0、什么是src
安全响应中心(Security Response Center):SRC通常是一个组织或者公司设立的部门或团队,负责接收、跟踪和响应安全漏洞报告,以及协调修补措施。SRC与安全研究人员和其他报告者合作,以确保及时修补和保护产品和服务的安全性
企业Src就是,企业授权给广大白帽黑客,或者有网络安全能力者,让他们来挖自己产业一些资产的漏洞,挖到漏洞就给赏金,不同的漏洞等级基于不同的赏金。Src是广大白帽合理赚钱的方式,但是在挖漏洞的同时也遵守企业的测试准则,不然企业也是有责依法严究
Src分两种:
- 众筹src:这是一些没有建立src的公司,都投递给一个专门建立src的厂商,例如漏洞盒子等
- 企业src:这是企业自己建立src
1、各大src与网址:
360 :360安全应急响应中心
字节跳动:字节跳动安全中心
爱奇艺 :爱奇艺安全应急响应中心
阿里巴巴 :https://security.alibaba.com/
百度: https://bsrc.baidu.com/v2/#/home
菜鸟:https://sec.cainiao.com/
Boss直聘 : https://src.zhipin.com/
安全狗 :登录-安全狗云安全中心-构建立体式的服务器安全和网站安全防御体系
扫描二维码关注公众号,回复: 16178159 查看本文章
蚂蚁金服 :https://security.alipay.com/sc/afsrc/home.htm
Bilibili :哔哩哔哩安全应急响应中心
贝壳安全:贝壳安全应急响应中心
补天: 补天 - 企业和白帽子共赢的漏洞响应平台,帮助企业建立SRC
58同城:58安全应急响应中心
滴滴出行:滴滴出行安全应急响应中心
东方财富:东方财富安全应急响应中心
度小满:Vue App
瓜子:瓜子安全应急响应中心
货拉拉:货拉拉安全应急响应中心
同程旅行:首页 | 同程旅行安全应急响应中心
魅族:魅族安全中心
陌陌:陌陌安全应急响应中心
Oppo:OPPO安全应急响应中心 | OSRC
网易:https://aq.163.com/
Vivo:vivo 安全应急响应平台
微博:微博安全应急响应中心
喜马拉雅:喜马拉雅安全应急响应中心
小米:小米安全中心
携程:携程安全应急响应中心
智联招聘:首页 | 智联招聘安全应急响应中心
京东:京东安全应急响应中心
美团:美团安全应急响应中心
2、SRC行业安全测试规范
以百度src为例子:
1. 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。
3. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
4. 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
5. 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。
6. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
8. 禁止对网站后台和部分私密项目使用扫描器。
9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
10. 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。
12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。
13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
14. 尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。
其他的厂商大部分要求也是大致这样,共同点是让测试者遵守法律和道德准则:尊重客户和组织的利益。
3、漏洞评级和资产整理
不同的漏洞等级悬赏不一样,漏洞危害等级越高,赏金越多。而且同一等级漏洞下,核心和边缘资产的悬赏也不一样,相同资产下,核心业务的赏金比边缘赏金要高。
以百度src为例子(https://bsrc.baidu.com/v2/#/announce/114):
根据情报对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【忽略】五个等级。每个有效情报所得安全币数量=基础安全币*情报完整度。由BSRC结合情报的危害程度、影响范围等综合因素进行评级,并给予相应安全币,每种等级包含的评分标准及类型如下:
威胁情报等级说明:
【严重】
- 针对核心业务系统的完整入侵证据或线索,能够帮助BSRC对入侵事件溯源分析、定位攻击者身份。
- 重大0day漏洞。如操作系统或重要组件的未公开漏洞。
- 能对百度营收产生重大影响的相关情报。如百度搜索、商业推广等相关的大规模作弊、牟利行为。
- 对百度产品生态有重大直接影响的黑灰产情报(如大规模盗号事件的详细情报)。
【高危】
- 针对非核心业务系统的完整入侵证据或线索,能够帮助BSRC对入侵事件溯源分析、定位攻击者身份。
- 能对百度营收产生较大直接影响的相关情报。
- 对百度产品生态有较大直接影响的黑灰产情报。
【中危】
- 对特定业务营收产生较大直接影响的相关情报。
- 对百度产品生态有一定直接影响,或对特定业务有较大直接影响的黑灰产情报。如针对贴吧等UGC产品的垃圾内容作弊情报。
【低危】
- 少量的作弊线索、黑灰产人员组织结构等相关信息。
- 有一定影响的作弊手法。
【忽略】
- 不能证实、或人为制造的等虚假或无效威胁情报。
- BSRC已知的威胁情报信息。
- 不构成实际危害的情报信息。
4、关注一些src平台漏洞
如果是白帽黑客,想要挖企业src,可以关注一些src的公众号,这些公众号会有一些活动,赏金也比平时的多。
