新浪微博:@百度安全应急响应中心
微信公众号:百度安全应急响应中心
邮箱地址:security@baidu.com
5.360安全应急响应中心(360SRC, 360 Security Respnse Center)
新浪微博:@360安全应急响应中心
Twitter:@360SRC
微信公众号:360安全应急响应中心
邮箱地址:security@360.cn
6.小米安全中心(MiSRC, Xiaomi Security Center)
新浪微博:@小米安全中心
微信公众号:小米安全中心
邮箱地址:security@xiaomi.com
7.唯品会安全应急响应中心(VSRC, VIP Security Respnse Center)
新浪微博:@唯品会安全应急响应中心
微信公众号:唯品会安全应急响应中心
邮箱地址:sec@vipshop.com
8.爱奇艺安全应急响应中心(71SRC, iQIYI Security Response Center)
新浪微博:@爱奇艺安全应急响应中心
邮箱地址:71src@qiyi.com
9.网易安全中心(NSC, NetEase Security Center)
新浪微博:@网易安全
微信公众号:网易安全应急响应中心
邮箱地址:security@corp.netease.com
10.滴滴出行安全应急响应中心(DSRC, DiDi Security Response Center)
新浪微博:@滴滴出行安全应急响应中心
微信公众号:滴滴出行安全应急响应中心
邮箱地址:sec@didichuxing.com
二. 平台准则:
适合的组织:
腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC
一、测试规范:
-
注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
-
越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。
-
帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。
帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。 -
存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
-
如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。
-
在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
-
如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
-
禁止对网站后台和部分私密项目使用扫描器。
-
除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
-
禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
识点,真正体系化!**
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
[外链图片转存中…(img-yhGO28vW-1712787554252)]