SRC相关知识分享

这篇具有很好参考价值的文章主要介绍了SRC相关知识分享。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

SRC

一:SRC概念介绍

SRC( Security Response Center)安全应急响应中心,是企业用于对外接收来自用户/白帽发现并报告相关安全产品安全缺陷的站点,换句话说就是连接白帽子和企业的平台。同时也可以看成一个”资源置换平台“,白帽用自己的技术合法的向企业提交漏洞,企业给予相应的赏金。相对于企业组织内部技术人员进行渗透测试,SRC更像是发起一场“人民的战争”。

目前国内有两种漏洞平台,一种是缺陷报告平台,另一种就是xSRC平台。

 缺陷报告平台:又称漏洞报告平台,是指由独立的第三方公司或机构成立综合性的“安全应急响应中心”。国内补天平台、​​​​漏洞盒子​​​平台,以及据此衍生的Sobug众测平台等均属于该模式。外部报告者注册对应漏洞报告平台选择对应的厂商进行报送,接着该第三方机构会发送邮件提示相关厂商确认处理。这种方法的缺陷十分明显,厂商的历史漏洞信息完全暴露给第三方机构,报告中涉及的企业内部大量敏感信息因此外泄丧失私密性。

 xSRC平台:又称企业SRC平台,即企业自行开发、运营的安全应急响应中心,制定自己的漏洞收集和披露计划。目前国内知名的有腾讯SRC、阿里巴巴SRC、百度SRC、深信服SRC、奇安信SRC、字节跳动SRC等,对外收集并处理白帽等报送的漏洞报告。该平台模式相对于独立于企业的第三方机构,企业在漏洞的收集和披露过程中完全掌控了主动性,拥有良好的私密性和​可定制性。

 

二:SRC反馈及处理流程

 SRC相关知识分享

 

三:SRC具体平台介绍

缺陷报告平台:(包括但不限于,持续更新中)

CNNVD

https://www,cnnvd.org.cn

CNVD

https://www.cnvd.org.cn

CICSVD

http://cstis.cn

补天

https://www.butian.net

漏洞盒子

https://www,vulbox.com

火线安全平台

http://huoxian.club

EDUSRC

https://src.edu-info.edu.cn

 

xSRC平台:(包括但不限于,持续更新中)

A:

阿里巴巴

 https://security.alibaba.com

阿里云先知

https://xianzhi.aliyun.com

安恒

https://security.dbappsecurity.com.cn

爱奇艺

https://security.iqiyi.com

安全狗

http://security.safedog.cn

B:

百度

https://bsrc.baidu.com

BOSS直聘

https://src.zhipin.com

哔哩哔哩

https://security.bilibili.com

贝壳

https://security.ke.com

C:

菜鸟

https://sec.cainiao.com

D:

滴滴出行

https://sec.didichuxing.com

点融网

http://security.dianrong.com

东方财富

http://security.eastmoney.com

斗鱼

https://security.douyu.com

大疆

https://security.dji.com

斗米

https://security.doumi.com

度小满

https://security.duxiaoman.com

Dhgate

http://dhsrc.dhgate.com

E:

饿了么

https://security.ele.me

263

https://www.263.net/263/helpcenter/security

F:

法大大

https://sec.fadada.com

富友

https://fsrc.fuiou.com

G:

瓜子

https://security.guazi.com

 

H:

华为

https://bugbounty.huawei.com

恒昌

http://src.credithc.com

欢聚时代

https://security.yy.com

货拉拉

https://llsrc.huolala.cn

好未来

https://src.100tal.com

合合

https://security.intsig.com

华住

https://sec.huazhu.com

火线

https://www.huoxian.cn

J:

金山办公

https://security.wps.cn

金山云

https://kysrc.vulbox.com

京东

https://security.jd.com

焦点

https://security.focuschina.com

竞技世界

https://security.jj.cn

K:

酷狗

https://security.kugou.com

快手

https://security.kuaishou.com

旷世

https://megvii.huoxian.cn

 

 

L:

联想

https://lsrc.vulbox.com

理想

https://security.lixiang.com

猎聘

https://security.liepin.com

M:

蚂蚁集团

https://security.alipay.com

美团

https://security.meituan.com

魅族

https://sec.meizu.com

陌陌

https://security.immomo.com

美丽联合

https://security.mogu.com

马蜂窝

https://security.mafengwo.cn

N:

你我贷

https://www.niwodai.com /sec/index.htm 

O:

OPPO

https://security.oppo.com

P:

