安全應(yīng)急響應(yīng)中心SRC

一、SRC介紹

? 安全應(yīng)急響應(yīng)中心（SRC, Security Response Center），是企業(yè)用于對(duì)外接收來(lái)自用戶(hù)發(fā)現(xiàn)并報(bào)告的產(chǎn)品安全漏洞的站點(diǎn)。

SRC平臺(tái)

? 報(bào)告平臺(tái)是指由獨(dú)立的第三方公司成立的綜合性的報(bào)告平臺(tái)。國(guó)內(nèi)補(bǔ)天平臺(tái)、盒子平臺(tái)、火線(xiàn)平臺(tái)等均屬于該模式。外部報(bào)告者注冊(cè)對(duì)應(yīng)漏洞報(bào)告平臺(tái)，選擇對(duì)應(yīng)的廠商進(jìn)行報(bào)送，接著該第三方機(jī)構(gòu)會(huì)發(fā)送郵件提示相關(guān)廠商確認(rèn)處理。

企業(yè)SRC

? 企業(yè)自己開(kāi)發(fā)自己的安全應(yīng)急響應(yīng)中心，制定自己的漏洞收集以及獎(jiǎng)金計(jì)劃。目前國(guó)內(nèi)已有近百家企業(yè)SRC平臺(tái)，例如百度、阿里、騰訊、美團(tuán)、滴滴等，均成立了自己的安全應(yīng)急響應(yīng)中心，對(duì)外收集并處理白帽子報(bào)送的報(bào)告。

參考資料：https://blog.51cto.com/u_13567054/4981736

二、SRC準(zhǔn)則

每一個(gè)SRC都有自己的挖掘準(zhǔn)則，請(qǐng)白帽子們仔細(xì)閱準(zhǔn)則

以百度src為例：

測(cè)試規(guī)范:

1. 注入漏洞，只要證明可以讀取數(shù)據(jù)就行，嚴(yán)禁讀取表內(nèi)數(shù)據(jù)。對(duì)于UPDATE、DELETE、INSERT 等注入類(lèi)型，不允許使用自動(dòng)化工具進(jìn)行測(cè)試。

2. 越權(quán)漏洞，越權(quán)讀取的時(shí)候，能讀取到的真實(shí)數(shù)據(jù)不超過(guò)5組，嚴(yán)禁進(jìn)行批量讀取。

3. 帳號(hào)可注冊(cè)的情況下，只允許用自己的2個(gè)帳號(hào)驗(yàn)證漏洞效果，不要涉及線(xiàn)上正常用戶(hù)的帳號(hào)，越權(quán)增刪改，請(qǐng)使用自己測(cè)試帳號(hào)進(jìn)行。帳號(hào)不可注冊(cè)的情況下，如果獲取到該系統(tǒng)的賬密并驗(yàn)證成功，如需進(jìn)一步安全測(cè)試，請(qǐng)咨詢(xún)管理員得到同意后進(jìn)行測(cè)試。

4. 存儲(chǔ)xss漏洞，正確的方法是插入不影響他人的測(cè)試payload，嚴(yán)禁彈窗，推薦使用console.log，再通過(guò)自己的另一個(gè)帳號(hào)進(jìn)行驗(yàn)證，提供截圖證明。對(duì)于盲打類(lèi)xss，僅允許外帶domain信息。所有xss測(cè)試，測(cè)試之后需刪除插入數(shù)據(jù)，如不能刪除，請(qǐng)?jiān)诼┒磮?bào)告中備注插入點(diǎn)。

5. 如果可以shell或者命令執(zhí)行的，推薦上傳一個(gè)文本證明，如純文本的1.php、1.jsp等證明問(wèn)題存在即可，禁止下載和讀取服務(wù)器上任何源代碼文件和敏感文件，不要執(zhí)行刪除、寫(xiě)入命令，如果是上傳的webshell，請(qǐng)寫(xiě)明shell文件地址和連接口令。

6. 在測(cè)試未限制發(fā)送短信或郵件次數(shù)等掃號(hào)類(lèi)漏洞，測(cè)試成功的數(shù)量不超過(guò)50個(gè)。如果用戶(hù)可以感知，例如會(huì)給用戶(hù)發(fā)送登陸提醒短信，則不允許對(duì)他人真實(shí)手機(jī)號(hào)進(jìn)行測(cè)試。

7. 如需要進(jìn)行具有自動(dòng)傳播和擴(kuò)散能力漏洞的測(cè)試（如社交蠕蟲(chóng)的測(cè)試），只允許使用和其他賬號(hào)隔離的小號(hào)進(jìn)行測(cè)試。不要使用有社交關(guān)系的賬號(hào)，防止蠕蟲(chóng)擴(kuò)散。

