曝光網站源碼

1. 烏雲的曝光事件

烏雲曝光攜程事情暴發於3月22日 ，著名的網站漏洞曝光平台「烏雲網」上，網名「豬豬俠」登出了「攜程某分站源代碼包可直接下載(涉及資料庫配置和支付介面信息)」以及「攜程安全支付日誌可遍歷下載 導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)」的兩條信息。
尤其是後面的漏洞類型屬於「敏感信息泄露」，危害等級為「高漏洞」。且「廠商已經確認」。
事情的過程是，由於攜程用於處理用戶支付的安全支付伺服器介面存在調試功能，將用戶支付的記錄用文本保存了下來。同時因為保存支付日誌的伺服器未做校嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意駭客讀取。
所謂遍歷通常是指沿著某條搜索路線，依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為「敏感信息泄露」的漏洞，被指可能導致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。
事情的解決辦法正如本文開頭所描述的那樣，當晚攜程很快就在其官方微博上回應稱公司相關部門已經在第一時間展開技術排查，並在消息發布兩個小時內進行了漏洞彌補工作。
但是，人們關注的是，根據中國人民銀行發布的《銀行卡收單業務管理辦法》第28條規定，收單機構不得以任何方式存儲銀行卡磁軌信息或晶元信息、卡片驗證碼、卡片有效期、個人標識碼等敏感信息。並應採取有效措施防止特約商戶和外包服務機構存儲銀行卡敏感信息。
銀聯2008年出台的《銀聯卡收單機構賬戶信息安全管理標准》中也有稱，銀行卡受理終端僅限於保存當前交易批次內用於交易清分所必需的基本信息要素，並在該批次結束後及時予以清除；各類受理終端均不得存儲銀行卡磁軌信息、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶信息。
「從目前披露的情況看，攜程方面可能存在一些瑕疵」，銀聯風險管理專家王宇對此聲稱，我們一直在積極推動相關機構嚴格落實相關要求，商戶及收單機構不能留存持卡人的敏感信息，同時也要採取多種措施提升交易環節的信息安全管理。
但這並不是攜程在信息泄露上的全部危險。更大的漏洞，是流程上的不合理。
存儲信息資格
「2010年的時候，這個方案已經在用了。」一位支付行業高管透露。如果只有信用卡卡號和有效期就刷卡成功，那麼這個漏洞太大了。
「理論上來說第三方支付公司從銀行拿介面必須提供實名校驗，這就意味著必須提供個人的姓名、身份證號、卡號、CVV有效期才能完成這筆扣費。其實攜程無權留取用戶的卡等信息，因為這必須是銀行或者是第三方有資質的機構。但攜程是在走擦邊球，一直在做這種留存。據我所知，如果你不給他提供這種介面，攜程不會跟你合作。而且合作條件很苛刻。」該人士透露。
從烏雲上流傳出來的內容看，攜程是對用戶的銀行卡、身份證等敏感信息做了留存的。
更重要的問題是，這顯然已經不是個新問題了，攜程卻一直沒有解決。

2. 微軟等50多家科技公司源代碼泄露是怎麼回事

近日，包括微軟、迪士尼、任天堂在內的50家知名公司的源代碼泄露，並被發布在了公開網路上。

據7月27日科技網站Bleeping Computer最先報道，一名瑞士開發者Tillie Kottmann從微軟、任天堂、迪士尼、摩托羅拉等其他公司中提取出了源代碼，因為他們採用的DevOps應用的安全性不強，導致這些公司的專有信息曝光。

Kottmann將代碼發布在了公開平台GitLab上，將之標記在「機密」、「機密和專屬「兩個標簽之下，然後在自己的推特賬號上發布了獲取鏈接。

據Polygon報道，這次泄露的任天堂源代碼尤其引起了游戲界的關注，它使得人們得以一窺一些最經典的任天堂游戲背後的代碼是什麼樣子的，任天堂這一泄露的代碼也在網路上被稱為「GigaLeak」（超級泄露）。

(2)曝光網站源碼擴展閱讀

ImmuniWeb創始人認為泄密沒什麼大不了：

對於上述事件，不少安全專家表示，「在互聯網上失去對源代碼的控制，就像把銀行的設計圖交給搶劫犯一樣。」

來自網路安全公司ImmuniWeb的創始人兼首席執行官伊利亞·科洛琴科（Ilia Kolochenko）觀點相左：「從技術角度來看，泄密沒什麼大不了。經檢查，大多數源代碼都是一文不值的，除非您有其他一些技術。

此外，源代碼在沒有日常支持和改進的情況下會迅速貶值。因此，不擇手段的競爭對手不可能獲得很大的價值，除非他們只專注某款非常具體的軟體。」

3. 代碼泄露一旦泄露還會有補救的措施嗎

據外媒報道，由於不安全的DevOps應用程序導致公司專有信息暴露，50多家科技公司源代碼泄露。有人擔心泄露的代碼會被用於犯罪，比如一位安全專家表示，“在互聯網上失去對源代碼的控制，就像把銀行的設計圖交給搶劫犯一樣。”

一名瑞士開發者Tillie Kottmann從微軟、任天堂、迪士尼、摩托羅拉等其他公司中提取出了源代碼，因為他們採用的DevOps應用的安全性不強，導致這些公司的專有信息曝光。Kottmann將代碼發布在了公開平台GitLab上，將之標記在“機密”、“機密和專屬“兩個標簽之下，然後在自己的推特賬號上發布了獲取鏈接。據商業內幕7月28日報道，安全專家Jake Moore稱，將這些源代碼公之於眾，能夠讓網路攻擊者更容易竊取公司的機密信息。

代碼的泄露，各個公司只能理科的加強自己公司的防禦系統，然後改動相關的代碼，防止被圖謀不軌的人藉此大做文章。