安全應急回應中心SRC
目錄- 安全應急回應中心SRC
- 一、SRC介紹
- 二、SRC準則
- 三、SRC評級
- 四、SRC公告和活動
- 五、SRC導航平臺
- 六、企業SRC平臺
一、SRC介紹
? 安全應急回應中心(SRC, Security Response Center),是企業用于對外接收來自用戶發現并報告的產品安全漏洞的站點,
SRC平臺
? 報告平臺是指由獨立的第三方公司成立的綜合性的報告平臺,國內補天平臺、盒子平臺、火線平臺等均屬于該模式,外部報告者注冊對應漏洞報告平臺,選擇對應的廠商進行報送,接著該第三方機構會發送郵件提示相關廠商確認處理,
企業SRC
? 企業自己開發自己的安全應急回應中心,制定自己的漏洞收集以及獎金計劃,目前國內已有近百家企業SRC平臺,例如百度、阿里、騰訊、美團、滴滴等,均成立了自己的安全應急回應中心,對外收集并處理白帽子報送的報告,
參考資料:https://blog.51cto.com/u_13567054/4981736
二、SRC準則
每一個SRC都有自己的挖掘準則,請白帽子們仔細閱準則
以百度src為例:
測驗規范:
-
注入漏洞,只要證明可以讀取資料就行,嚴禁讀取表內資料,對于UPDATE、DELETE、INSERT 等注入型別,不允許使用自動化工具進行測驗,
-
越權漏洞,越權讀取的時候,能讀取到的真實資料不超過5組,嚴禁進行批量讀取,
-
帳號可注冊的情況下,只允許用自己的2個帳號驗證漏洞效果,不要涉及線上正常用戶的帳號,越權增刪改,請使用自己測驗帳號進行,帳號不可注冊的情況下,如果獲取到該系統的賬密并驗證成功,如需進一步安全測驗,請咨詢管理員得到同意后進行測驗,
-
存盤xss漏洞,正確的方法是插入不影響他人的測驗payload,嚴禁彈窗,推薦使用console.log,再通過自己的另一個帳號進行驗證,提供截圖證明,對于盲打類xss,僅允許外帶domain資訊,所有xss測驗,測驗之后需洗掉插入資料,如不能洗掉,請在漏洞報告中備注插入點,
-
如果可以shell或者命令執行的,推薦上傳一個文本證明,如純文本的1.php、1.jsp等證明問題存在即可,禁止下載和讀取服務器上任何源代碼檔案和敏感檔案,不要執行洗掉、寫入命令,如果是上傳的webshell,請寫明shell檔案地址和連介面令,
-
在測驗未限制發送短信或郵件次數等掃號類漏洞,測驗成功的數量不超過50個,如果用戶可以感知,例如會給用戶發送登陸提醒短信,則不允許對他人真實手機號進行測驗,
-
如需要進行具有自動傳播和擴散能力漏洞的測驗(如社交蠕蟲的測驗),只允許使用和其他賬號隔離的小號進行測驗,不要使用有社交關系的賬號,防止蠕蟲擴散,
-
禁止對網站后臺和部分私密專案使用掃描器,
-
除特別獲準的情況下,嚴禁與漏洞無關的社工,嚴禁進行內網滲透,
-
禁止進行可能引起業務例外運行的測驗,例如:IIS的拒絕服務等可導致拒絕服務的漏洞測驗以及DDOS攻擊,
-
請不要對未授權廠商、未分配給自己的專案、超出測驗范圍的串列進行漏洞挖掘,可與管理員聯系確認是否屬于資產范圍后進行挖掘,否則未授權的法律風險將由漏洞挖掘者自己承擔,
-
禁止拖庫、隨意大量增刪改他人資訊,禁止可對服務穩定性造成影響的掃描、使用漏洞進行黑灰產行為等惡意行為,
-
敏感資訊的泄漏會對用戶、廠商及上報者都產生較大風險,禁止保存和傳播和業務相關的敏感資料,包括但不限于業務服務器以及Github 等平臺泄露的源代碼、運營資料、用戶資料等,若存在不知情的下載行為,需及時說明和洗掉,
-
尊重《中華人民共和國網路安全法》的相關規定,禁止一切以漏洞測驗為借口,利用安全漏洞進行破壞、損害用戶利益的行為,包括但不限于威脅、恐嚇SRC要公開漏洞或資料,請不要在任何情況下泄露漏洞測驗程序中所獲知的任何資訊,漏洞資訊對第三方披露請先聯系SRC獲得授權,企業將對違法違規者保留采取進一步法律行動的權利,
參考資料:https://bsrc.baidu.com/v2/#/announce/127
三、SRC評級
每個漏洞都有評級,評級不同對應的積分不同,漏洞還分為核心,一般,邊緣,白帽們閱讀公告
以百度src為例:
根據漏洞對公司整體業務的影響程度將漏洞等級分為【嚴重】、【高】、【中】、【低】、【無】五 個等級,每個漏洞所得安全幣數量=基礎安全幣*業務等級系數,由 BSRC 結合利用場景中漏洞的嚴重 程度、利用難度、影響范圍等綜合因素進行漏洞評級,并給予相應安全幣,每種等級包含的評分標準 及漏洞型別如下:
| 業務登記系數/基礎安全幣 | 嚴重(135-160) | 高危(45-60) | 中危(8-12) | 低危(1-5) | 無 |
|---|---|---|---|---|---|
| 高(7-10) | 945-160 | 315-600 | 56-120 | 7-50 | 0 |
| 中(2-6) | 270-960 | 90-360 | 16-72 | 2-30 | 0 |
| 低(1) | 135-160 | 45-60 | 8-12 | 1-5 | 0 |
參考資料:https://bj.bcebos.com/bsrc-public/2020110217152857605b75bce16b68.pdf
四、SRC公告和活動
關注各大SRC平臺公眾號,查看相應活動
五、SRC導航平臺
企業src有很多,可以直接從導航平臺找到對應的企業src平臺,
src導航平臺:
src導航:http://www.newsrc.cn/
安全客:https://www.anquanke.com/src
六、企業SRC平臺