8. 禁止對(duì)網(wǎng)站后臺(tái)和部分私密項(xiàng)目使用掃描器。

9. 除特別獲準(zhǔn)的情況下，嚴(yán)禁與漏洞無(wú)關(guān)的社工，嚴(yán)禁進(jìn)行內(nèi)網(wǎng)滲透。

10. 禁止進(jìn)行可能引起業(yè)務(wù)異常運(yùn)行的測(cè)試，例如：IIS的拒絕服務(wù)等可導(dǎo)致拒絕服務(wù)的漏洞測(cè)試以及DDOS攻擊。

11. 請(qǐng)不要對(duì)未授權(quán)廠商、未分配給自己的項(xiàng)目、超出測(cè)試范圍的列表進(jìn)行漏洞挖掘，可與管理員聯(lián)系確認(rèn)是否屬于資產(chǎn)范圍后進(jìn)行挖掘，否則未授權(quán)的法律風(fēng)險(xiǎn)將由漏洞挖掘者自己承擔(dān)。

12. 禁止拖庫(kù)、隨意大量增刪改他人信息，禁止可對(duì)服務(wù)穩(wěn)定性造成影響的掃描、使用漏洞進(jìn)行黑灰產(chǎn)行為等惡意行為。

13. 敏感信息的泄漏會(huì)對(duì)用戶(hù)、廠商及上報(bào)者都產(chǎn)生較大風(fēng)險(xiǎn)，禁止保存和傳播和業(yè)務(wù)相關(guān)的敏感數(shù)據(jù)，包括但不限于業(yè)務(wù)服務(wù)器以及Github 等平臺(tái)泄露的源代碼、運(yùn)營(yíng)數(shù)據(jù)、用戶(hù)資料等，若存在不知情的下載行為，需及時(shí)說(shuō)明和刪除。

14. 尊重《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定。禁止一切以漏洞測(cè)試為借口，利用安全漏洞進(jìn)行破壞、損害用戶(hù)利益的行為，包括但不限于威脅、恐嚇SRC要公開(kāi)漏洞或數(shù)據(jù)，請(qǐng)不要在任何情況下泄露漏洞測(cè)試過(guò)程中所獲知的任何信息，漏洞信息對(duì)第三方披露請(qǐng)先聯(lián)系SRC獲得授權(quán)。企業(yè)將對(duì)違法違規(guī)者保留采取進(jìn)一步法律行動(dòng)的權(quán)利。

參考資料：https://bsrc.baidu.com/v2/#/announce/127

三、SRC評(píng)級(jí)

每個(gè)漏洞都有評(píng)級(jí)，評(píng)級(jí)不同對(duì)應(yīng)的積分不同，漏洞還分為核心，一般，邊緣，白帽們閱讀公告

以百度src為例：

根據(jù)漏洞對(duì)公司整體業(yè)務(wù)的影響程度將漏洞等級(jí)分為【嚴(yán)重】、【高】、【中】、【低】、【無(wú)】五 個(gè)等級(jí)。每個(gè)漏洞所得安全幣數(shù)量=基礎(chǔ)安全幣*業(yè)務(wù)等級(jí)系數(shù)。由 BSRC 結(jié)合利用場(chǎng)景中漏洞的嚴(yán)重 程度、利用難度、影響范圍等綜合因素進(jìn)行漏洞評(píng)級(jí)，并給予相應(yīng)安全幣，每種等級(jí)包含的評(píng)分標(biāo)準(zhǔn) 及漏洞類(lèi)型如下：

參考資料：https://bj.bcebos.com/bsrc-public/2020110217152857605b75bce16b68.pdf

四、SRC公告和活動(dòng)

關(guān)注各大SRC平臺(tái)公眾號(hào)，查看相應(yīng)活動(dòng)

五、SRC導(dǎo)航平臺(tái)

企業(yè)src有很多，可以直接從導(dǎo)航平臺(tái)找到對(duì)應(yīng)的企業(yè)src平臺(tái)。

src導(dǎo)航平臺(tái)：

src導(dǎo)航：http://www.newsrc.cn/

安全客：https://www.anquanke.com/src

六、企業(yè)SRC平臺(tái)

