如何处理被*SRC拒绝的漏洞

最新推荐文章于 2024-05-23 20:55:38 发布
最新推荐文章于 2024-05-23 20:55:38 发布
阅读量1.8k 收藏
点赞数
分类专栏: 常见WEB安全问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssergsw/article/details/16803853
版权

   最近在几个SRC【安全响应中心Security Response Center,简称ASRC)】遇到了提交的漏洞被拒绝,或者叫忽略的情况,下面谈谈如何处理被无视的漏洞。

*SRC作为网站和白帽子之间的接口,他们肯定希望所有的价值的漏洞都给予评分,但是不排除有误判的情况,如何处理这些漏洞,我有以下几点建议:

第一,联系漏洞的评审员,要求复审。*SRC里也不全是安全行业的大牛,对于根据提交者的描述,评审员自己无法理解的漏洞,一般会被忽略。但当你要求复审时,他们会再找更高级别的人帮忙确认,一般在此阶段,对于有价值的漏洞就会被确认了。

第二,增加描述,以及对应的CVE编号。通过第一种方法,还是没有得到确认的漏洞,可以尝试提供CVE编号。如果不是自己提的0DAY,一般都会有漏洞的CVE编号,可以把CVE编号提供出来,以便评审人员参考。

第三,自己根据CVE描述写POC。如果前两个还是行不能,那就要自己写POC了,只是这个要求比较高,但对于价值比较大却没有被认可的漏洞,这还是值得的,虽然写一个POC会花几倍于挖漏洞的时间,但是对于证明自己的实力还是很有帮助的。

第四,可以提交到第三方的漏洞平台,看看第三方的评价。一般能在第三步写出POC的,这一步就走不到了,自己看到了漏洞,给出了CVE编号,却写不出POC,第三方漏洞平台也是一个好的“说理”的地方。

第五,千万不要直接把漏洞公布出来。这样的危害太大,比如你看到人家的窗户没有关,你告诉主人,主人认为自己家窗户外有防盗,别人进不来,你也不必到处说XX家窗户开着。

   以上只是个人看法,欢迎大家一起讨论,谢谢!


