乌云网（WooYun）漏洞平台是一个位于厂商和安全研究者之间的安全问题反馈平台，在对安全问题进行反馈处理跟进的同时，为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”，在这个不做“云”不好意思和人家打招呼的时代，网络安全相关的，无论是技术还是思路都会有点黑色的感觉，所以自然出现了乌云。

网站简介

乌云网（WooYun）漏洞平台是一个位于厂商和安全研究者之间的安全问题反馈平台，在对安全问题进行反馈处理跟进的同时，为互联网安全研究者提供一个公益、学习、交流和研究的平台。

名字由来

其名字来源于互联网上的“云”，在这个不做“云”不好意思和人家打招呼的时代，网络安全相关的，无论是技术还是思路都会有点黑色的感觉，所以自然出现了乌云。

网站声明

我们对注册的用户做严格的校验，所有安全信息在按照流程处理完成之前不会对外公开，厂商必须得到足够的身份证明才能获得相关的安全信息，包括但不限于采用在线证明、后台的审核以及线下的沟通等方式，而白帽子注册必须通过Email的验证，为了保证信息的高可靠性和价值，对于提交虚假漏洞信息的用户在证实后，我们将根据情况扣除用户的Rank甚至直接删除用户。

对于在乌云平台发布的漏洞，所有权归提交者所有，白帽子需要保证研究漏洞的方法、方式、工具及手段的合法性，乌云对此不承担任何法律责任。乌云及团队尽量保证信息的可靠性，但是不绝对保证所有信息来源的可信，其中漏洞证明方法可能存在攻击性，但是一切都是为了说明问题而存在，乌云对此不负担任何责任。

用户在使用乌云的相关服务时，必须遵守中华人民共和国相关法律法规的规定，用户应同意将不会利用本平台进行任何违法或不正当的活动，包括但不限于下列行为∶

一 上载、展示、张贴、传播或以其它方式传送含有下列内容之一的信息：

1）反对宪法所确定的基本原则的；

2） 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

3） 损害国家荣誉和利益的；

4） 煽动民族仇恨、民族歧视、破坏民族团结的；

5） 破坏国家宗教政策，宣扬邪教和封建迷信的；

6） 散布谣言，扰乱社会秩序，破坏社会稳定的；

7） 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

8） 侮辱或者诽谤他人，侵害他人合法权利的；

9） 含有虚假、有害、胁迫、侵害他人隐私、骚扰、侵害、中伤、粗俗、猥亵、或其它道德上令人反感的内容；

10）含有中国法律、法规、规章、条例以及任何具有法律效力之规范所限制或禁止的其它内容的；

二 不得为任何非法目的而使用乌云及乌云提供的相关信息：

1）不得利用乌云网站进行任何可能对互联网或移动网正常运转造成不利影响的行为；

2）不得利用乌云提供的网络服务上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料；

3）不得侵犯其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益；

4）不得利用乌云网络服务系统进行任何不利于乌云的行为；

三 不利用乌云服务和网站相关信息从事以下活动：

1) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的；

2) 未经允许，对计算机信息网络功能进行删除、修改或者增加的；

3) 未经允许，对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；

4) 故意制作、传播计算机病毒等破坏性程序的；

5) 其他危害计算机信息网络安全的行为。

使命与灵魂

尊重

作为一个互联网漏洞报告平台，乌云最重要的使命就是尊重。我们观察到的安全研究者与厂商之间存在着天生的不平等，不尊重。对于漏洞发现者来说，由于缺乏厂商的联系方式，即使发现了漏洞也很难将信息传递给厂商，而厂商也根本无法顾及散落在互联网各地的漏洞信息，最终导致一些漏洞被人遗忘，未得到修复而造成损失。另外一方面，一些厂商对漏洞研究者的报告也很不尊重，甚至是一种轻视的态度，在出现问题之后对问题不是迅速修复以确保互联网用户的安全而是通过其他手段尝试掩盖漏洞甚至是否认漏洞的存在，在这种不尊重的前提下，漏洞研究者就可能直接将漏洞公开，直接损害了厂商的利益。破坏和建设一样，同样作为一种技术的存在，我们尝试唤回大家对技术的尊重，乌云将跟踪漏洞的报告情况，所有跟技术有关的细节都会对外公开，在这个平台里，漏洞研究者和厂商是平等的，乌云为平等而努力。

