补天漏洞响应平台基本介绍

已于 2022-06-01 00:24:20 修改
阅读量1.2w 收藏 70
点赞数 16
文章标签: 安全
于 2022-05-30 00:26:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaofengdada/article/details/125038478
版权

警告

 一、基本介绍

(一)专属SRC

(二)企业SRC

(三)公益SRC

二、漏洞提交流程和厂商奖励

(一)漏洞提交流程

(二)厂商奖励——漏洞奖励主要分为现金奖励,KB奖励和荣誉奖励。

 三、 Web漏洞收录标准

(一)漏洞定义

(二)漏洞类型

(三)漏洞等级

(四)补天不收的漏洞

警告

请勿使用本文提到的内容违反法律
本文不提供任何担保

白帽子行为规范:https://www.butian.net/Article/content/id/5

补天平台规范化提交漏洞须知:https://www.butian.net/Article/content/id/543 

 一、基本介绍

        补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。补天的厂商分为专属SRC企业SRC公益SRC。下面开始一一介绍:

(一)专属SRC

        专属SRC是企业入驻补天后,由补天白帽子进行众测,白帽子挖掘到漏洞后上交平台审核人员进行审核,审核通过后再由厂商进行复测,成功后由厂商给出奖励。都是现金奖励,厂商会标出相应的奖金价格。收录漏洞要求也是按厂商要求来定,有要求都会在漏洞收集范围中写出。

注意:专属基本厂商都会给出测试范围,有的只是测试某个网站,有的是给出主域,测其属下所有子域,具体按照厂商规定的收集范围。

(二)企业SRC

        企业SRC是企业入驻补天后,由补天白帽子进行众测,白帽子挖掘到漏洞后上交平台审核人员进行审核,审核通过后再由厂商进行复测,成功后由厂商给出奖励。都是现金奖励,厂商会标出相应的奖金价格。基本跟专属差不多,区别的是长期入驻,测试的范围多一些,厂商都会在漏洞收集范围中写出。

 (三)公益SRC

          公益SRC是厂商入驻补天后,由补天白帽子进行众测,白帽子挖掘到漏洞后上交平台审核人员进行审核,审核通过后告知厂商,是由补天平台给出奖励,奖励的形式是kb(1kb约等于5元人名币),测试范围不限。

公益src漏洞奖励标准如下:

https://www.butian.net/Help/plan 补天漏洞奖励计划:https://www.butian.net/Help/plan 

二、漏洞提交流程和厂商奖励

(一)漏洞提交流程

  1. 提交漏洞,补天安全专家看到漏洞详情后给出合理估价。
  2. 对白帽子提交的漏洞详细进行验证并初步确认奖励,如果没有通过则本次漏洞提交过程结束。
  3. 通知厂商:补天官方第一时间通知相关厂商和国家漏洞库等。补天平台始终坚持并不断履行的社会使命。
  4. 定价:发放kb奖励(如果无法联系厂商但危害大的漏洞我们会坚持给出定价,但如果厂商表示已通报过或者积极拒绝修复,我们可能不会定价)。
  5. 结束:本次漏洞提交过程结束。

(二)厂商奖励——漏洞奖励主要分为现金奖励KB奖励荣誉奖励

  • 现金奖励,根据是前面几轮评估的结果,体现的是直接的给予现金。
  • KB奖励,根据是前面几轮评估的结果,奖励可以兑换礼品的KB
  • 荣誉奖励,我们给予rank奖励以及榜单公示、积分排行。
  • 漏洞奖励为奖金或者KB单一奖励。

 

 补天商城兑换商品。

 三、 Web漏洞收录标准

(一)漏洞定义

通用漏洞:第三方软件,应用,系统对应的漏洞。如ECShop、Discuz、PHPCMS的SQL注入,XSS漏洞。开源软件,安全浏览器,手机应用,路由器,开发框架,甚至是某VPN系统某防火墙系统的漏洞。

