补天漏洞响应平台基本介绍

xiaochuhe--kaishui

已于 2022-06-01 00:24:20 修改

阅读量1.2w

点赞数 16

文章标签：安全

于 2022-05-30 00:26:56 首次发布

本文链接：https://blog.csdn.net/xiaofengdada/article/details/125038478

版权

（二）厂商奖励——漏洞奖励主要分为现金奖励，KB奖励和荣誉奖励。

警告

请勿使用本文提到的内容违反法律。
本文不提供任何担保

白帽子行为规范:https://www.butian.net/Article/content/id/5

补天平台规范化提交漏洞须知:https://www.butian.net/Article/content/id/543

一、基本介绍

补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。补天的厂商分为专属SRC，企业SRC，公益SRC。下面开始一一介绍：

（一）专属SRC

专属SRC是企业入驻补天后，由补天白帽子进行众测，白帽子挖掘到漏洞后上交平台审核人员进行审核，审核通过后再由厂商进行复测，成功后由厂商给出奖励。都是现金奖励，厂商会标出相应的奖金价格。收录漏洞要求也是按厂商要求来定，有要求都会在漏洞收集范围中写出。

注意：专属基本厂商都会给出测试范围，有的只是测试某个网站，有的是给出主域，测其属下所有子域，具体按照厂商规定的收集范围。

（二）企业SRC

企业SRC是企业入驻补天后，由补天白帽子进行众测，白帽子挖掘到漏洞后上交平台审核人员进行审核，审核通过后再由厂商进行复测，成功后由厂商给出奖励。都是现金奖励，厂商会标出相应的奖金价格。基本跟专属差不多，区别的是长期入驻，测试的范围多一些，厂商都会在漏洞收集范围中写出。

（三）公益SRC

公益SRC是厂商入驻补天后，由补天白帽子进行众测，白帽子挖掘到漏洞后上交平台审核人员进行审核，审核通过后告知厂商，是由补天平台给出奖励，奖励的形式是kb（1kb约等于5元人名币），测试范围不限。

公益src漏洞奖励标准如下：

https://www.butian.net/Help/plan 补天漏洞奖励计划：https://www.butian.net/Help/plan

二、漏洞提交流程和厂商奖励

（一）漏洞提交流程

提交漏洞，补天安全专家看到漏洞详情后给出合理估价。
对白帽子提交的漏洞详细进行验证并初步确认奖励，如果没有通过则本次漏洞提交过程结束。
通知厂商：补天官方第一时间通知相关厂商和国家漏洞库等。补天平台始终坚持并不断履行的社会使命。
定价：发放kb奖励（如果无法联系厂商但危害大的漏洞我们会坚持给出定价，但如果厂商表示已通报过或者积极拒绝修复，我们可能不会定价）。
结束：本次漏洞提交过程结束。

（二）厂商奖励——漏洞奖励主要分为现金奖励，KB奖励和荣誉奖励。

现金奖励，根据是前面几轮评估的结果，体现的是直接的给予现金。
KB奖励，根据是前面几轮评估的结果，奖励可以兑换礼品的KB
荣誉奖励，我们给予rank奖励以及榜单公示、积分排行。
漏洞奖励为奖金或者KB单一奖励。

补天商城兑换商品。

三、 Web漏洞收录标准

（一）漏洞定义

通用漏洞：第三方软件，应用，系统对应的漏洞。如ECShop、Discuz、PHPCMS的SQL注入，XSS漏洞。开源软件，安全浏览器，手机应用，路由器，开发框架，甚至是某VPN系统某防火墙系统的漏洞。

事件漏洞：即非通用型漏洞，主要是指互联网上应用的一个具体漏洞，xx网站命令执行可被渗透，xx电商订单泄漏任意充值，xx网站应用SQL注入可导致信息泄露等等。

（二）漏洞类型

1． XSS。 2． SQL注入漏洞。 3．命令执行。 4．代码执行。 5．文件包含。 6．任意文件操作。 7．权限绕过。 8．逻辑漏洞。 9．信息泄露。 10．存在后门。

（三）漏洞等级

分为三个等级：高危、中危、低危。

高危：

直接获取服务器权限的漏洞。包括但不限于任意命令执行、上传webshell、任意代码执行。
直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞。
直接导致严重影响的逻辑漏洞。包括但不限于任意帐号密码更改漏洞。
能直接盗取用户身份信息的漏洞。包括但不限于SQL注入。
越权访问。包括但不限于绕过认证访问后台。

中危：