进步

我们关注技术本身，相信Know it then hack it，只有对原理了然于心，才能做到真正的自由，只有突破更多的限制，才可能获得真正意义上的技术进步，我们尝试与加入WooYun的厂商及研究人员一起研究问题的最终根源，做出正确的评价并给出修复措施，最终一起进步。

意义

我们坚信一切存在的东西都是有意义的，我们也相信乌云能够给研究人员和厂商带来价值，这种价值将是乌云存在的意义，研究人员可以通过乌云发布自己的技术成果，展示自己的实力，厂商可以通过乌云来发现自己存在的和可能存在的问题，我们甚至鼓励厂商对漏洞研究者作出鼓励或者直接招聘人才。

安全团队

乌云有众多的安全团队在上面发布信息。(2014-06-24 更新)

法律顾问

赵占领

关注领域

我们关心那些可能对互联网造成较大影响的漏洞，所以我们欢迎影响力较大的互联网企业来注册，对于漏洞的选择也会较为严格，对于一般情况下漏洞级别较低而且影响很小的漏洞我们可能会征求厂商的意见来选择是否接受进入WooYun数据库，这可以保证WooYun的质量和可信力。

另外，对于厂商有益的一些信息都可以作为漏洞提交到平台，譬如一些被证明的入侵事件和钓鱼欺诈之类对业务有影响的信息，可以较好帮助企业迅速解决相关问题。

我们相信对于漏洞的最好证明方式就是最大程度的利用，我们鼓励用截图或者录像的方式做出漏洞危害证明，这同样是对技术的一个提高。

曝光事件

乌云曝光携程事情暴发于3月22日，著名的网站漏洞曝光平台“乌云网”上，网名“猪猪侠”登出了“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。

尤其是后面的漏洞类型属于“敏感信息泄露”，危害等级为“高漏洞”。且“厂商已经确认”。

事情的过程是，由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

所谓遍历通常是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。这一被归类为“敏感信息泄露”的漏洞，被指可能导致大量携程用户持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息外泄。

事情的解决办法正如本文开头所描述的那样，当晚携程很快就在其官方微博上回应称公司相关部门已经在第一时间展开技术排查，并在消息发布两个小时内进行了漏洞弥补工作。

但是，人们关注的是，根据中国人民银行发布的《银行卡收单业务管理办法》第28条规定，收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。

银联2008年出台的《银联卡收单机构账户信息安全管理标准》中也有称，银行卡受理终端仅限于保存当前交易批次内用于交易清分所必需的基本信息要素，并在该批次结束后及时予以清除；各类受理终端均不得存储银行卡磁道信息、卡片验证码、个人标识代码、卡片有效期等敏感账户信息。

“从目前披露的情况看，携程方面可能存在一些瑕疵”，银联风险管理专家王宇对此声称，我们一直在积极推动相关机构严格落实相关要求，商户及收单机构不能留存持卡人的敏感信息，同时也要采取多种措施提升交易环节的信息安全管理。

但这并不是携程在信息泄露上的全部危险。更大的漏洞，是流程上的不合理。

存储信息资格

“2010年的时候，这个方案已经在用了。”一位支付行业高管透露。如果只有信用卡卡号和有效期就刷卡成功，那么这个漏洞太大了。

“理论上来说第三方支付公司从银行拿接口必须提供实名校验，这就意味着必须提供个人的姓名、身份证号、卡号、CVV有效期才能完成这笔扣费。其实携程无权留取用户的卡等信息，因为这必须是银行或者是第三方有资质的机构。但携程是在走擦边球，一直在做这种留存。据我所知，如果你不给他提供这种接口，携程不会跟你合作。而且合作条件很苛刻。”该人士透露。

从乌云上流传出来的内容看，携程是对用户的银行卡、身份证等敏感信息做了留存的。

更重要的问题是，这显然已经不是个新问题了，携程却一直没有解决。

约谈谣言

平台暂停服务引发传言，有传言称，乌云平台关停是受到了不久前“白帽子”袁炜被捕事件的影响，甚至乌云的高管也被有关部门约谈。乌云网相关人士昨天对记者表示，网站暂停服务，就是因为业务升级，“不知道那些谣言是从哪里出来的”。

访问官网挂出如下图说明：

网站从2016年7月20日开始，到现在仍没完成升级和提供正常服务。