事件漏洞:即非通用型漏洞,主要是指互联网上应用的一个具体漏洞,xx网站命令执行可被渗透,xx电商订单泄漏任意充值,xx网站应用SQL注入可导致信息泄露等等。

(二)漏洞类型

1. XSS。 2. SQL注入漏洞。 3. 命令执行。 4. 代码执行。 5. 文件包含。 6. 任意文件操作。 7. 权限绕过。 8. 逻辑漏洞。 9. 信息泄露。 10.存在后门。

(三)漏洞等级

分为三个等级:高危中危低危

高危:

  1. 直接获取服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行。
  2. 直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞。
  3. 直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞。
  4. 能直接盗取用户身份信息的漏洞。包括但不限于SQL注入。
  5. 越权访问。包括但不限于绕过认证访问后台。

中危:

  1. 需交互才能获取用户身份信息的漏洞。包括但不限于存储型XSS漏洞。
  2. 任意文件操作漏洞。包括但不限于任意文件读、写、删除、下载等操作。
  3. 越权访问。包括但不限于绕过限制修改用户资料、执行用户操作。
  4. 比较严重的信息泄漏漏洞。包含敏感信息文件泄露(如DB连接密码)。

低危:

  1. 普通逻辑漏洞。包括但不限于提交操作无限制导致数据库被爆漏洞。
  2. 需交互才能获取用户身份信息并且有一定利用难度的漏洞。包括但不限于反射型XSS。
  3. 以上评级根据实际情况进行调整。

(四)补天不收的漏洞

    1、反射XSS(公益不收,专属有些是收的)