ssergsw
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
怎么入门SRC漏洞挖掘,src漏洞新手怎么入门
weixin_68789096的博客
06-16 2357
SRC漏洞挖掘是现代互联网安全领域的一个重要分支,是许多企业和组织确保其软件和数据安全性的必要手段。虽然SRC漏洞挖掘看上去很高级,但其实它所涉及的一些基础知识和工具都是可以学习和掌握的。
解析:清除SQL被注入恶意病毒代码的语句
09-10
6. 循环直到游标中的所有行都被处理完,然后关闭游标,最后释放游标资源。 这个脚本虽然能有效地清除已知的恶意代码,但它并不能防止未来的SQL注入攻击。为了提高系统的安全性,还需要采取以下措施: - 使用参数化...
SRC挖掘漏洞经验分享
2302_79684980的博客
10-23 456
之前运气好,挖到的一个洞的思路就分享给大家,首先是通过一个很微小的信息泄露在 http 的响应头中,找到了他们使用的 cms 版本号,后来通过搜索市面上的漏洞,发现最新版的问题都存在了,后来又下载了最新的源码进行了代码审计,然后正好那段时间在学,就发现了个 sql 注入点。3.找大师傅们尽量听他们给的建议,或者给你的规划,而不是说一味的去问怎么挖洞,这种问题就相当于,一个小孩还不会写字,在让你教他写作文一样,毫无意义,这个过程需要自己慢慢的积累和学习,而不是让别人喂,来让别人施舍,只会让别人看不起自己!
实战:盒子的self-xss(盒子已忽略
anlalu233的博客
07-05 1211
盒子的self-xss是我在提交一个其他网站的xss时,编辑框输入了xss代码,没想到盒子弹窗了。我惊喜地想没想到盒子自己竟然有洞,然后我兴高采烈地提交了盒子,盒子很快回复了我说该漏洞已知晓,self-xss不存在危害性,故忽略。我一盆凉水浇下来。(小声说:盒子一看到自己平台的洞审核超快,第二天就审核回复我了,而我另一个同时间提交的xss漏洞还没审核emmmm) 图片 ...
SRC 漏洞挖掘:开发厂商.(批量通杀)(教育漏洞报告平台)
最新发布
网络安全领域___专研者.
05-23 399
SRC (Security Research Center) 漏洞挖掘是一种专门针对网站和应用程序安全漏洞进行发现和研究的活动。SRC 漏洞挖掘通常由安全研究人员或专业的安全团队执行,目的是及时发现和修复系统中存在的安全隐患,提高系统的整体安全性。这项工作对于保护网站和应用程序免受黑客攻击非常重要。
实战SRC漏洞挖掘全过程,流程详细【网络安全】
2301_76694151的博客
05-06 1803
一句话,柿子要挑软的捏。渗透测试思路最重要,每个人在做渗透测试时的思路都不同,有思路有想法才能进行下去。
2023最新SRC漏洞挖掘快速上手攻略!
2301_77732591的博客
06-07 3621
随着网络安全的快速发展,黑客攻击的手段也越来越多样化,因此SRC漏洞挖掘作为一种新的网络安全技术,也在不断发展和完善。那么,作为一个网安小白如果想要入门SRC漏洞挖掘,需要掌握哪些知识呢?以下是本人通过多年从事网络安全工作的经验,综合网络上已有的资料,总结得出的指导SRC漏洞挖掘入门的详细介绍。1、BugcrowdBugcrowd是一个专门为企业提供漏洞检测、漏洞挖掘、漏洞修复、防御安全相关服务的平台,为各大知名企业提供安全检测服务。
漏洞挖掘日记1:企业src某系统存在登录绕过漏洞
weixin_49349476的博客
08-10 615
登录绕过漏洞属于逻辑漏洞的一种,这种漏洞会直接绕过身份验证,直接进入后台。
防js/sql注入简易工具 v1.1
11-29
攻击者可能利用这种漏洞执行任意的JavaScript代码,导致XSS(跨站脚本攻击),例如窃取用户cookie、操纵页面内容或者发起其他恶意操作。防js注入工具通过以下方法来防范此类攻击: 1. **输入验证**:对用户输入进行...
hsseccomp:与libseccomp的绑定
05-12
3. **错误处理**: 当系统调用被过滤器拒绝时,hsseccomp库会提供适当的错误处理机制,使应用程序能够优雅地处理这种情况,而不是简单地崩溃。 4. **兼容性**: 由于hsseccomp要求内核3.13及以上版本且包含反向移植的...
存储XSS1
08-08
**存储型跨站脚本(Stored XSS)攻击详解** 存储型跨站脚本(Stored XSS)是一种常见的Web安全漏洞,它允许攻击者将恶意JavaScript代码...开发者应时刻保持警惕,确保对用户输入的正确处理,以防止此类漏洞的发生。
edusrc-web:edusrc用户主页数据分析与查询
03-15
edusrc网站 edusrc用户主页在线数据分析与查询
django-csp:Django的内容安全政策
04-30
这样,即使网站存在XSS漏洞,攻击者也无法注入恶意脚本,因为浏览器将拒绝执行非白名单来源的代码。CSP可以通过HTTP响应头或者HTML标签来设置,并且可以包含多个源策略,如`default-src`、`script-src`、`style-src`...
php-7.2.27.tar.gz
07-20
例如,修复了`curl_multi_exec`可能导致的拒绝服务攻击,以及`DOM`扩展中的注入问题等。这些修复确保了使用PHP7.2.27构建的应用程序在安全层面具有更高的保障。 此外,PHP7.2还引入了对弃用功能的警告,比如在...
Python项目 基于Scapy实现SYN泛洪攻击的方法
09-19
SYN泛洪攻击是一种常见的拒绝服务(Denial of Service, DoS)攻击手段,它利用TCP三次握手过程中的漏洞,通过发送大量伪造的SYN请求来消耗目标服务器的资源,使其无法正常处理合法用户的连接请求。在本文中,我们将...
SRC漏洞挖掘信息收集与挖掘技巧
A_991128a的博客
03-09 138
搜索引擎搜索 Google、百度、360、bing、搜狗等主流搜索引擎,通过搜索语法进行搜索。 优点:发现域名时往往会同时发现一些敏感的页面。 缺点:收录有限。
记一次SRC实战-信息泄露
YINGXXX123的博客
01-23 1073
SRC实战信息泄露。根据上下文,网站可能会将各种信息泄漏给潜在的攻击者,包括:有关其他用户的数据,例如用户名或财务信息敏感的商业或商业数据有关网站及其基础架构的技术细节泄露敏感的用户或业务数据的危险相当明显,但泄露技术信息有时可能同样严重。尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他有趣的漏洞。有时,敏感信息可能会不慎泄露给仅以正常方式浏览网站的用户。但是,更常见的是,攻击者需要通过以意外或恶意的方式与网站进行交互来引发信息泄露。
【资源帖】漏洞平台(国内外)+企业SRC整理-持续更新
Keylion ,Your Hero
03-06 6243
前言 不挖洞的安服工程师不是一个合格的白帽子,整理一波各大SRC平台的名单,欢迎评论补充,以供参考。 综合SRC平台-国内 1.漏洞盒子 2.补天平台 3.i春秋漏洞安全响应平台-SRC部落 综合SRC平台-国外 1.Hackone 各大企业SRC 1.YY安全应急响应中心 2.苏宁安全应急响应中心 3.去哪儿安全应急响应中心 4.竞技世界安全应急响应中心 5.金山安全应...
IplImage *src
04-25
它是一种用于存储和处理图像数据的格式。下面是对IplImage *src的简要介绍: 1. IplImage *src是一个指向IplImage结构体的指针。IplImage结构体包含了图像的各种属性和数据。 2. IplImage结构体中的成员变量包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值