网络安全系列-I: 基本概念之事件型漏洞、通用型漏洞、渗透测试

事件型漏洞和通用型漏洞的区别

一句话区别：如果你提交华为官网的漏洞严格意义上是非法的，因为这涉及未授权扫描；但是你针对你自己购买并部署在本地的华为设备或系统做漏洞扫描、渗透测试是没有问题的，因为你攻击的是你自己的资产（虽然它能影响所有用到同类设备的其他企业)。前一种是事件型漏洞，后一种是通用型漏洞。

注意：事件型漏洞是违法的，无论是否进行了攻击，因为这涉及了未受权的扫描及测试。

通用型漏洞

通用型漏洞是指一类软件或设备具有的漏洞
如Python、Discuz、Springboot等开源软件本身的漏洞，使用这些开源软件的软件 可能都具有这些漏洞。

示例：

• 如Python、Springboot存在漏洞，那么只要使用了Python、Springboot的软件都可能存在这些漏洞
• win10系统存在漏洞，那么只要装了win10系统的设备都存在漏洞。

事件型漏洞

事件型漏洞是指某一个具体网站或应用的漏洞，需要主动针对网站或应用进行渗透测试，注意：此行为违法

示例：

• 某手机官方论坛800多万用户信息泄露
• 某旅游网站用户信用卡信息泄露均属于该漏洞类型。

渗透测试

渗透测试：一种通过模拟恶意攻击者的技术和方法，挫败目标系统安全控制措施，取得访问控制权，并发现具备业务影响后果安全隐患的一种安全测试与评估方式。

渗透测试的流程如下：【流程及思维导图 来源于bilibili上的《网络安全|渗透测试》】
入口权限–>内网搜集/探测–>免杀提权–>抓取登录凭证–>跨平台横向–>入口维持–>数据回传–>定期权限维护

情报收集–>情报处理–>确认有效范围–>收集有效范围内的详细信息–>分类–>尝试快速进入内网的方式–>快速定位可能存在漏洞的问题点–>测试所有程序

漏洞定级标准

这块可以参考补天漏洞响应平台的漏洞定级标准
360众测定级分为5档：分别是严重、高、中、低、无影响。

• 严重漏洞：核心系统的漏洞，包括权限、SQL注入、严重逻辑设计缺陷和流程缺陷、严重敏感信息泄露、直接控制控制系统等
• 高危漏洞：一般系统的漏洞，包括权限、前台SQL注入、一般系统后台认证等
• 中危漏洞：一般系统的后台漏洞，包括后台SQL注入、普通的信息泄露等
• 低危漏洞：系统的轻微漏洞，包括轻微信息泄露、本地 SQL 注入、一些配置信息的泄露等
• 无影响漏洞：无法利用的或无实际危害的漏洞，包括静态文件目录遍历、401 认证钓鱼等

SRC【漏洞提交平台】列表

序号	安全应急响应中心暨漏洞提交平台
0	SRCs-安全应急响应中心 - 0xsafe
1	腾讯安全应急响应中心(TSRC)
2	360安全应急响应中心
3	京东安全应急响应中心(JSRC)
4	平安集团安全应急响应中心(PSRC)
5	好未来安全应急响应中心
6	百度安全应急响应中心
7	菜鸟安全应急响应中心
8	焦点安全应急响应中心(FSRC)
9	阿里安全响应中心(ASRC)
10	美丽联合集团安全应急响应中心(MLSRC)
11	陌陌安全应急响应中心
12	搜狗安全应急响应中心
13	携程安全应急响应中心
14	爱奇艺安全应急响应中心(71SRC)
15	DSRC-滴滴出行安全应急响应中心(DSRC)
16	新浪安全应急响应中心
17	同程安全应急响应中心
18	VIPKID安全应急响应中心
19	YY安全应急响应中心
20	苏宁安全应急响应中心
21	去哪儿安全应急响应中心
22	竞技世界安全应急响应中心
23	金山安全应急响应中心
24	哔哩哔哩安全应急响应中心(BILISRC)
25	漏洞盒子–联想集团安全应急响应中心(LSRC)
26	VSRC首页-唯品会信息安全中心
27	微博安全应急响应中心(WSRC)
28	深信服科技安全响应中心
29	WiFi万能钥匙安全响应中心
30	魅族安全中心
31	美团安全应急响应中心(MTSRC)
32	应急响应 - 网易安全中心
33	oppo安全应急响应中心
34	快播安全应急响应中心
35	Google Inc.安全应急响应中心
36	微众安全响应中心(WSRC)
37	千米电商云安全应急响应中心
38	安全狗漏洞响应中心
39	快手安全应急响应中心
40	小米安全中心(MiSRC)
41	众安安全应急响应中心
42	完美世界安全应急响应中心(PWSRC)
43	58安全应急响应中心
44	大疆应急响应中心
45	饿了么安全应急响应中心(ESRC)
46	东方财富安全应急响应中心
47	顺丰安全应急响应中心
48	斗鱼安全应急响应中心
49	宜信安全应急响应中心
50	SRC部落-i春秋漏洞安全响应平台
51	企安信SRC
52	补天漏洞响应平台
53	漏洞银行

参考

如何看待国内src平台？
《网络安全|渗透测试》100节完全入门版，零基础也能学
各大SRC