关于补天SRC新手入门详细介绍(通用漏洞篇)

最新推荐文章于 2024-07-02 08:40:27 发布
置顶 最新推荐文章于 2024-07-02 08:40:27 发布
阅读量1.9w 收藏 331
点赞数 48
分类专栏: 【渗透笔记】 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/122005789
版权

前言

时隔11个月补充了一下这篇文章,很久之前就写过了,一直没发出来,可能整个文章就和水文一样,我只是个菜鸟,写的文章也是对新手能提供微小的帮助。

只是单纯的介绍一下补天的通用漏洞挖掘,不涉及任何与技术相关的东西,其目的是让新手快速了解补天,并在补天大展身手。如涉及到了任何侵权问题,请联系我删帖。
在这里插入图片描述

补天SRC介绍

补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。

挖掘到通用漏洞后我该如何刷事件型漏洞

首先呢,说一下这个通用漏洞刷事件类型。
这个很简单,相信各位表哥手里有不少通用漏洞。下面我拿我一个通用讲一下如何进行信息收集。

假设这个站有几个高危逻辑漏洞,也是一个CMS,但是没有建站主页官网,没有案例区。
那么该如何收集呢?
在这里插入图片描述

首先Ctrl+U大法页面源代码瞅一下
翻了一下 看到了XX人才招聘系统 咦 香 fofa走一波 看下资产有多少
在这里插入图片描述

92条数据38条IP 除去HS菠菜网站 也就差不多50多个站 有点少 虽然是个小CMS 但的确有点少
在这里插入图片描述

我又不放弃的继续检索一下源代码 然后找到了他的企业登录入口链接
在这里插入图片描述

放fofa在走一波 这次还能看下去 440条 筛选一下 估计能剩下150-200个网站
在这里插入图片描述

将fofa资产扒下来 自动去重之后还剩132条(fofa接口资产提取工具网上很多很多,无会员的话可能导出的资产条数较少)
在这里插入图片描述

将剩下的132条放进批量查链里面瞅一眼爱站权重 此处自动去除IP 只保留域名
这里我网太慢了就查找了一部分截取了
在这里插入图片描述

最后筛选完是110个有效站点 有权重的也就30多个 三分之一吧
在这里插入图片描述

然后剩下的操作各位大佬很清楚了 那就是刷起来 同类型漏洞 模板截图不用换 来回填写域名提交就行了
在这里插入图片描述

如何把垃圾洞进行最大利益化

以上面通用来说,有权重的不需要考虑可直接提交补天 那么剩下一下无权重的漏洞该怎么办
通常无权重漏洞分三类整理
1)政府教育单位
政府类如下图直接扔CNVD
在这里插入图片描述

这是以前扔的无权重政府单位漏洞 1.56积分 比小CMS通用都值钱
在这里插入图片描述

教育类不用考虑 教育SRC仍起来
在这里插入图片描述

2)补天SRC互联网守护计划
坐等补天一年两次无权互联网守护计划 其实这个不建议等 因为网络安全发展过快 各SRC要求越来越高 不保证以后还会有此类活动
活动规则中高危皆1KB 1KB只增加KB和漏洞数 不增加积分
在这里插入图片描述

3)漏洞盒子公益SRC月榜
垃圾到不能垃圾的洞仍盒子就可以了 有能力大佬写脚本自己提交就行了
官方公益月榜奖励
在这里插入图片描述

低危 2积分 150-200个洞保底 (phpinfo tomact TZ 报错导致的文件泄露、路径泄露 SVN源码 URL跳转 暴力破解 反射XSS)
中危 3积分 100-150个洞保底
高危 4积分 75-100个洞保底
在这里插入图片描述

