一、前言
这篇文章旨在帮助大家了解SRC漏洞挖掘过程中合规测试,以及前期准备,同时还对目前常见的涵盖较广的漏洞平台做出粗略介绍。
对于SRC漏洞挖掘,每个平台存在每个平台独属自己的行为规范,所以对于新手来说,想要挖掘漏洞并提交至漏洞报送平台,查看
平台测试相关和行为规范就尤为重要;其次,还需要查看该平台收录范围,这样避免打偏,造成不必要的意外;当然,也需要去看看平台评分标准(对低、中高危漏洞的评定标准);一般在帮助中心和公告处会有说明和显示。
二、SRC漏洞挖掘中的合规操作
以下是edusrc平台测试规范
自己总结以下几点:
1、禁止对网站及他人相关数据和敏感信息进行修改、增加和删除、禁止拖库。
2、漏洞测试仅验证存在即可,不可进行有害化利用,不可进行内网渗透。
3、测试过程和之后确保不影响系统正常业务,及时删除测试过程中遗留的文件和权限。
4、禁止大规模遍历用户信息,禁止保存和传播获取到的数据。
5、禁止使用大规模扫描器进行漏洞挖掘,测试时尽量多采取手工测试,使用的工具确保不会影响系统稳定和正常运行。
6、测试文件上传时禁止上传木马文件,证明解析即可。
7、反射型xss和存储类型PDF型xss在edusrc不收取、仅对存储型中HTML、svg、XML进行收取,对于企业当然反射型也收取。
8、edusrc对于信息泄露仅收取身份证和密码,对于系统拥有高权限账号的弱口令(包含以信息收集工号/工号进入权限较高可以查询修改其他较多用户信息信息当然也可以尝试提交,说不定会有惊喜)等也会进行收取。
9、若在测试过程中存在疑问,最有效和最快的方法当然是去和平台审核进行沟通和交流(一般加入平台相应qq群聊即可找到审核)。
10、最后,挖掘到漏洞,及时提交至漏洞报送平台。
…
三、*适合新手的漏洞报送平台*
1、教育漏洞报告平台(EDUSRC)
https://src.sjtu.edu.cn/
平台收录范围:教育、人社、中科院。
注:各大高校附属医院不在测试范围之内,不要去测试。
平台注册可能需要邀请码,这里大家可以私信公众号后台(可以提供);当然,也有不需要邀请码的方式,只需要在平台上选择无邀请码注册,提交一个漏洞等待审核通过后账号可自动注册成功。
平台内礼品中心可兑换漏洞报送证书和礼品,相应的高校漏洞报送证书及礼品需要提交该高校不同危害的漏洞即可换取
个人比较推荐可以多尝试高校漏洞挖掘,毕竟谁不想为自己和好朋友高校的网络安全出一份力呢!!!
这里也说一句,平台显示不一定代表修复,当然等待修复也不一定是没有修复,其实可能已经是修复好了的;即使没有修复,本人也不需要再次提交,提交了应该也只会被做重复打回处理,除非是对该处漏洞点修复过后进行的二次绕过等问题可以再次提交。
不建议新手一开始就从证书站开始,因为证书也需要一定的金币进行兑换(1rank=1金币,换取礼品仅扣除金币,不会降低自己排名的rank),所以新手可以先去广泛尝试,对edusrc平台收录资产进行测试,说不定哪一天就冒出来一个证书站中高危漏洞。
2、补天漏洞响应平台
https://www.butian.net/
该平台存在大量奖励机制,对于新手时不时会有提交10个0权漏洞(下面详细说明)获取礼品的活动。这里不得不夸赞平台审核速度极快,一般两三个工作日,当然,有时候会存在特殊情况。
所谓权重,以前补天平台是以爱站网(https://www.aizhan.com/)移动权重大于等于1或者谷歌权重大于等于3来进行收取;但最近补天全面开启无权重收取,奖励机制不同而已。
对于存在权重但不属于平台所有专属SRC的漏洞,平台一般会奖励一定的库币,简称kb(1kb=5元),中危及以上会奖励一定的积分,在极客空间会显示kb还有积分和排名;对于0权重的漏洞,则会奖励荣誉币,每天进行签到同样可获取到一定荣誉币,荣誉币可以兑换成kb(5000荣誉币=1kb)。
补天商城只有kb才能进行礼品兑换,积攒到一定kb后可进入商城兑换:商城分为JD专区(价格偏高)和补天专区(多为周边而且较为便宜,节假日也有礼盒可兑换)。
权重仅仅是对公益漏洞而言,对于平台存在的公益厂商或者是专属SRC是不存在权重一说,对于专属SRC,需要自行去项目大厅完成报名,获取到资产范围(注意看清可测试的范围和不收录的资产)后进行测试提交即可。这里除了积分奖励外,还会有奖金作为提交漏洞的奖励(来自厂商的致谢)。
3、漏洞盒子
https://www.vulbox.com/
这也是一个对新手很友好的漏洞响应平台,因为它收取的漏洞很广泛,当然其中也存在许多企业,也会存在奖金作为奖励。提交公益漏洞需要参加公益SRC项目,平台会对提交的公益漏洞进行判定和积分奖励,每个赛季初始积分一致,达到钻石段位并且在公益月榜上排名靠前则会有项目入场券和金币奖励,因为本人对该平台涉及不多所以就不过多阐述,更多的信息师傅们有想法可以去了解了解。
四、结语
最后,在此祝愿每一位致力于为中国不管是高校、还是企业、亦或是公益网络安全做贡献的同路人,都能在各大漏洞报送平台上留下独属于自己的足迹。
零基础网络安全/黑客学习计划
学习路线图大纲总览
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴文末免费领取哦,无偿分享!!!
【一一帮助网络安全学习,以下所有资源文末免费领取一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
这部分内容对于咱们零基础的同学来说还太过遥远了,由于篇幅问题就不展开细说了,我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦,当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
扫一扫
9932
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
