前言
大家好,我是在网安行业已经深耕十二年的老许哥~
有位小伙伴开心地分享自己挖到了华为的一个漏洞,得到3000大洋的奖励:
这个漏洞的存在原因是容器环境没有做好有效的网络隔离,使用户能够未经允许地访问华为云的meta-server,这个元数据服务器虽然没有绑定角色,但它里面存放着用户数据,其中还有个k8s证书。
证书的关键作用就不用多讲了,所以这个漏洞直接被定为“高危”,被华为给予了3k的奖励。
华为的一个高危漏洞只有3000元奖金,大家可能都有点诧异,怎么说都该上万吧……
事实上,高危漏洞也分常规和核心,如果涉及核心架构,奖金就会更高一些。另外,开放漏洞奖励计划的大厂们,通常会阶段性地举行一些活动,在活动期间提交漏洞,奖金会高很多。
作为头部大厂,华为肯定是把安全问题放在头等重要的位置,除了构建自己的网络安全团队外,也会通过SRC机制(软件漏洞报告计划/安全应急响应中心),来接收广大白帽子的安全审查与成果提交。
说白了,它可以被看作是一个“资源置换平台”,白帽子们可以用自己的技术合法地向企业提交漏洞,而企业则给予相应的赏金。所以大家都把挖这种漏洞称作为挖src。
华为的这一体系相当的完善和细分,比如有华为鲲鹏计算平台安全漏洞奖励计划、华为终端IoT产品安全漏洞奖励计划、华为云漏洞奖励计划等等多个赏金机制。
其中奖金最高的是华为终端安全漏洞奖励计划,被定义为严重级别的漏洞最高奖励150w。
鲲鹏计算平台的漏洞奖金也是相当的可观,被定义为严重级别的漏洞中,硬件最高50w,固件最高15w,软件最高10w。
这个严重的定义是指系统/平台安全整体受到威胁,例如:
- 可永久植入能绕过内建检测和安全防护的恶意程序,能访问华为核心机密资产;
- 平台安全启动功能被绕过,可永久修改固件;
- 未经授权访问高权限的平台组件的调试功能等等。
相对而言,华为云漏洞奖励就比较一般,低、中、高、严重四个级别的漏洞奖励在200-3w元之间。
话说回来,虽然奖励不怎么的,但是云产品很适合网安新手测试学习,因为云漏洞的挖掘相对而言较为简单,云产品通常具有统一的架构和标准化的接口,而且接口大多置于明面,使得漏洞的测试和挖掘过程更加简单直接。
总的来说,漏洞挖掘还是一件比较有意思的事情,对于喜欢挑战和探索的同学来说,在挖掘漏洞的过程中需要不断地思考、尝试和突破,遇到各种问题还得边碰边学,不知不觉中就会把自己的知识面拓得很宽。
↑ 在我关于漏洞分享的一则视频中,有位同学就表示漏洞比写程序有意思。如果有喜欢挖漏洞的小伙伴,也欢迎在下方留言区交流分享。
一个人走的再快,不如一群人走的更远。一起学习,酣畅淋漓。🤜🤛!
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
黑客&网络安全如何学习?
今天只要你给我的文章点赞,我自己多年整理的282G 网安学习资料免费共享给你们,网络安全学习传送门,可点击直达获取哦!
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了282G视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
由于篇幅有限,各位直接点击嚯取哦:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
更多内容为防止和谐,可以扫描获取哦~
本文转自 https://blog.csdn.net/SpringJavaMyBatis/article/details/140550759?spm=1001.2014.3001.5502,如有侵权,请联系删除。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