盒子商城
在这里插入图片描述

盒子近期更改规则 月榜超1000分 奖励认证公益证书 有能力不忙的师傅可以搞一搞
在这里插入图片描述

SRC平台

漏洞盒子 https://www.vulbox.com/
火绒 https://huoxian.secnium.cn/
字节跳动SRC https://security.bytedance.com/
陌陌SRC https://oauth.immomo.com/
漏洞银行 http://skills.bugbank.cn/
360SRC https://security.360.cn/
爱奇艺SRC https://security.iqiyi.com/
阿里安全应急响应中心 https://security.alibaba.com/
安全狗漏洞响应中心 http://security.safedog.cn/reporter_center.html
蚂蚁金服SRC https://security.alipay.com/sc/afsrc/home.htm
百度SRC http://sec.baidu.com/
贝壳安全应急响应中心 https://security.ke.com/
BUGX https://www.bugx.io/
bilibili https://security.bilibili.com/
补天 https://www.butian.net
58SRC https://security.58.com/
菜鸟安全应急响应中心 https://sec.cainiao.com/
滴滴DSRC http://sec.didichuxing.com/
度小满安全应急响应中心 https://security.duxiaoman.com
东方财富SRC http://security.eastmoney.com/
斗鱼SRC https://security.douyu.com/
点融SRC https://security.dianrong.com/
DVP https://dvpnet.io/
本地生活SRC https://security.ele.me/
富有SRC https://fsrc.fuiou.com/home/index.html
瓜子SRC https://security.guazi.com
享道出行XDSRC https://src.saicmobility.com
好未来安全应急响应中心 http://src.100tal.com/
火币安全应急响应中心 https://www.huobigroup.com/
华为PSIRT https://www.huawei.com/cn/psirt
isrc iTutorGroup https://sec.tutorabc.com.cn
京东SRC http://security.jd.com/
焦点安全应急响应中心 https://security.focuschina.com/
竞技世界SRC https://security.jj.cn/
金山办公安全应急响应中心 https://security.qwps.cn/
金山SRC http://sec.kingsoft.com/
快手安全中心 https://security.kuaishou.com
老虎证券安全应急响应中心 https://security.itiger.com/
乐信安全应急响应中心 http://security.lexinfintech.com/security/index
联想SRC https://lsrc.vulbox.com/
同程SRC https://sec.ly.com/
MLSRC http://security.mogujie.com/#/
魅族SRC http://sec.meizu.com
陌陌SRC https://security.immomo.com/
马蜂窝安全应急响应中心 https://security.mafengwo.cn/
摩拜安全 https://security.mobike.com
美团安全应急响应中心 https://security.meituan.com/
你我贷安全应急响应中心 http://www.niwodai.com/sec/index.do
OPPO安全应急响应中心 https://security.oppo.com/
网易SRC http://anquan.163.com/
平安安全应急响应中心 http://security.pingan.com/
去哪儿安全应急响应中心 https://security.qunar.com/
融360安全应急响应中心 https://security.rong360.com/#/
水滴安全应急响应中心 https://security.shuidihuzhu.com/
Seebug漏洞平台 https://www.seebug.org/
新浪SRC http://sec.sina.com.cn/
顺丰SRC http://sfsrc.sf-express.com/index
搜狗安全应急响应中心 http://sec.sogou.com/
苏宁SRC https://security.suning.com
途牛SRC http://sec.tuniu.com/
T3出行安全应急响应中心 https://security.t3go.cn/
腾讯SRC https://security.tencent.com/
唯品会SRC https://sec.vip.com/
VIPKID安全应急响应中心 https://security.vipkid.com.cn/
vivoSRC https://security.vivo.com.cn
挖财SRC https://sec.wacai.com/
微博安全应急响应中心 http://wsrc.weibo.com/
微众银行安全应急响应中心 https://security.webank.com/
完美世界SRC http://security.wanmei.com
微贷安全应急响应中心 https://sec.weidai.com.cn
Wifi万能钥匙SRC https://sec.wifi.com/
小米安全中心 https://sec.xiaomi.com/
小赢安全应急响应中心 https://security.xiaoying.com/
喜马拉雅SRC https://security.ximalaya.com/
携程SRC https://sec.ctrip.com/
讯飞安全响应中心 https://security.iflytek.com/index.php
有赞安全应急响应中心 https://src.youzan.com/
宜信安全应急响应中心 https://security.creditease.cn/index.html
猪八戒SRC https://sec.zbj.com/
字节跳动安全中心 https://security.bytedance.com
中通安全应急响应中心 https://sec.zto.com/
智联招聘SRC https://src.zhaopin.com

