曝光网站源码

1. 乌云的曝光事件

乌云曝光携程事情暴发于3月22日 ，着名的网站漏洞曝光平台“乌云网”上，网名“猪猪侠”登出了“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。
尤其是后面的漏洞类型属于“敏感信息泄露”，危害等级为“高漏洞”。且“厂商已经确认”。
事情的过程是，由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。
所谓遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。
事情的解决办法正如本文开头所描述的那样，当晚携程很快就在其官方微博上回应称公司相关部门已经在第一时间展开技术排查，并在消息发布两个小时内进行了漏洞弥补工作。
但是，人们关注的是，根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定，收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。
银联2008年出台的《银联卡收单机构账户信息安全管理标准》中也有称，银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素，并在该批次结束后及时予以清除；各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。
“从目前披露的情况看，携程方面可能存在一些瑕疵”，银联风险管理专家王宇对此声称，我们一直在积极推动相关机构严格落实相关要求，商户及收单机构不能留存持卡人的敏感信息，同时也要采取多种措施提升交易环节的信息安全管理。
但这并不是携程在信息泄露上的全部危险。更大的漏洞，是流程上的不合理。
存储信息资格
“2010年的时候，这个方案已经在用了。”一位支付行业高管透露。如果只有信用卡卡号和有效期就刷卡成功，那么这个漏洞太大了。
“理论上来说第三方支付公司从银行拿接口必须提供实名校验，这就意味着必须提供个人的姓名、身份证号、卡号、CVV有效期才能完成这笔扣费。其实携程无权留取用户的卡等信息，因为这必须是银行或者是第三方有资质的机构。但携程是在走擦边球，一直在做这种留存。据我所知，如果你不给他提供这种接口，携程不会跟你合作。而且合作条件很苛刻。”该人士透露。
从乌云上流传出来的内容看，携程是对用户的银行卡、身份证等敏感信息做了留存的。
更重要的问题是，这显然已经不是个新问题了，携程却一直没有解决。

2. 微软等50多家科技公司源代码泄露是怎么回事

近日，包括微软、迪士尼、任天堂在内的50家知名公司的源代码泄露，并被发布在了公开网络上。

据7月27日科技网站Bleeping Computer最先报道，一名瑞士开发者Tillie Kottmann从微软、任天堂、迪士尼、摩托罗拉等其他公司中提取出了源代码，因为他们采用的DevOps应用的安全性不强，导致这些公司的专有信息曝光。

Kottmann将代码发布在了公开平台GitLab上，将之标记在“机密”、“机密和专属“两个标签之下，然后在自己的推特账号上发布了获取链接。

据Polygon报道，这次泄露的任天堂源代码尤其引起了游戏界的关注，它使得人们得以一窥一些最经典的任天堂游戏背后的代码是什么样子的，任天堂这一泄露的代码也在网络上被称为“GigaLeak”（超级泄露）。

(2)曝光网站源码扩展阅读

ImmuniWeb创始人认为泄密没什么大不了：

对于上述事件，不少安全专家表示，“在互联网上失去对源代码的控制，就像把银行的设计图交给抢劫犯一样。”

来自网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科（Ilia Kolochenko）观点相左：“从技术角度来看，泄密没什么大不了。经检查，大多数源代码都是一文不值的，除非您有其他一些技术。

此外，源代码在没有日常支持和改进的情况下会迅速贬值。因此，不择手段的竞争对手不可能获得很大的价值，除非他们只专注某款非常具体的软件。”

3. 代码泄露一旦泄露还会有补救的措施吗

据外媒报道，由于不安全的DevOps应用程序导致公司专有信息暴露，50多家科技公司源代码泄露。有人担心泄露的代码会被用于犯罪，比如一位安全专家表示，“在互联网上失去对源代码的控制，就像把银行的设计图交给抢劫犯一样。”

一名瑞士开发者Tillie Kottmann从微软、任天堂、迪士尼、摩托罗拉等其他公司中提取出了源代码，因为他们采用的DevOps应用的安全性不强，导致这些公司的专有信息曝光。Kottmann将代码发布在了公开平台GitLab上，将之标记在“机密”、“机密和专属“两个标签之下，然后在自己的推特账号上发布了获取链接。据商业内幕7月28日报道，安全专家Jake Moore称，将这些源代码公之于众，能够让网络攻击者更容易窃取公司的机密信息。

代码的泄露，各个公司只能理科的加强自己公司的防御系统，然后改动相关的代码，防止被图谋不轨的人借此大做文章。