參考資料:https://wiki.bafangwy.com/doc/253/
天融信安全漏洞回應中心 https://src.topsec.com.cn/
統信安全應急回應中心 https://src.uniontech.com/
多點安全應急回應中心 https://src.dmall.com/
NIO蔚來安全應急回應中心 https://niosrc.bugbank.cn/
貝銳安全應急回應中心 https://security.oray.com/
曠視安全應急回應中心 https://megvii.huoxian.cn/
哈啰出行安全應急回應中心 https://src.hellobike.com/index.php
TCL安全應急回應中心 https://src.tcl.com/zh/index
Soul安全應急回應中心 https://security.soulapp.cn/
Keep 安全應急回應中心 https://keep.huoxian.cn/
Apple Security Bounty https://security.apple.com/bounty/
理想安全應急回應中心 https://security.lixiang.com/index
麥當勞中國安全應急回應中心 https://security.mcd.cn/
安恒應急回應中心 https://security.dbappsecurity.com.cn/
東方航空 https://src.ceair.com/
迅雷安全應急回應中心 https://security.xunlei.com/
得物安全應急回應中心 https://security.dewu.com/
榮耀SRC https://security.hihonor.com/src/#/
看云安全應急回應中心 https://security.kanyun.com/
銀聯安全應急回應中心 https://security.unionpay.com/
獵聘SRC https://security.liepin.com/
360SRC https://security.360.cn/
58SRC https://security.58.com/
阿里SRC https://security.alibaba.com/
螞蟻集團SRC https://security.alipay.com/
阿里本地生活SRC https://asrc.alibaba.com/#/
百度SRC https://bsrc.baidu.com/views/main/index.html#home
位元組跳動 https://security.bytedance.com/
貝殼安全 https://security.ke.com/
嗶哩嗶哩安全應急回應中心 https://security.bilibili.com/
BOSS直聘 https://src.zhipin.com/
貝寶金融安全應急回應中心 https://btcsrc.vulbox.com/
北京北森云計算SRC https://beisen.butian.net/
菜鳥安全應急回應中心 https://sec.cainiao.com/
宜信安全應急回應中心 https://security.creditease.cn/
攜程安全應急回應中心 https://sec.ctrip.com/
滴滴SRC http://sec.didichuxing.com/
度小滿SRC https://security.duxiaoman.com/index.html#/main
嘀嗒出行 https://dida.butian.net/
丁香園安全應急回應中心 https://dxysrc.vulbox.com/
斗魚SRC https://security.douyu.com/
大疆安全應急回應中心 https://security.dji.com/
DHSRC 安全應急回應中心 http://dhsrc.dhgate.com/
魅族SRC https://sec.meizu.com/
東方財富安全應急回應中心 http://security.eastmoney.com/
法大大安全應急回應中心 https://sec.fadada.com
焦點SRC https://security.focuschina.com/
富友SRC https://fsrc.fuiou.com/home/index.html
瓜子安全應急回應中心 https://security.guazi.com/
華住安全回應中心 https://sec.huazhu.com/
海康威視安全應急回應中心 https://www.hikvision.com/cn/support/CybersecurityCenter/
恒昌安全應急回應中心 http://src.credithc.com/
愛奇藝安全應急回應中心 https://security.iqiyi.com/
合合安全應急回應中心 https://security.intsig.com/
平安安全應急回應中心 https://isrc.pingan.com/homePage/index
訊飛安全回應中心 https://security.iflytek.com/
競技世界 https://security.jj.cn/
京東安全應急回應中心 https://security.jd.com/#/
酷狗安全應急回應中心 https://security.kugou.com/
快看安全應急回應中心 https://security.kuaikanmanhua.com/