晚风不及你ღ
关注
  • 48
    点赞
  • 331
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
补天漏洞平台怎么登陆
2402_84765445的博客
06-08 313
需要注意的是,补天漏洞平台是一个专业的安全平台,可能对用户身份和背景有一定的要求。获得邀请:补天漏洞平台通常会选择有经验和技术水平较高的安全研究人员进行邀请,所以你可以通过在相关领域积累经验和知识,提供优秀的漏洞报告等方式,增加被邀请的机会。参与漏洞竞赛:一些漏洞平台会定期组织漏洞竞赛,参与者可以提交自己的漏洞报告,获得评判团队的认可后有机会获取邀请码进入平台。因此,如果您对补天漏洞平台感兴趣,建议您先了解平台的要求和规定,以及相关的认证和资质要求。注册完成后,您可以使用您的账号和密码登录补天漏洞平台。
针对补天漏洞盒子,cnvd,漏洞提交通用word模板
最新发布
07-21
就是为了交漏洞自己做的模板免费分享给大家,为了方便!
SRC漏洞挖掘思路手法(非常详细),零基础入门到精通,收藏这一就够了
Python_paipai的博客
01-31 4267
这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。很多人可能都挖过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己挖不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有一定的技术能力。很多都感觉自己挖那种大厂的漏洞都挖不倒,挖上一两个小时或者半个小时就不挖了,没什么进展,往往这种想法是错误的,其实对于一些src漏洞挖掘和别的站点漏洞挖掘都大差不大,但是为什么都感觉自己挖不
初识SRC漏洞平台提交漏洞
热门推荐
OKAY_TC的博客
03-08 5万+
1.1 漏洞平台 补天漏洞响应平台:https://butian.360.cn/ 漏洞银行:https://www.bugbank.cn/ 阿里云漏洞响应平台:https://security.alibaba.com/ i春秋SRC部落:https://www.ichunqiu.com/src 腾讯应急响应中心:https://security.tencent.com/index.php...
漏洞报告怎么写/补天SRC新手入门通用漏洞_零开始网络安全笔记
程序员三九的博客
06-16 446
本文将带领新手了解补天SRC,包括其概念、目的、挖掘方法等,为新手在补天SRC中挖掘通用漏洞提供指导。
【360补天计划】记第一次漏洞提交
weixin_30819085的博客
08-09 3984
前言: 即将于8月底进入广州大学方班开始研究生学习,遂提前开始学习网安方面的知识,然后发现了360的补天计划,正好之前进行测试的时候被老师提醒随便测试别人的网站不合适,这样一来,就有众多网站可以随便测试! 网址:https://www.butian.net/ 还有其他相关的漏洞提交网站:比如 教育行业漏洞报告平台 一、网站白帽子注册: 在官网,直接注册即可 二、查找...
补天漏洞平台为什么能吸引众多白帽和企业?
weixin_34275734的博客
08-01 752
【51CTO.com原创稿件】3月7日,维基解密分批公开了据称是美国中情局与网络攻击相关的一批秘密文件,文件揭露了美国中央情报局黑客部队的黑暗历史:攻击手法、攻击目标、会议记录以及几乎所有的黑客工具均被曝光——所有的黑客工具涉及7亿行代码。 这一信息的曝出着实让记者震惊,也让记者深感网络安全形势的严峻,即便是中情局这样的顶尖机构,如此敏感机密的材料还会被...
补天漏洞响应平台基本介绍
记录并分享学习安全的知识点..
05-30 9668
警告 一、基本介绍 (一)专属SRC (二)企业SRC (三)公益SRC 二、漏洞提交流程和厂商奖励 (一)漏洞提交流程 (二)厂商奖励——漏洞奖励主要分为现金奖励,KB奖励和荣誉奖励。 三、 Web漏洞收录标准 (一)漏洞定义 (二)漏洞类型 (三)漏洞等级 (四)补天不收的漏洞 警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 白帽子行为规范:https://www.butian.net/Article/content/id/5 补天平台规范化提交...
关于补天SRC小白入门详细介绍
晚风不及你
01-02 1万+
前言 只是单纯的介绍一下补天的界面以及规则与操作方式,不涉及任何与技术相关的东西,其目的是让新手快速了解补天,并在补天大展身手。如涉及到了任何侵权问题,请联系我删帖。 补天SRC介绍 补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。 ......
SRC漏洞挖掘经验+技巧
Innocence_0的博客
09-19 798
在HP Data protecetor Media Operations 的客户端连接服务端时,通过私访有的通信协议,客户端会首先检查[系统分区]:\Documents and Settings[用户名]\Application Data 下面是否有相应的资源(如插件等),如果没有,则会向服务器请求需要的文件,服务器没有验证请求的文件名的合法性,而且这个过程不需要任何验证,攻击者精心构造文件名,可以读取服务端安装目录所在分区的任意文件。最古老的内存破坏类型。漏洞造成的敏感信息泄露导致机密性的破坏;
补天SRC漏洞挖掘(一):主域名爬取
iO快到碗里来
10-10 3437