平安

https://security.pingan.com

拍拍贷

http://sec.ppdai.com

 

 

Q:

去哪儿

https://security.qunar.com

千米

https://security.qianmi.com

R:

融360

https://security.rong360.com

S:

深信服

https://security.sangfor.com.cn

360

https://security.360.cn

Soul

https://security.soulapp.cn

顺丰

http://sfsrc.sf-express.com

苏宁

https://security.suning.com

水滴安全

https://security.shuidihuzhu.com

世纪佳缘

https://src.jiayuan.com

T:

腾讯

https://security.tencent.com

T3出行

https://security.t3go.cn

TCL

https://src.tcl.com

同程旅行

https://sec.ly.com

同程数科

https://securitytcjf.com

统信

https://src.uniontech.com

途虎

https://security.tuhu.cn

途牛

https://sec.tuniu.com

同舟共测

https://tz.alipay.com

U:

UCloud

https://sec.ucloud.cn

V:

VIVO

https://security.vivo.com.cn

VIPKID

https://security.vipkid.com.cn

W:

网易

https://aq.163.com

微博

https://wsrc.weibo.com

微众

https://security.webank.com

完美世界

http://security.wanmei.com

唯品会

https://sec.vip.com

58

https://security.58.com

WIFI万能钥匙

https://sec.wifi.com

挖财

https://sec.wacai.com

伍林堂

https://www.wulintang.net

X:

小米

https://sec.xiaomi.com

携程

https://sec.ctrip.com

讯飞

https://security.iflytek.com

喜马拉雅

https://security.ximalaya.com

新浪

https://sec.sina.com.cn/

小赢

https://security.xiaoying.com

享道出行

https://src.saicmobility.com

Y:

银联

https://security.unionpay.com

萤石

https://ysrc.ys7.com

有赞

https://src.youzan.com

一加

https://security.oneplus.com

易宠

https://sec.epet.com/

宜信

https://security.creditease.cn

一起教育

https://security.17zuoye.com

Z:

猪八戒网

https://sec.zbj.com

中通

https://sec.zto.com

 

四:SRC行业安全测试规范

【参与标准制定组织/企业:腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC等】

(1):测试规范主要内容

 1. 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。

2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。

3. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。

4. 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。

5. 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。

6. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。

7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。

8. 禁止对网站后台和部分私密项目使用扫描器。

9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。

10. 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。

12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。

13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

14.尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

(2):SRC安全测试其他规范内容

1.仅可针对测试企业的相关产品开展安全测试,同时,安全测试需要遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定,采取合法、正当的方式,不得侵犯任何第三方合法权益。

2.不得利用计算机病毒、网络攻击、网络侵入、干扰测试企业网络正常功能、窃取网络数据等危害网络安全行为的技术措施(包括但不限于程序、工具)开展安全测试,如上传恶意文件及木马、增删改其他用户个人数据、添加后门账号/权限、扫描攻击内网等渗透行为,不得对国家安全、国计民生、公共利益的关键信息基础设施产生任何危害。

3. 在开展安全测试时不得窃取或者以其他非法方式获取任何测试企业或者其他第三方的商业信息(包括但不限于源代码、运营数据、用户资料等)、个人信息,不得非法出售或者非法向他人提供测试企业或者其他第三方的商业信息、个人信息。

4.禁止进行内网渗透测试行为,例如:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据等。

 

5.禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。

7.针对业务线专测:专测开始前需和运营报备即将使用的C2的IP地址,未及时报备将视为未授权攻击行为。禁止盗用、借用、售卖测试账号,不得擅自修改账号密码、换绑手机号、添加子账号等;禁止利用测试账号对专测范围外的产品和业务测试;测试账号仅限专测时间内使用。

8. 未经测试企业授权,不得向任何第三方公开漏洞或提供任何与测试企业产品有关的安全情报。

(3):总结

挖洞万般好,合法要记牢;触线一时爽,牢底定坐穿。

 

​五:漏洞评级准则

(1)漏洞评级准则

1:严重漏洞

(1)直接获取核心系统权限(服务器端权限、客户端权限)的漏洞,包括但不限于:远程命令执行漏洞、任意代码执行漏洞、SQL 注入获取系统可执行权限、缓冲区溢出等。

(2) 泄露大量核心敏感数据的漏洞,包括但不限于:核心DB的SQL注入漏洞、用户敏感信息接口越权导致的大范围泄露(大量机密信息泄露如密码、私钥、个人隐私信息泄露等)。