參考資料：https://wiki.bafangwy.com/doc/253/

天融信安全漏洞響應(yīng)中心 https://src.topsec.com.cn/

統(tǒng)信安全應(yīng)急響應(yīng)中心 https://src.uniontech.com/

多點(diǎn)安全應(yīng)急響應(yīng)中心 https://src.dmall.com/

NIO蔚來(lái)安全應(yīng)急響應(yīng)中心 https://niosrc.bugbank.cn/

貝銳安全應(yīng)急響應(yīng)中心 https://security.oray.com/

曠視安全應(yīng)急響應(yīng)中心 https://megvii.huoxian.cn/

哈啰出行安全應(yīng)急響應(yīng)中心 https://src.hellobike.com/index.php

TCL安全應(yīng)急響應(yīng)中心 https://src.tcl.com/zh/index

Soul安全應(yīng)急響應(yīng)中心 https://security.soulapp.cn/

Keep 安全應(yīng)急響應(yīng)中心 https://keep.huoxian.cn/

Apple Security Bounty https://security.apple.com/bounty/

理想安全應(yīng)急響應(yīng)中心 https://security.lixiang.com/index

麥當(dāng)勞中國(guó)安全應(yīng)急響應(yīng)中心 https://security.mcd.cn/

安恒應(yīng)急響應(yīng)中心 https://security.dbappsecurity.com.cn/

東方航空 https://src.ceair.com/

迅雷安全應(yīng)急響應(yīng)中心 https://security.xunlei.com/

得物安全應(yīng)急響應(yīng)中心 https://security.dewu.com/

榮耀SRC https://security.hihonor.com/src/#/

看云安全應(yīng)急響應(yīng)中心 https://security.kanyun.com/

銀聯(lián)安全應(yīng)急響應(yīng)中心 https://security.unionpay.com/

獵聘SRC https://security.liepin.com/

360SRC https://security.#/

58SRC https://security.58.com/

阿里SRC https://security.alibaba.com/

螞蟻集團(tuán)SRC https://security.alipay.com/

阿里本地生活SRC https://asrc.alibaba.com/#/

百度SRC https://bsrc.baidu.com/views/main/index.html#home

字節(jié)跳動(dòng) https://security.bytedance.com/

貝殼安全 https://security.ke.com/

嗶哩嗶哩安全應(yīng)急響應(yīng)中心 https://security.bilibili.com/

BOSS直聘 https://src.zhipin.com/

貝寶金融安全應(yīng)急響應(yīng)中心 https://btcsrc.vulbox.com/

北京北森云計(jì)算SRC https://beisen.butian.net/

菜鳥(niǎo)安全應(yīng)急響應(yīng)中心 https://sec.cainiao.com/

宜信安全應(yīng)急響應(yīng)中心 https://security.creditease.cn/

攜程安全應(yīng)急響應(yīng)中心 https://sec.ctrip.com/

滴滴SRC http://sec.didichuxing.com/

度小滿(mǎn)SRC https://security.duxiaoman.com/index.html#/main

嘀嗒出行 https://dida.butian.net/

丁香園安全應(yīng)急響應(yīng)中心 https://dxysrc.vulbox.com/

斗魚(yú)SRC https://security.douyu.com/

大疆安全應(yīng)急響應(yīng)中心 https://security.dji.com/

DHSRC 安全應(yīng)急響應(yīng)中心 http://dhsrc.dhgate.com/

魅族SRC https://sec.meizu.com/

東方財(cái)富安全應(yīng)急響應(yīng)中心 http://security.eastmoney.com/

法大大安全應(yīng)急響應(yīng)中心 https://sec.fadada.com

焦點(diǎn)SRC https://security.focuschina.com/

富友SRC https://fsrc.fuiou.com/home/index.html

瓜子安全應(yīng)急響應(yīng)中心 https://security.guazi.com/

華住安全響應(yīng)中心 https://sec.huazhu.com/

?？低暟踩珣?yīng)急響應(yīng)中心 https://www.hikvision.com/cn/support/CybersecurityCenter/