快手SRC https://security.kuaishou.com/
金山云安全應急回應中心 https://kysrc.vulbox.com/
同程旅行安全應急回應中心 https://sec.ly.com/
理想安全應急回應中心 https://security.lixiang.com/index
樂信集團安全應急回應中心 https://lxsrc.vulbox.com/
貨拉拉安全應急回應中心 https://llsrc.huolala.cn/#/home
聯想集團安全應急回應中心 https://lsrc.vulbox.com/
美麗聯合集團 https://security.mogu.com
陌陌安全應急回應中心 https://security.immomo.com/
小米安全中心 https://sec.xiaomi.com/
美團安全應急回應中心 https://security.meituan.com/#/home
馬蜂窩安全應急回應中心 https://security.mafengwo.cn/
網易安全中心 https://aq.163.com/
你我貸安全回應中心 https://www.niwodai.com/sec/index.do
一起教育安全應急回應中心 https://security.17zuoye.com/
好未來安全應急回應中心 https://src.100tal.com/
OPPO安全應急回應中心 https://security.oppo.com/cn/
華為PSIRT https://bugbounty.huawei.com/#/home
完美世界 安全應急回應中心 http://security.wanmei.com/
平安安全應急回應中心 https://security.pingan.com/
人民教育出版社 https://pep.butian.net/
奇安信集團 https://qianxin.butian.net/
輕松籌安全應急回應中心 https://qssrc.vulbox.com/
千米安全應急回應中心 http://security.qianmi.com/
融360安全應急回應中心 https://security.rong360.com/#/
蘇寧安全應急回應中心 https://security.suning.com/ssrc-web/index.jsp
安全狗漏洞回應中心 http://security.safedog.cn/index.html
水滴安全應急回應中心 https://security.shuidihuzhu.com/
順豐安全應急回應中心 https://sfsrc.sf-express.com/
深信服 https://security.sangfor.com.cn/
上上簽安全應急回應中心 https://src.bestsign.cn/
騰訊SRC https://security.tencent.com/
同盾安全應急回應中心 https://tdsrc.vulbox.com/
T3出行安全應急回應中心 https://security.t3go.cn/#/home
同程數科安全回應中心 https://securitytcjf.com/
途虎安全應急回應中心 https://security.tuhu.cn/
途牛安全應急回應中心 http://sec.tuniu.com/
UCloud安全應急回應中心 https://src.ucloud.cn/
VIPKID安全回應中心 https://security.vipkid.com.cn/
vivo安全應急回應中心 https://security.vivo.com.cn/
唯品會 https://sec.vip.com/
WiFi萬能鑰匙 https://sec.wifi.com/
微眾銀行安全回應中心 https://security.webank.com/
泛微安全應急回應中心 https://weaversrc.vulbox.com/
挖財安全應急回應中心 https://sec.wacai.com/
金山辦公安全應急回應中心 https://security.wps.cn/
微博 https://wsrc.weibo.com/
享道出行安全應急回應中心 https://src.saicmobility.com/
喜馬拉雅安全應急回應中心 https://security.ximalaya.com/
小贏安全應急回應中心 https://security.xiaoying.com/
知識星球安全應急回應中心 https://security.zsxq.com/
自如安全應急回應中心 https://zrsecurity.ziroom.com/
螢石安全回應中心 https://ysrc.ys7.com/#/home
有贊安全應急回應中心 https://src.youzan.com/
中通安全應急回應中心 https://sec.zto.com/home
掌門教育安全應急回應中心 https://security.zhangmen.com/
智聯招聘安全應急回應中心 https://src.zhaopin.com/
眾安安全應急回應中心 https://security.zhongan.com/#/
豬八戒SRC https://sec.zbj.com/
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/552108.html
標籤:其他
下一篇:返回列表