(3)核心系统的严重逻辑设计缺陷或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号登陆、支付系统逻辑漏洞

(4)客户端大量敏感信息泄露的漏洞,包括但不限于远程获取用户大量敏感信息、本地越权访问TEE保护的支付相关或者用户认证相关信息、TEE任意代码执行(高权限)

(5)设备端安全机制绕过,包括但不限于绕过SELinux

(6)远程系统级永久性拒绝服务攻击

(7)无需用户交互或简单用户交互的远程代码任意执行、远程任意文件读写

(8).设计缺陷导致未经授权的跨租户数据篡改和访问。
(9)虚拟机逃逸获取宿主机的权限。
(10)漏洞的组合、弱口令等方式,导致渗透进入内网并获取核心业务控制权限。
(11)严重的逻辑设计缺陷或流程缺陷,导致关键业务的篡改。

2:高危漏洞

(1)客户端远程永久性拒绝服务

(2)本地任意文件读写、打开非导出组件、本地代码执行

(3)越权敏感操作,导致未经授权的修改用户关键业务、重要信息、关键业务的配置信息、以及大量用户信息泄露等。
(4)关键页面的CSRF、存储型XSS、存储型XSS可导致蠕虫导致影响大量用户的漏洞等。
(5)XXE等未经授权的系统文件访问漏洞等。
(6)严重业务逻辑缺陷导致身份认证绕过。
(7)设计缺陷导致内部服务越权访问,如SSRF。
(8)账号被劫持导致漏洞等。

 

3:中危漏洞
(1)需要用户交互导致获取用户敏感信息(反射型XSS、反射型 DOM-XSS、一般页面的存储型XSS)等。
(2)一般信息泄露如用户订单、交易信息等导致漏洞以及普通信息泄露,包括但不限于包含敏感信息的完整源代码泄露、无信息回显的SSRF漏洞。
(3)如Session固定、Session可预测等身份仿冒导致漏洞。
(4)目录遍历等导致普通信息泄露。
(5)安全控制绕过产生大量垃圾数据以及设备端保护功能绕过。
(6)普通越权操作,非关键业务篡改,影响有限,包括不限于仿冒管理员身份发布虚假消息等。
(7)普通的逻辑设计缺陷和流程缺陷导致漏洞等。
(8)由于账号管理不当,造成非核心业务(包括但不限于测试业务等)的滥用、篡改等。

(9)客户端远程临时性拒绝服务,或直接导致业务拒绝服务的漏洞。包括但不仅限于网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。

(10)本地数据库注入(可造成信息泄漏或其他危害的)

 

4:低危漏洞

(1)轻微信息泄露漏洞, 包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、.git文件泄露、Django Debug、服务端业务日志内容、异常信息泄露,日志打印、配置信息、异常信息等从而导致漏洞;

(2)频控缺陷漏洞,包括但不限于短信炸弹、用户账户密码暴力破解

(3)可用于钓鱼或黑产的漏洞,包括但不限于任意URL跳转、反射型XSS漏洞

(4)容易被利用的或产生较大影响的客户端不安全配置漏洞

(5)参数过滤不严格导致不安全的URL跳转,可被用于发起钓鱼攻击,挂马等。
(6)账号批量枚举导致漏洞。
(7)轻微信息泄漏。

(8)包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF、URL跳转漏洞,有一定影响的爆破,验证码失效绕过等难以利用但存在安全隐患的漏洞。
(9)影响有限的设计缺陷和流程缺陷等。

 

六:资产范围

(1)企业信息资产分类

  1. 数据资产:以物理或电子的方式记录的各类数据。如文件资料、电子数据等。
  2. 软件资产:企业信息处理设施(服务器、台式机、笔记本、存储设备等)上安装的各种软件。
  3. 实物资产:各种与业务相关的物理设备或硬件设备。
  4. 人员资产:各种具有企业合同约束的人员。
  5. 服务资产:为企业所属的各种已识别的资产起支撑作用的服务。

 

(2)xSRC资产

1: 域名或子域名                       2:APP

3:小程序文章来源地址https://www.toymoban.com/news/detail-426481.html

到了这里,关于SRC相关知识分享的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 无线路由器知识及相关技术专业术语知识分享

    无线网路由器知识: 使用无线上网的朋友对于路由器一定是不陌生的,有了路由器我们就可以在一个宿舍对战CS,dota等等游戏,那么路由器究竟是什么装置?他又有什么作用?路由器的相关的技术有哪些呢?今天小编就像大家简单的介绍一下啊。 路由器(Router)是因特网上最为

