企业src-白帽赚钱的合理途径

0、什么是src

安全响应中心(Security Response Center):SRC通常是一个组织或者公司设立的部门或团队,负责接收、跟踪和响应安全漏洞报告,以及协调修补措施。SRC与安全研究人员和其他报告者合作,以确保及时修补和保护产品和服务的安全性

企业Src就是,企业授权给广大白帽黑客,或者有网络安全能力者,让他们来挖自己产业一些资产的漏洞,挖到漏洞就给赏金,不同的漏洞等级基于不同的赏金。Src是广大白帽合理赚钱的方式,但是在挖漏洞的同时也遵守企业的测试准则,不然企业也是有责依法严究

Src分两种:

  1. 众筹src:这是一些没有建立src的公司,都投递给一个专门建立src的厂商,例如漏洞盒子等
  2. 企业src:这是企业自己建立src

 1、各大src与网址:

360 :360安全应急响应中心

字节跳动:字节跳动安全中心

爱奇艺 :爱奇艺安全应急响应中心

阿里巴巴 :https://security.alibaba.com/

百度: https://bsrc.baidu.com/v2/#/home

菜鸟:https://sec.cainiao.com/

Boss直聘 : https://src.zhipin.com/

安全狗 :登录-安全狗云安全中心-构建立体式的服务器安全和网站安全防御体系

蚂蚁金服 :https://security.alipay.com/sc/afsrc/home.htm

Bilibili :哔哩哔哩安全应急响应中心

贝壳安全:贝壳安全应急响应中心

补天: 补天 - 企业和白帽子共赢的漏洞响应平台,帮助企业建立SRC

58同城:58安全应急响应中心

滴滴出行:滴滴出行安全应急响应中心

东方财富:东方财富安全应急响应中心

斗鱼:斗鱼安全应急响应中心 - DYSRC

度小满:Vue App

瓜子:瓜子安全应急响应中心

货拉拉:货拉拉安全应急响应中心

同程旅行:首页 | 同程旅行安全应急响应中心

联想:漏洞盒子 | 联想集团安全应急响应中心

魅族:魅族安全中心

陌陌:陌陌安全应急响应中心

Oppo:OPPO安全应急响应中心 | OSRC

网易:https://aq.163.com/

Vivo:vivo 安全应急响应平台

微博:微博安全应急响应中心

喜马拉雅:喜马拉雅安全应急响应中心

小米:小米安全中心

携程:携程安全应急响应中心

中通:中通安全应急响应中心(ZSRC)

银联:银联安全应急响应中心(USRC)

智联招聘:首页 | 智联招聘安全应急响应中心

京东:京东安全应急响应中心

美团:美团安全应急响应中心

 2、SRC行业安全测试规范

以百度src为例子:

1.    注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。

2.    越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。

3.    帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。

4.    存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。

5.    如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。

6.    在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。

7.    如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。

8.    禁止对网站后台和部分私密项目使用扫描器。

9.    除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。

10.  禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

11.  请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。

12.  禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。

13.  敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

14.  尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

其他的厂商大部分要求也是大致这样,共同点是让测试者遵守法律和道德准则:尊重客户和组织的利益。

 3、漏洞评级和资产整理

不同的漏洞等级悬赏不一样,漏洞危害等级越高,赏金越多。而且同一等级漏洞下,核心和边缘资产的悬赏也不一样,相同资产下,核心业务的赏金比边缘赏金要高。

以百度src为例子(https://bsrc.baidu.com/v2/#/announce/114):

根据情报对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【忽略】五个等级。每个有效情报所得安全币数量=基础安全币*情报完整度。由BSRC结合情报的危害程度、影响范围等综合因素进行评级,并给予相应安全币,每种等级包含的评分标准及类型如下:

企业src-白帽赚钱的合理途径_第1张图片

威胁情报等级说明:

【严重】

  1. 针对核心业务系统的完整入侵证据或线索,能够帮助BSRC对入侵事件溯源分析、定位攻击者身份。
  2. 重大0day漏洞。如操作系统或重要组件的未公开漏洞。
  3. 能对百度营收产生重大影响的相关情报。如百度搜索、商业推广等相关的大规模作弊、牟利行为。
  4. 对百度产品生态有重大直接影响的黑灰产情报(如大规模盗号事件的详细情报)。

【高危】

  1. 针对非核心业务系统的完整入侵证据或线索,能够帮助BSRC对入侵事件溯源分析、定位攻击者身份。
  2. 能对百度营收产生较大直接影响的相关情报。
  3. 对百度产品生态有较大直接影响的黑灰产情报。

【中危】

  1. 对特定业务营收产生较大直接影响的相关情报。
  2. 对百度产品生态有一定直接影响,或对特定业务有较大直接影响的黑灰产情报。如针对贴吧等UGC产品的垃圾内容作弊情报。

【低危】

  1. 少量的作弊线索、黑灰产人员组织结构等相关信息。
  2. 有一定影响的作弊手法。

【忽略】

  1. 不能证实、或人为制造的等虚假或无效威胁情报。
  2. BSRC已知的威胁情报信息。
  3. 不构成实际危害的情报信息。

 4、关注一些src平台漏洞

如果是白帽黑客,想要挖企业src,可以关注一些src的公众号,这些公众号会有一些活动,赏金也比平时的多。

企业src-白帽赚钱的合理途径_第2张图片

 企业src-白帽赚钱的合理途径_第3张图片

 

你可能感兴趣的:(黑客学习,网络安全)