1.企业SRC:企业自己官方运营的漏洞提交平台,面向白帽开放。白帽子可以向该企业报告漏洞,企业负责受理、修复并支付奖励。例如百度搜索:美团应急响应中心,京东应急响应中心,百度应急响应中心等...。这类漏洞提交是有RMB奖励的。
2.专属 SRC:通常是安全厂商或平台为某个企业单独托管运营的 SRC,流程、规则和奖励定制化,由第三方协助管理。这类漏洞提交也是有RMB奖励的。
3.众测:安全众测平台发起的项目,由多个白帽同时参与“打靶”,时间内自由挖掘漏洞,按漏洞价值发放奖励。一般情况下就是安全公司觉得利润比较薄弱抢市场的单子,会考虑以众测的形式运作。这类项目入场一般需要平台邀请才能参与。
4.公益 SRC:通常无RMB奖励,帮有网络资产的公司免费做漏洞测试,鼓励白帽基于社会责任提交漏洞、协助修复。比如你今天无目的性的随便找了一家公司的网站或其他资产,对他进行漏洞测试。然后可以提交到补天或者漏洞盒子这类平台上,获取积分。积分可用于公益排行榜排名或者兑换奖励,前几名或者高危漏洞也会有一些奖励。
但是公益SRC是存在一定的问题,大家一定要注意:
公益SRC本身属于一种未授权行为,或许这家公司根本就不知道你在对它进行漏洞测试。如果你挖到了一些比较严重的漏洞,再加上对于测试业务的不熟悉,对别人造成了一定的危害,是可以把你送进去的。
例如:
a.比如用BP去暴力PJ登录密码,对方服务器比较垃圾,在你去暴力PJ的时候,把别人网站打挂了(可告)。特别是我上次看到一个宝子在暴力PJ时喜欢把并发请求拉到999,特别吓人;
b.比如发现一个文件上传漏洞,并且传了一个危害文件进去证明漏洞的存在(可告);
其实主要就是看你是否对他的业务造成了实质性影响,或者造成了一些经济的损失,这一点大家一定要注意。
5.教育src:它的收录范围有 教育行政部门及教育部门管理的各级单位和学校,人社部门及人社部门管理的学校。人社部门是指人力资源与社会保障部、人力资源与社会保障厅、人力资源与社会保障局等机构,通常简称为人社部、人社厅、人社局。人社部门管理的学校通常为技工学校、技师学院。
传送地址:教育漏洞报告平台(EDUSRC)
教育SRC也是没有RMB奖励的,不过可以领取证书奖励。
6.CNVD:建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
传送地址:国家信息安全漏洞共享平台
CNVD漏洞提交的要求如下:
1.涉及党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等等)的高危 事件型漏洞,往CNVD上面提交,CNVD将基于原创漏洞证明,证明可通过编号在CNVD官方网站进行查询。
首先,事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书。
事件型漏洞主要是指互联网上应用的一个具体漏洞。比如:xxxx网站命令执行可被渗透、xxxx电商订单泄漏任意充值、xxxxx网站应用SQL注入可导致信息泄露等。当然哈,这里只是介绍事件漏洞是什么意思!针对CNVD的条件就只能是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危。
2.通用型漏洞,公司注册和实缴资金达5000万以上的公司需要提供黑盒测试案例10个或以上(3个复现+7个其他案例,其他案例不要求复现),漏洞危害中危以上。白盒测试需要提供源码以及提供漏洞处代码调试过程,包含截图和原因,对于网络设备弱口令也可以按黑盒要求来。
满足“通用十例 + 企业实缴 5000 万”这套标准。具体做法是:利用通杀漏洞以黑盒方式挖掘实缴资金 5000 万以上企业的产品 0day 漏洞,并证明该漏洞在超过 10 个使用该产品的站点中存在影响(至少能截取 3 个成功利用的验证截图)。
通用型漏洞主要是指第三方软件、应用、系统、框架对应的漏洞。如:ECShop、DiscuzQ、PHPCMS、开源软件、安全浏览器、手机应用、路由器、开发框架、VPN系统、防火墙系统等漏洞。你可以理解为通杀!通杀漏洞的意思就是一种可以在多个目标上复用相同方法成功利用的漏洞,利用原理通用、遇到即可批量攻击。
再说的简单一点,就是你已经挖到了一个注册和实缴资金达5000万以上的公司产品通杀0Day,并且这个它没有在CNVD上面提交过,否则会忽略。所谓0Day就是还没有被公开的漏洞,可以说你不一定时第一个发现它的人,但是你是第一个公布它的人。再用这个通杀0Day以黑盒测试的方式,去找到10个使用这个产品的站点,证明这个漏洞存在,你就能够得证了。
如果还觉得无法理解,你就看看我们这个易锦网安社区论坛,我们是基于Discuz这个产品搭建的,所以如果你找到了某一版本的Discuz存在通杀漏洞,找到10个像我们这种用Discuz搭建的网站,证明你找到的这个漏洞能够有效,就OK了。
另外注册资金和实缴资金是不一样的,现在的CNVD明确表明是实缴资金达5000万以上,企查查这类平台可查注册和实缴。有些公司注册资金5000万以上,但是实缴却很少,这种不行。
谢谢各位宝子观看这篇文章了,不知道有没有帮到你。