0x00 准备工作 补天账号 python3运行环境 requests等第三方库 0x01 流程分析 分别查看专属SRC、企业SRC、公益SRC对应URL,发现没有变化。初步判断网站使用的是 Ajax,即异步的 JavaScript 和 XML。 进入公益SRC,查看不同页码对应的URL,仍然没有变化。 随机选取一个厂商,点击提交漏洞。发现URL发生变化,且找到了我们想要爬取的厂商名称和域名。 分析不同厂商提交漏洞页面的URL,发现每一个厂商都有其对应的 cid,关键是如何获取这一参数。
对渗透新人的几点建议
m0_60571990的博客
11-28 2794
对渗透新人的几点建议
SRC漏洞提交平台汇总
08-21
SRC(Security Response Center)漏洞提交平台是企业为了管理和修复其产品或服务中的安全漏洞而设立的专门渠道。这些平台允许安全研究人员、白帽黑客和漏洞猎手报告发现的安全问题,以便企业及时采取措施,防止恶意...
补天漏洞挖掘思考企业安全
07-19
补天技术沙龙分享,如何入门漏洞挖掘,从补天漏洞挖掘思考企业安全
新手入门全景视频航拍过程介绍.docx
03-08
- **PS补天**: 1. 打开PTGui生成的全景图,观察天空残缺部分。 2. 准备全景天空素材,将其与全景图合并到同一画布。 3. 调整天空素材尺寸,使其与全景图对齐。 4. 将全景图置于天空图层之上,利用图层蒙版和...
butian-src-domains:补天公益src域名IP地址集合
05-08
若需要从补天src更新最新的厂商域名地址,可修改config.py中如下配置为自己账号的cookie BUTIAN_SRC_COOKIES = { "PHPSESSID":"your_phpsessid", "__DC_gid":"your_gid" } usage: src-domains.py [-h] [-uD] [-uDA...
如何在补天平台提交漏洞并获得奖金
weixin_43822401的博客
07-02 564
网络安全漏洞的发现与修复是维护网络环境安全的重要环节。通过补天平台,我们不仅可以提升个人技术能力,还能为网络安全贡献自己的力量并获得相应的回报。希望本文能帮助更多的网络安全爱好者在补天平台上发挥自己的专长。文章中的实战案例和工具使用仅为教学演示,实际操作时应遵守法律法规,不应用于非法目的。
怎么入门SRC漏洞挖掘
hdwlwang的博客
05-08 1938
2. SRC的工作过程 SRC的成员发现漏洞,确认漏洞,报告漏洞,修复漏洞,并公开发布漏洞信息和修复信息。2. 漏洞识别漏洞识别是SRC漏洞挖掘重要的一步。3. 拓展攻击面针对已经确定的漏洞,可以尝试进一步拓展攻击面,以便确定该漏洞的影响范围、漏洞的类型等信息。总结: SRC漏洞挖掘工作需要遵守法律和道德、多人协作,并加强注意事项的细节,只有这样,我们才能更好地保护系统安全、预防恶意行为对系统带来的破坏。2. 加强团队合作 SRC漏洞挖掘需要团队合作,漏洞挖掘工作需要多人协作,以确保发现并解决所有漏洞
补天挖洞经验贴
02-13 1190
转载自: 补天付费厂商漏洞挖掘小技巧 补天不收的漏洞 补天付费厂商漏洞挖掘小技巧 1、子域名收集 不要想着去撸主站,主站一出来几乎被人轮了个遍,跟大牛抢肉吃,难,放弃。 所以我们一般都是百度找子域名例如www.xxxxx.com是主站,关键字 inurl:xxxxx.com。如果这样能找到不少子域名。 1.1 补天不收的漏洞 ...
请用python写一个猜灯谜小游戏,详细一点
09-13
### 回答1: 答:``` # 首先定义一个答案 answer = "灯塔"# 定义一个函数,用来运行猜灯谜游戏 def guess_game(): print("欢迎来到猜灯谜小游戏!") guess = input("请输入你的答案:") if guess == answer: print("恭喜你答对了!") else: print("很遗憾,你答错了!")# 调用函数 guess_game()``` ### 回答2: 下面是一个简单的使用Python编写的猜灯谜小游戏: ```python import random # 定义一个灯谜字典 riddles = { "一年四季不见头": "树", "叉叉叉,刀刀刀,问是什么东西?": "剪刀", "有种顶戴花,戴来补天家": "草", "红一点,黄一点,捏在手里软一点": "樱桃" } # 选择一个随机的灯谜 riddle = random.choice(list(riddles.keys())) # 游戏循环 while True: print("猜灯谜游戏开始!输入 q 退出游戏。") print("请猜猜这个灯谜是什么:", riddle) answer = input("请输入你的答案:") if answer == "q": print("退出游戏。谜底是:", riddles[riddle]) break if answer == riddles[riddle]: print("恭喜你,答案正确!") break else: print("答案不正确,请再试一次。") ``` 这个小游戏首先定义了一个灯谜字典,包含了多个灯谜和它们的答案。然后通过`random.choice()`函数从字典的键中随机选择一个灯谜。接下来进入游戏循环,游戏循环会不断提示用户猜灯谜的答案。用户输入答案后,程序会进行判断,如果用户输入的是`q`,则退出游戏并显示正确答案;如果用户输入的答案与正确答案相同,则提示用户答对了;否则提示用户再试一次。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值