SRC
一:SRC概念介紹
SRC( Security Response Center)安全應急回應中心,是企業用于對外接收來自用戶/白帽發現并報告相關安全產品安全缺陷的站點,換句話說就是連接白帽子和企業的平臺,同時也可以看成一個”資源置換平臺“,白帽用自己的技術合法的向企業提交漏洞,企業給予相應的賞金,相對于企業組織內部技術人員進行滲透測驗,SRC更像是發起一場“人民的戰爭”,
目前國內有兩種漏洞平臺,一種是缺陷報告平臺,另一種就是xSRC平臺,
缺陷報告平臺:又稱漏洞報告平臺,是指由獨立的第三方公司或機構成立綜合性的“安全應急回應中心”,國內補天平臺、????漏洞盒子???平臺,以及據此衍生的Sobug眾測平臺等均屬于該模式,外部報告者注冊對應漏洞報告平臺選擇對應的廠商進行報送,接著該第三方機構會發送郵件提示相關廠商確認處理,這種方法的缺陷十分明顯,廠商的歷史漏洞資訊完全暴露給第三方機構,報告中涉及的企業內部大量敏感資訊因此外泄喪失私密性,
xSRC平臺:又稱企業SRC平臺,即企業自行開發、運營的安全應急回應中心,制定自己的漏洞收集和披露計劃,目前國內知名的有騰訊SRC、阿里巴巴SRC、百度SRC、深信服SRC、奇安信SRC、位元組跳動SRC等,對外收集并處理白帽等報送的漏洞報告,該平臺模式相對于獨立于企業的第三方機構,企業在漏洞的收集和披露程序中完全掌控了主動性,擁有良好的私密性和?可定制性,
二:SRC反饋及處理流程
三:SRC具體平臺介紹
缺陷報告平臺:(包括但不限于,持續更新中)
|
CNNVD |
https://www,cnnvd.org.cn |
|
CNVD |
https://www.cnvd.org.cn |
|
CICSVD |
http://cstis.cn |
|
補天 |
https://www.butian.net |
|
漏洞盒子 |
https://www,vulbox.com |
|
火線安全平臺 |
http://huoxian.club |
|
EDUSRC |
https://src.edu-info.edu.cn |
xSRC平臺:(包括但不限于,持續更新中)
A:
|
阿里巴巴 |
https://security.alibaba.com |
|
阿里云先知 |
|
|
安恒 |
|
|
愛奇藝 |
|
|
安全狗 |
http://security.safedog.cn |
B:
|
百度 |
|
|
BOSS直聘 |
|
|
嗶哩嗶哩 |
|
|
貝殼 |
|
C:
|
菜鳥 |
|
D:
|
滴滴出行 |
|
|
點融網 |
http://security.dianrong.com |
|
東方財富 |
http://security.eastmoney.com |
|
斗魚 |
https://security.douyu.com |
|
大疆 |
https://security.dji.com |
|
斗米 |
https://security.doumi.com |
|
度小滿 |
|
|
Dhgate |
|
E:
|
餓了么 |
https://security.ele.me |
|
263 |
https://www.263.net/263/helpcenter/security |
F:
|
法大大 |
https://sec.fadada.com |
|
富友 |
https://fsrc.fuiou.com |
G:
|
瓜子 |
|
H:
|
華為 |
|
|
恒昌 |
http://src.credithc.com |
|
歡聚時代 |
|
|
貨拉拉 |
|
|
好未來 |
https://src.100tal.com |
|
合合 |
|
|
華住 |
|
|
火線 |
|
J:
|
金山辦公 |
|
|
金山云 |
|
|
京東 |
|
|
焦點 |
|
|
競技世界 |
|
K:
|
酷狗 |
|
|
快手 |
|
|
曠世 |
|
L:
|
聯想 |
|
|
理想 |
|
|
獵聘 |
|
M:
|