    2、CSRF

    3、目录遍历

    4、二进制

 5、密码处的验证码爆破

 6、http.sys远程代码执行漏洞

 7、URL爆出了数据库

 8、jquery version泄露

 9、绝对路径泄露

 10、Slow attack满攻击

 11、短文件漏洞

 12、DOS不收

漏洞平台怎么登陆
2402_84765445的博客
06-08 1370
需要注意的是,漏洞平台是一个专业的安全平台,可能对用户身份和背景有一定的要求。获得邀请:漏洞平台通常会选择有经验和技术水平较高的安全研究人员进行邀请,所以你可以通过在相关领域积累经验和知识,提供优秀的漏洞报告等方式,增加被邀请的机会。参与漏洞竞赛:一些漏洞平台会定期组织漏洞竞赛,参与者可以提交自己的漏洞报告,获得评判团队的认可后有机会获取邀请码进入平台。因此,如果您对漏洞平台感兴趣,建议您先了解平台的要求和规定,以及相关的认证和资质要求。注册完成后,您可以使用您的账号和密码登录漏洞平台
SRC漏洞数排名
Andrew的博客
02-17 1万+
今日(2019.02.17)爬取了漏洞平台众测SRC的总漏洞数和已解决漏洞数的数据,下面分享总漏洞数100排名和已解决漏洞数100排名。各大公司诸如BAT、美团等目前都有自己的SRC平台,其他公司及高校大多在SRC平台进行注册提供众测,从爬取的数据排名中可以间接反映出各行各业对网站安全的重视程度,各位爱好安全的小伙伴也可以根据此排名更有针对性地挖掘漏洞。 一.总漏洞数排名 ...
关于SRC小白入门详细介绍
热门推荐
晚风不及你
01-02 2万+
前言 只是单纯的介绍一下的界面以及规则与操作方式,不涉及任何与技术相关的东西,其目的是让新手快速了解,并在大展身手。如涉及到了任何侵权问题,请联系我删帖。 SRC介绍 漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。 ......
信息安全-漏洞挖掘
最新发布
CathieLi的博客
03-19 612
应急响应:系统访问不了啦,被黑客入侵了现场讲课:客户需要安全培训…代码审计:需要对系统进行白盒代码审计安全研究:漏洞挖掘、各种研究工具编写:编写各种EXP/POC自动化Py代码报告撰写:应急报告、渗透报告、漏洞验证报告渗透测试:Web漏洞、内网渗透驻场服务:去客户那里上班、外派出去服务,如:护网行动!CTF比赛:强网杯、XCTF、网鼎杯、各种CTF.…新洞跟进:复现中间件漏洞、CMS漏洞、数据库漏洞、操作系统漏洞……(取决你的公司、你的部门、你的领导。
漏洞响应平台新手做啥好_Struts2高危漏洞 平台急审确认近千个漏洞_小白信息安全教程
2401_84915584的博客
06-12 428
近日,著名J2EE框架——Struts2被爆存在远程代码执行漏洞, Struts2官方已经确认该漏洞(S2-045),由于Struts2 的使用范围及其广泛
漏洞修复有用吗_360旗下漏洞响应平台推出企业安全众测服务_入门信息安全教程
2401_84915584的博客
07-11 357
平台专家发现漏洞后会提出专业化修建议,厂家在漏洞修复后,平台专家进行回检,确保漏洞已经彻底修复。
漏洞平台/教育漏洞平台-小白漏洞记录贴
程序员三九的博客
07-07 2839
国内外漏洞信息发布平台主要包括:中国国家信息安全漏洞库(CNNVD)、漏洞盒子、乌云网、安全客、美国国家漏洞数据库(NVD)、MITRE的CVE数据库、Exploit Datab
如何在平台提交漏洞并获得奖金
weixin_43822401的博客
07-02 3590
网络安全漏洞的发现与修复是维护网络环境安全的重要环节。通过平台,我们不仅可以提升个人技术能力,还能为网络安全贡献自己的力量并获得相应的回报。希望本文能帮助更多的网络安全爱好者在平台上发挥自己的专长。文章中的实战案例和工具使用仅为教学演示,实际操作时应遵守法律法规,不应用于非法目的。
2024收取漏洞规则收什么样的漏洞漏洞提交平台如何收取漏洞
为了低调的博客
07-08 736
没有权重的漏洞贴是不收的,除非有什么就是活动说什么不限权重可以提交漏洞那样的才可以进行提交。一般情况下就是可能出一个活动是可能出:“七月份无权重漏洞排名”,没有权重的就可以提交到七月份无权重活动中。 有权重的漏洞贴收,但是说就是说他可能只是给几kb并不会给现金奖励 你要想交漏洞挣钱的话,除非参与那种报名的活动,就是报名企业呃奖金奖赏的那种。专门挖漏洞的活动。 在提交漏洞和CNVD都不一样,在提交漏洞,你必须把那个详细的步骤什么的给写清楚,就是写在那个在线的编辑器里面,在线的编辑器。然后的
漏洞挖掘思考企业安全
07-19
技术沙龙是一个专注于漏洞挖掘技术分享的平台。在这里,安全研究人员、漏洞挖掘爱好者以及企业安全人员聚集在一起,交流关于如何入门漏洞挖掘的经验,以及如何利用漏洞挖掘技术提升企业安全防护能力。技术...
[数据治理]从漏洞挖掘思考企业安全.zip
11-05
漏洞挖掘平台是国内外知名的网络安全研究平台,它揭示了Web应用层面的安全隐患,为企业提供了一个宝贵的视角来审视自身的信息安全状况。本文将围绕“数据治理”这一主题,结合漏洞的发现,深入探讨企业如何...
