🦆 个人主页:深邃-
目录
SRC漏洞挖掘
SRC平台介绍
SRC(Security Response Center) ,中文为"安全应急响应中心",是企业或组织设立的漏洞收集和处理平台,面向白帽子、安全研究者征集安全漏洞。
地址导航:SRC平台导航
SRC平台的意义
- 提高厂商安全防御能力。
- 为白帽子提供合法合规的漏洞提交通道。
- 建立厂商与安全研究者之间的沟通桥梁。
- 提升整个网络空间的安全性。
SRC漏洞平台
CNVD平台
国家信息安全漏洞共享平台 ,简称CNVD ,国家计算机网络应急技术处理协调中心联合建立的信息安全漏洞信息共享知识库。主要目标提升我国在安全漏洞方面的整体研究水平和及时预防能力,带动国内相关安全产品的发展。
平台地址:国家信息安全漏洞共享平台
教育SRC平台
教育 SRC 是面向全国高校师生,倡导高校网络空间安全建设。
平台地址:教育漏洞报告平台
漏洞盒子
漏洞盒子是国内领先的网络安全众测服务平台,由上海斗象信息科技有限公司于 2014 年推出漏洞盒子,通过众包模式帮助企业发现潜在的安全漏洞 ,同时为白帽安全专家提供漏洞奖励和技术交流平台。
平台地址:漏洞盒子
补天漏洞平台
补天漏洞响应平台是国内领先的第三方公益漏洞响应平台,由奇安信集团于 2013 年推出,旨在通过众包模式 连接企业与全球白帽安全专家,实现漏洞的快速发现、响应与修复。
平台地址:补天漏洞平台
企业SRC平台
一些大公司都有自己的SRC 平台,不需要提交到第三方,可以直接体检给对方的企业
地址导航:SRC
教育SRC和CNVD
教育SRC平台
教育 SRC 是面向全国高校师生,倡导高校网络空间安全建设。
平台地址:教育SRC平台
(1) 漏洞挖掘建议
- 寻找高校官网、OA系统、教务系统、选课系统等目标。
- 推荐漏洞类型:信息泄露、默认口令、任意文件下载、目录遍历。
(2) 漏洞平台特点
- 提交门槛低,专注高校网站及系统。
- 通过漏洞报告可获得荣誉证书。
- 常用于简历、竞赛材料、项目加分。
(3) 平台注册方式
1、第一次注册需要邀请码,可以提交一个漏洞然后回获取邀请码
2、填写漏洞信息即可
CNVD漏洞平台
国家信息安全漏洞共享平台,简称CNVD ,国家计算机网络应急技术处理协调中心联合建立的信息安全漏洞信息共享知识库。主要目标提升我国在安全漏洞方面的整体研究水平和及时预防能力,带动国内相关安全产品的发展。
平台地址:国家信息安全漏洞共享平台
(1) CNVD收录标准
事件型漏洞
- 事件型的公司主要是中国移动、中国联通、中国电信及中国铁塔公司或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书。
注意:不要挖掘党政机关的漏洞
通用型漏洞
- 通用型中危及中危以上的通用型漏洞(CVSS2.0基准评分超过4.0)。 软件开发商注册资金大于等于5000万人民币,并且找到10个以上的案例
(2) CNVD注册方式
国家信息安全漏洞共享平台注册页面
该平台注册不需要邀请码,随意注册即可
企业和公益SRC平台
对于一些私企,可以将漏洞提交到对应平台,一些大公司有自己的SRC平台,或者入驻了盒子或者补天,我们就可以在里面直接提交,但是还有一些小企业,没有自己的SRC平台,就需要提交到公益SRC中
| 对比项 | 公益SRC | 企业SRC |
|---|---|---|
| 平台类型 | 第三方或国家公益性质 | 企业自建,服务于自身产品 |
| 奖励形式 | 证书、积分、荣誉榜 | 现金奖励、积分、荣誉榜 |
| 提交门槛 | 较低,适合新手 | 高,需熟悉目标产品 |
| 提交范围 | 各类公共服务系统、教育系统 | 企业产品、官网、APP、小程序等 |
| 审核周期 | 一般较长 | 响应较快、处理机制成熟 |
| 发展路径 | 利于积累经验和证书 | 更具职业价值和经济效益 |
企业SRC
对于大公司而言有着自己的SRC平台,地址导航:国内漏洞响应平台SRC
1、找到对应的公司这里以阿里为例
2、注册登录平台,点击提交漏洞
公益SRC
公益SRC 一般是【漏洞盒子】和【补天】收录,我们以漏洞盒子为例子
1、登录漏洞盒子,在项目大厅搜索公益
2、进入页面后会有公益SRC的介绍和处置流程,再次点击提交漏洞
3、填写漏洞的详细信息即可