螞蟻集團 |
|
|
美團 |
|
|
魅族 |
|
|
陌陌 |
|
|
美麗聯合 |
|
|
馬蜂窩 |
|
N:
|
你我貸 |
https://www.niwodai.com
|
O:
|
OPPO |
|
P:
|
平安 |
https://security.pingan.com |
|
拍拍貸 |
http://sec.ppdai.com |
Q:
|
去哪兒 |
|
|
千米 |
|
R:
|
融360 |
|
S:
|
深信服 |
|
|
360 |
|
|
Soul |
|
|
順豐 |
|
|
蘇寧 |
|
|
水滴安全 |
|
|
世紀佳緣 |
|
T:
|
騰訊 |
|
|
T3出行 |
|
|
TCL |
|
|
同程旅行 |
|
|
同程數科 |
|
|
統信 |
|
|
途虎 |
|
|
途牛 |
|
|
同舟共測 |
|
U:
|
UCloud |
|
V:
|
VIVO |
|
|
VIPKID |
|
W:
|
網易 |
|
|
微博 |
|
|
微眾 |
|
|
完美世界 |
http://security.wanmei.com |
|
唯品會 |
|
|
58 |
|
|
WIFI萬能鑰匙 |
|
|
挖財 |
|
|
伍林堂 |
|
X:
|
小米 |
|
|
攜程 |
|
|
訊飛 |
|
|
喜馬拉雅 |
|
|
新浪 |
|
|
小贏 |
|
|
享道出行 |
|
Y:
|
銀聯 |
|
|
螢石 |
|
|
有贊 |
|
|
一加 |
|
|
易寵 |
|
|
宜信 |
|
|
一起教育 |
|
Z:
|
豬八戒網 |
https://sec.zbj.com |
|
中通 |
https://sec.zto.com |
四:SRC行業安全測驗規范
【參與標準制定組織/企業:騰訊SRC、螞蟻金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鳥SRC、滴滴SRC、京東SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、蘇寧SRC、同舟共測-企業安全回應聯盟、唯品會SRC、微博SRC、VIPKIDSRC、網易SRC、WiFi萬能鑰匙SRC、完美世界SRC、小米SRC等】
(1):測驗規范主要內容
1. 注入漏洞,只要證明可以讀取資料就行,嚴禁讀取表內資料,對于UPDATE、DELETE、INSERT 等注入型別,不允許使用自動化工具進行測驗,
2. 越權漏洞,越權讀取的時候,能讀取到的真實資料不超過5組,嚴禁進行批量讀取,
3. 帳號可注冊的情況下,只允許用自己的2個帳號驗證漏洞效果,不要涉及線上正常用戶的帳號,越權增刪改,請使用自己測驗帳號進行,帳號不可注冊的情況下,如果獲取到該系統的賬密并驗證成功,如需進一步安全測驗,請咨詢管理員得到同意后進行測驗,
4. 存盤xss漏洞,正確的方法是插入不影響他人的測驗payload,嚴禁彈窗,推薦使用console.log,再通過自己的另一個帳號進行驗證,提供截圖證明,對于盲打類xss,僅允許外帶domain資訊,所有xss測驗,測驗之后需洗掉插入資料,如不能洗掉,請在漏洞報告中備注插入點,
5. 如果可以shell或者命令執行的,推薦上傳一個文本證明,如純文本的1.php、1.jsp等證明問題存在即可,禁止下載和讀取服務器上任何源代碼檔案和敏感檔案,不要執行洗掉、寫入命令,如果是上傳的webshell,請寫明shell檔案地址和連介面令,
6. 在測驗未限制發送短信或郵件次數等掃號類漏洞,測驗成功的數量不超過50個,如果用戶可以感知,例如會給用戶發送登陸提醒短信,則不允許對他人真實手機號進行測驗,
7. 如需要進行具有自動傳播和擴散能力漏洞的測驗(如社交蠕蟲的測驗),只允許使用和其他賬號隔離的小號進行測驗,不要使用有社交關系的賬號,防止蠕蟲擴散,
8. 禁止對網站后臺和部分私密專案使用掃描器,
9. 除特別獲準的情況下,嚴禁與漏洞無關的社工,嚴禁進行內網滲透,