SRC漏洞提交平台汇总
08-21
4. 漏洞响应平台:360公司运营的漏洞响应中心,覆盖多个360产品线,提供漏洞悬赏和修复机制。 5. 腾讯安全应急响应中心:腾讯公司处理安全漏洞的官方渠道,提供详细的漏洞报告指南和奖励政策。 6. 网易安全...
常见漏洞报告平台与注册指南-CSDN博客.pdf
02-24
本文详细介绍了多个国内外知名的漏洞报告平台,并对它们的特点进行了概述。 首先,HackerOne是全球范围内最大的漏洞赏金平台之一,它吸引了许多大型公司和组织的参与,为提交漏洞的研究人员提供丰厚的奖金和奖励。...
src 漏洞平台 应急响应中心 提交漏洞 简介
whatday的专栏
08-09 3998
目录 1漏洞平台 2网站情况 3发现/提交漏洞 4思路总结 1漏洞平台 漏洞银行 https://www.bugbank.cn/ 漏洞盒子 https://www.vulbox.com/ i春秋SRC部落 https://www.ichunqiu.com/src 漏洞响应平台 https://butian.360.cn/ 腾讯安全应急响应中心 http://security.tencent.com/ 网易安全中心 http://aq.163.com/ 京东安...
关于SRC新手入门详细介绍(通用漏洞篇)
lza20001103的博客
09-25 1321
关于SRC新手入门详细介绍(通用漏洞篇)
:给黑客一个平台 换网络一份安宁!
weixin_34211761的博客
07-05 271
提到黑客不知大家都会用怎样的一种眼光去看待他们,大部分人可能会戴上有色眼镜去对他们评头论足,窃取个人隐私、危害企业安全,甚至于进行国家网络设施破坏,这些都是大家在电影中所看到的黑客。 而在现实中,黑客并不都是大家所想象的那般。黑客其实是由外语Hack音译而来,又称骇客,本身并没有任何贬义成分在其中。黑客大致可以分为三种“颜色”:白、黑、灰。那具体又是如...
深入解析平台:白帽黑客的奖金激励机制
weixin_43822401的博客
07-12 1124
平台,作为中国领先的网络安全众测平台,通过其独特的奖金激励机制,成功吸引了众多白帽黑客投身于网络安全的建设之中。本文将深入探讨平台的运作模式、奖金分配规则,并分析如何利用该平台提升个人网络安全技能。平台是网络安全领域的一项创新,它构建了一个安全研究人员与企业之间的互动桥梁。通过合法、有序的漏洞发现与修复流程,该平台不仅提高了网络安全防护能力,也为白帽黑客提供了一个展示技术、实现价值的舞台。
各种SRC(应急响应)中心平台漏洞提交
m0_62207482的博客
12-11 7220
alert(1)
漏洞平台官网/十周年生日趴:十万白帽向上生长_手把手教白帽子知识点
2401_84915584的博客
06-22 845
“从2013年3月平台成立并收到第一枚漏洞至今,总共有超过十万名白帽子齐聚平台。”3月28日,平台十周年生日会在京举行。
src高危漏洞需要什么能力
01-13
### 修复SRC平台高危漏洞所需的技能和知识 #### 安全漏洞理解能力 深入理解和识别不同类型的高危漏洞对于有效修复至关重要。常见的高危漏洞包括SQL注入、跨站脚本攻击(XSS)、文件上传漏洞以及身份验证绕过等问题[^1]。 #### 编程与脚本编写技巧 掌握多种编程语言如Python, Java, PHP等有助于快速定位并修正源码中的缺陷。能够熟练运用正则表达式处理字符串匹配,在分析日志或检测恶意输入时尤为有用。 #### Web应用架构熟悉度 了解Web应用程序的工作原理及其组件之间的交互方式,特别是HTTP协议细节、服务器配置(Apache/Nginx)、数据库管理系统(MySQL/PostgreSQL),这对于解决涉及网络通信层面的安全隐患非常重要。 #### 渗透测试工具的应用 利用Burp Suite Pro、OWASP ZAP这样的自动化扫描器来辅助发现潜在的风险点;同时也要懂得如何手动执行黑盒测试以评估系统的安全性。 #### 配置管理与加固措施实施 具备Linux操作系统基本命令行操作能力和Windows Server环境下的权限设置经验,可以更好地调整服务参数防止未授权访问,并通过修改防火墙规则等方式增强整体防护水平。 ```bash # 修改Nginx配置文件实现HTTPS强制重定向 server { listen 80; server_name example.com www.example.com; location / { rewrite ^ https://$host$request_uri? permanent; } } ``` #### 文档撰写与沟通协作素养 良好的文档记录习惯便于团队成员之间共享解决方案和技术心得;清晰准确地向客户解释所采取的技术手段同样不可或缺。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaochuhe--kaishui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值