洞为“0day”，官方已修复

【2013-9-30】DedeCMS 5.7版本高危漏洞

描述：乌云白帽子上报，“0day”，跨站脚本漏洞，可在前台插入恶意JS代码，黑客已经利用

【2014-1-6】DedeCMS会员投稿跨站脚本漏洞

描述：攻击者可通过“会员投稿”插入恶意代码，后台管理审稿时“中招”可导致网站被黑

【2014-2-17】swfupload.swf跨站漏洞

描述：该漏洞乌云平台上报，站长反馈网站在检测时检测出此漏洞，已提供修复方案

【2014-3-4】DedeCMS多个安全漏洞

描述：包括2个高危及多个曾经预警的官方没修复的漏洞。官方发布补丁修复但没有全部修复

【2014-03-05】dedecmsV5.7.38 GBK正式版20140305常规更新补丁 member/soft_add.php修复功能错误及存在的漏洞member/soft_edit.php修复功能错误及存在的漏洞include/filter.inc.php修复功能错误及存在的漏洞【2014-03-11】dedecmsV5.7.39 GBK正式版20140311常规更新补丁 data/module/606c658db048ea7328ffe1c7ae2a732f.xml新增畅言模块include/helpers/channelunit.helper.php模板标签解析功能完善include/inc/inc_fun_funAdmin.php更新提示站点迁移完善include/taglib/flink.lib.php友情链接标签缓存完善【2014-03-13】dedecmsV5.7.40 GBK正式版20140313常规更新补丁 include/helpers/channelunit.helper.php修复一个标签解析错误【2014-11-28】DEDECMS官方网被黑，黑客在织梦服务器端植入恶意代码，所有织梦用户访问后台时会提示下载1.exe文件，该程序为后门，一旦下载便会感染成为远控端，而且该病毒会实现反复感染。如果用户为IE浏览器，则会直接感染成为远控端。