10. 禁止進行可能引起業務例外運行的測驗,例如:IIS的拒絕服務等可導致拒絕服務的漏洞測驗以及DDOS攻擊,
11. 請不要對未授權廠商、未分配給自己的專案、超出測驗范圍的串列進行漏洞挖掘,可與管理員聯系確認是否屬于資產范圍后進行挖掘,否則未授權的法律風險將由漏洞挖掘者自己承擔,
12. 禁止拖庫、隨意大量增刪改他人資訊,禁止可對服務穩定性造成影響的掃描、使用將漏洞進行黑灰產行為等惡意行為,
13. 敏感資訊的泄漏會對用戶、廠商及上報者都產生較大風險,禁止保存和傳播和業務相關的敏感資料,包括但不限于業務服務器以及Github 等平臺泄露的源代碼、運營資料、用戶資料等,若存在不知情的下載行為,需及時說明和洗掉,
14.尊重《中華人民共和國網路安全法》的相關規定,禁止一切以漏洞測驗為借口,利用安全漏洞進行破壞、損害用戶利益的行為,包括但不限于威脅、恐嚇SRC要公開漏洞或資料,請不要在任何情況下泄露漏洞測驗程序中所獲知的任何資訊,漏洞資訊對第三方披露請先聯系SRC獲得授權,企業將對違法違規者保留采取進一步法律行動的權利,
(2):SRC安全測驗其他規范內容
1.僅可針對測驗企業的相關產品開展安全測驗,同時,安全測驗需要遵守《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《中華人民共和國個人資訊保護法》及相關法律法規的規定,采取合法、正當的方式,不得侵犯任何第三方合法權益,
2.不得利用計算機病毒、網路攻擊、網路侵入、干擾測驗企業網路正常功能、竊取網路資料等危害網路安全行為的技術措施(包括但不限于程式、工具)開展安全測驗,如上傳惡意檔案及木馬、增刪改其他用戶個人資料、添加后門賬號/權限、掃描攻擊內網等滲透行為,不得對國家安全、國計民生、公共利益的關鍵資訊基礎設施產生任何危害,
3. 在開展安全測驗時不得竊取或者以其他非法方式獲取任何測驗企業或者其他第三方的商業資訊(包括但不限于源代碼、運營資料、用戶資料等)、個人資訊,不得非法出售或者非法向他人提供測驗企業或者其他第三方的商業資訊、個人資訊,
4.禁止進行內網滲透測驗行為,例如:獲取內網權限后在內網使用掃描器、或橫向接觸非對外開放系統目標、獲取內網應用/主機權限/資料等,
5.禁止進行近源攻擊或者黑客物理入侵、社會工程學測驗或郵件釣魚等非技術漏洞測驗,尤其是禁止使用社工庫等非法手段獲取用戶密碼,
7.針對業務線專測:專測開始前需和運營報備即將使用的C2的IP地址,未及時報備將視為未授權攻擊行為,禁止盜用、借用、售賣測驗賬號,不得擅自修改賬號密碼、換綁手機號、添加子賬號等;禁止利用測驗賬號對專測范圍外的產品和業務測驗;測驗賬號僅限專測時間內使用,
8. 未經測驗企業授權,不得向任何第三方公開漏洞或提供任何與測驗企業產品有關的安全情報,
(3):總結
挖洞萬般好,合法要記牢;觸線一時爽,牢底定坐穿,
?五:漏洞評級準則
(1)漏洞評級準則
1:嚴重漏洞
(1)直接獲取核心系統權限(服務器端權限、客戶端權限)的漏洞,包括但不限于:遠程命令執行漏洞、任意代碼執行漏洞、SQL 注入獲取系統可執行權限、緩沖區溢位等,
(2) 泄露大量核心敏感資料的漏洞,包括但不限于:核心DB的SQL注入漏洞、用戶敏感資訊介面越權導致的大范圍泄露(大量機密資訊泄露如密碼、私鑰、個人隱私資訊泄露等),
(3)核心系統的嚴重邏輯設計缺陷或流程缺陷,包括但不限于批量修改任意賬號密碼漏洞、任意賬號登陸、支付系統邏輯漏洞
(4)客戶端大量敏感資訊泄露的漏洞,包括但不限于遠程獲取用戶大量敏感資訊、本地越權訪問TEE保護的支付相關或者用戶認證相關資訊、TEE任意代碼執行(高權限)
(5)設備端安全機制繞過,包括但不限于繞過SELinux
(6)遠程系統級永久性拒絕服務攻擊
(7)無需用戶互動或簡單用戶互動的遠程代碼任意執行、遠程任意檔案讀寫
(8).設計缺陷導致未經授權的跨租戶資料篡改和訪問,
(9)虛擬機逃逸獲取宿主機的權限,
(10)漏洞的組合、弱口令等方式,導致滲透進入內網并獲取核心業務控制權限,
(11)嚴重的邏輯設計缺陷或流程缺陷,導致關鍵業務的篡改,
?