恒昌安全應(yīng)急響應(yīng)中心 http://src.credithc.com/

愛(ài)奇藝安全應(yīng)急響應(yīng)中心 https://security.iqiyi.com/

合合安全應(yīng)急響應(yīng)中心 https://security.intsig.com/

平安安全應(yīng)急響應(yīng)中心 https://isrc.pingan.com/homePage/index

訊飛安全響應(yīng)中心 https://security.iflytek.com/

競(jìng)技世界 https://security.jj.cn/

京東安全應(yīng)急響應(yīng)中心 https://security.jd.com/#/

酷狗安全應(yīng)急響應(yīng)中心 https://security.kugou.com/

快看安全應(yīng)急響應(yīng)中心 https://security.kuaikanmanhua.com/

快手SRC https://security.kuaishou.com/

金山云安全應(yīng)急響應(yīng)中心 https://kysrc.vulbox.com/

同程旅行安全應(yīng)急響應(yīng)中心 https://sec.ly.com/

理想安全應(yīng)急響應(yīng)中心 https://security.lixiang.com/index

樂(lè)信集團(tuán)安全應(yīng)急響應(yīng)中心 https://lxsrc.vulbox.com/

貨拉拉安全應(yīng)急響應(yīng)中心 https://llsrc.huolala.cn/#/home

聯(lián)想集團(tuán)安全應(yīng)急響應(yīng)中心 https://lsrc.vulbox.com/

美麗聯(lián)合集團(tuán) https://security.mogu.com

陌陌安全應(yīng)急響應(yīng)中心 https://security.immomo.com/

小米安全中心 https://sec.xiaomi.com/

美團(tuán)安全應(yīng)急響應(yīng)中心 https://security.meituan.com/#/home

馬蜂窩安全應(yīng)急響應(yīng)中心 https://security.mafengwo.cn/

網(wǎng)易安全中心 https://aq.163.com/

你我貸安全響應(yīng)中心 https://www.niwodai.com/sec/index.do

一起教育安全應(yīng)急響應(yīng)中心 https://security.17zuoye.com/

好未來(lái)安全應(yīng)急響應(yīng)中心 https://src.100tal.com/

OPPO安全應(yīng)急響應(yīng)中心 https://security.oppo.com/cn/

華為PSIRT https://bugbounty.huawei.com/#/home

完美世界 安全應(yīng)急響應(yīng)中心 http://security.wanmei.com/

平安安全應(yīng)急響應(yīng)中心 https://security.pingan.com/

人民教育出版社 https://pep.butian.net/

奇安信集團(tuán) https://qianxin.butian.net/

輕松籌安全應(yīng)急響應(yīng)中心 https://qssrc.vulbox.com/

千米安全應(yīng)急響應(yīng)中心 http://security.qianmi.com/

融360安全應(yīng)急響應(yīng)中心 https://security.rong360.com/#/

蘇寧安全應(yīng)急響應(yīng)中心 https://security.suning.com/ssrc-web/index.jsp

安全狗漏洞響應(yīng)中心 http://security.safedog.cn/index.html

水滴安全應(yīng)急響應(yīng)中心 https://security.shuidihuzhu.com/

順豐安全應(yīng)急響應(yīng)中心 https://sfsrc.sf-express.com/

深信服 https://security.sangfor.com.cn/

上上簽安全應(yīng)急響應(yīng)中心 https://src.bestsign.cn/

騰訊SRC https://security.tencent.com/

同盾安全應(yīng)急響應(yīng)中心 https://tdsrc.vulbox.com/

T3出行安全應(yīng)急響應(yīng)中心 https://security.t3go.cn/#/home

同程數(shù)科安全響應(yīng)中心 https://securitytcjf.com/

途虎安全應(yīng)急響應(yīng)中心 https://security.tuhu.cn/

途牛安全應(yīng)急響應(yīng)中心 http://sec.tuniu.com/

UCloud安全應(yīng)急響應(yīng)中心 https://src.ucloud.cn/

VIPKID安全響應(yīng)中心 https://security.vipkid.com.cn/

vivo安全應(yīng)急響應(yīng)中心 https://security.vivo.com.cn/

唯品會(huì) https://sec.vip.com/

WiFi萬(wàn)能鑰匙 https://sec.wifi.com/

微眾銀行安全響應(yīng)中心 https://security.webank.com/

泛微安全應(yīng)急響應(yīng)中心 https://weaversrc.vulbox.com/

挖財(cái)安全應(yīng)急響應(yīng)中心 https://sec.wacai.com/

金山辦公安全應(yīng)急響應(yīng)中心 https://security.wps.cn/

微博 https://wsrc.weibo.com/

享道出行安全應(yīng)急響應(yīng)中心 https://src.saicmobility.com/

喜馬拉雅安全應(yīng)急響應(yīng)中心 https://security.ximalaya.com/

小贏安全應(yīng)急響應(yīng)中心 https://security.xiaoying.com/

知識(shí)星球安全應(yīng)急響應(yīng)中心 https://security.zsxq.com/

自如安全應(yīng)急響應(yīng)中心 https://zrsecurity.ziroom.com/

螢石安全響應(yīng)中心 https://ysrc.ys7.com/#/home

有贊安全應(yīng)急響應(yīng)中心 https://src.youzan.com/

中通安全應(yīng)急響應(yīng)中心 https://sec.zto.com/home

掌門(mén)教育安全應(yīng)急響應(yīng)中心 https://security.zhangmen.com/

智聯(lián)招聘安全應(yīng)急響應(yīng)中心 https://src.zhaopin.com/

眾安安全應(yīng)急響應(yīng)中心 https://security.zhongan.com/#/

豬八戒SRC https://sec.zbj.com/文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-438432.html

到了這里，關(guān)于安全應(yīng)急響應(yīng)中心SRC的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！