    2024年02月05日
    浏览(48)
  • (05) Hive的相关概念——函数介绍

    目录 一、各数据类型的基础知识点 1.1 数值类型 整数 小数 float double(常用) decimal(针对高精度) 1.2 日期类型 date datetime timestamp time year 1.3 字符串类型 char varchar / varchar2 blob /text  tinyblob / tinytext mediumblob / mediumtext longblob / longtext string(常用) 二、Hive中的常用函数 2.1 单行函数 2.1

    2024年02月20日
    浏览(45)
  • ADSL一线多拨相关知识分享

    下次在网吧做测试的时候无意中把ADSL线路多设置了一次,不过拨上号的,多设置几次也都能拨上号,而且是不同的IP,这里我就说下关于ADSL多拨号方面的相关问题。 今天测试了下线路的多拨号,如果电信没有限制可以多拨。通过软路由对同一出口进行反复添加AD出口来拨号。不过

    2024年02月05日
    浏览(76)
  • iOS逆向:越狱及相关概念的介绍

    在上一篇内容中我们介绍了App脱壳的技术,今天我们来介绍一个和iOS逆向密切相关的知识:越狱。 iOS操作系统的封闭性一直是开发者们关注的焦点之一。为了突破Apple的限制,越狱技术应运而生。本文将深入探讨iOS越狱,包括可越狱的版本对比、完美越狱的概念、目前流行的

    2024年02月11日
    浏览(34)
  • [C++项目] Boost文档 站内搜索引擎(1): 项目背景介绍、相关技术栈、相关概念介绍...

    Boost 库是 C++ 中一个非常重要的开源库. 它实现了许多 C++ 标准库中没有涉及的特性和功能, 一度成为了 C++ 标准库的拓展库. C++ 新标准的内容, 很大一部分脱胎于 Boost 库中. Boost 库的高质量代码 以及 提供了更多实用方便的 C++ 组件, 使得 Boost 库在 C++ 开发中会被高频使用 为方便

    2024年02月14日
    浏览(44)
  • ChatGLM-6B (介绍相关概念、基础环境搭建及部署)

    最近chatgpt比较火,正好看到国内有个类似开源的框架,那不得试试、 ChatGLM-6B是清华大学知识工程和数据挖掘小组(Knowledge Engineering Group (KEG) Data Mining at Tsinghua University)发布的一个开源的对话机器人。根据官方介绍,这是一个千亿参数规模的中英文语言模型。并且对中文做

    2023年04月09日
    浏览(43)
  • 区块链学习笔记(一)——比特币概念以及密码学相关的知识

    自己做一些让自己读得懂的笔记 1.Bitcoin History In 2008, a person under the pseudonym Satoshi Nakamoto published a paper Bitcoin: A Peer-to-Peer Electronic Cash System . Bitcoin software was released in January 2009 and the mining of the Bitcoin cryptocurrentcy officially started. The genesis block included the “The Times” headline: “ Chan

    2024年02月15日
    浏览(43)
  • Nodejs中http 模块介绍以及服务器相关的概念

    什么是客户端、什么是服务器? 在网络节点中,负责消费资源的电脑,叫做 客户端 负责对外提供网络资源的电脑,叫做 服务器 http 模块是 Node.is 官方提供的、用来创建 web 服务器的模块,通过 http 模块提供的 http.createServer() 方法,就能方便的把一台普通的电脑,变成一台 W

    2024年03月23日
    浏览(48)
  • 工业相机相关概念词介绍:ISP算法、线阵相机、常用术语

    ISP基本框架及算法介绍 相机的常用设置 50个常用术语 关于立体视觉相关算法,可参考我的专栏:https://blog.csdn.net/yohnyang/category_11720857.html ISP(Image Signal Processor),即图像处理,主要作用是对前端图像传感器输出的信号做后期处理,主要功能有线性纠正、噪声去除、坏点去除、

    2024年02月02日
    浏览(37)
  • 蓝牙相关知识介绍

    蓝牙(Bluetooth)技术是一种无线通信的方式,利用特定的频率的波段(2.4GHz~2.4835GHz),进行电磁波传输。蓝牙传输原理是主从关系,一个主设备可以与7个从设备配对。 蓝牙(Bluetooth)工作在2.4G的ISM(Industrial, Science and Medicine)频段,具体为2400-2483.5MHz,信道带宽1MHz,有79个

    2024年02月11日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包