2:高危漏洞
(1)客戶端遠程永久性拒絕服務
(2)本地任意檔案讀寫、打開非匯出組件、本地代碼執行
(3)越權敏感操作,導致未經授權的修改用戶關鍵業務、重要資訊、關鍵業務的配置資訊、以及大量用戶資訊泄露等,
(4)關鍵頁面的CSRF、存盤型XSS、存盤型XSS可導致蠕蟲導致影響大量用戶的漏洞等,
(5)XXE等未經授權的系統檔案訪問漏洞等,
(6)嚴重業務邏輯缺陷導致身份認證繞過,
(7)設計缺陷導致內部服務越權訪問,如SSRF,
(8)賬號被劫持導致漏洞等,
3:中危漏洞
(1)需要用戶互動導致獲取用戶敏感資訊(反射型XSS、反射型 DOM-XSS、一般頁面的存盤型XSS)等,
(2)一般資訊泄露如用戶訂單、交易資訊等導致漏洞以及普通資訊泄露,包括但不限于包含敏感資訊的完整源代碼泄露、無資訊回顯的SSRF漏洞,
(3)如Session固定、Session可預測等身份仿冒導致漏洞,
(4)目錄遍歷等導致普通資訊泄露,
(5)安全控制繞過產生大量垃圾資料以及設備端保護功能繞過,
(6)普通越權操作,非關鍵業務篡改,影響有限,包括不限于仿冒管理員身份發布虛假訊息等,
(7)普通的邏輯設計缺陷和流程缺陷導致漏洞等,
(8)由于賬號管理不當,造成非核心業務(包括但不限于測驗業務等)的濫用、篡改等,
(9)客戶端遠程臨時性拒絕服務,或直接導致業務拒絕服務的漏洞,包括但不僅限于網站應用拒絕服務等造成嚴重影響的遠程拒絕服務漏洞,
(10)本地資料庫注入(可造成資訊泄漏或其他危害的)
4:低危漏洞
(1)輕微資訊泄露漏洞, 包括但不僅限于路徑資訊泄漏、SVN資訊泄漏、PHPinfo、.git檔案泄露、Django Debug、服務端業務日志內容、例外資訊泄露,日志列印、配置資訊、例外資訊等從而導致漏洞;
(2)頻控缺陷漏洞,包括但不限于短信炸彈、用戶賬戶密碼暴力破解
(3)可用于釣魚或黑產的漏洞,包括但不限于任意URL跳轉、反射型XSS漏洞
(4)容易被利用的或產生較大影響的客戶端不安全配置漏洞
(5)引數過濾不嚴格導致不安全的URL跳轉,可被用于發起釣魚攻擊,掛馬等,
(6)賬號批量列舉導致漏洞,
(7)輕微資訊泄漏,
(8)包括但不僅限于難以利用的SQL注入點、可引起傳播和利用的Self-XSS、需構造部分引數且有一定影響的CSRF、URL跳轉漏洞,有一定影響的爆破,驗證碼失效繞過等難以利用但存在安全隱患的漏洞,
(9)影響有限的設計缺陷和流程缺陷等,
六:資產范圍
(1)企業資訊資產分類
- 資料資產:以物理或電子的方式記錄的各類資料,如檔案資料、電子資料等,
- 軟體資產:企業資訊處理設施(服務器、臺式機、筆記本、存盤設備等)上安裝的各種軟體,
- 實物資產:各種與業務相關的物理設備或硬體設備,
- 人員資產:各種具有企業合同約束的人員,
- 服務資產:為企業所屬的各種已識別的資產起支撐作用的服務,
(2)xSRC資產
1: 域名或子域名 2:APP
3:小程式
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/551292.html
標籤:其他
上一篇:Vulnhub之Hacksudo Thor靶機詳細測驗程序(提權成功)
下一篇:返回列表