安全应急响应中心SRC

这篇具有很好参考价值的文章主要介绍了安全应急响应中心SRC。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

安全应急响应中心SRC

目录
  • 安全应急响应中心SRC
    • 一、SRC介绍
    • 二、SRC准则
    • 三、SRC评级
    • 四、SRC公告和活动
    • 五、SRC导航平台
    • 六、企业SRC平台

一、SRC介绍

​ 安全应急响应中心(SRC, Security Response Center),是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。

SRC平台

​ 报告平台是指由独立的第三方公司成立的综合性的报告平台。国内补天平台、盒子平台、火线平台等均属于该模式。外部报告者注册对应漏洞报告平台,选择对应的厂商进行报送,接着该第三方机构会发送邮件提示相关厂商确认处理。

企业SRC

​ 企业自己开发自己的安全应急响应中心,制定自己的漏洞收集以及奖金计划。目前国内已有近百家企业SRC平台,例如百度、阿里、腾讯、美团、滴滴等,均成立了自己的安全应急响应中心,对外收集并处理白帽子报送的报告。

参考资料:https://blog.51cto.com/u_13567054/4981736

二、SRC准则

每一个SRC都有自己的挖掘准则,请白帽子们仔细阅准则

以百度src为例:

测试规范:

  1. 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。

  2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组严禁进行批量读取

  3. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。

  4. 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。

  5. 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。

  6. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。

  7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。

  8. 禁止对网站后台和部分私密项目使用扫描器。

  9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。

  10. 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

  11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。

  12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。

  13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。

  14. 尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

参考资料:https://bsrc.baidu.com/v2/#/announce/127

三、SRC评级

每个漏洞都有评级,评级不同对应的积分不同,漏洞还分为核心,一般,边缘,白帽们阅读公告

以百度src为例:

根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五 个等级。每个漏洞所得安全币数量=基础安全币*业务等级系数。由 BSRC 结合利用场景中漏洞的严重 程度、利用难度、影响范围等综合因素进行漏洞评级,并给予相应安全币,每种等级包含的评分标准 及漏洞类型如下:

业务登记系数/基础安全币 严重(135-160) 高危(45-60) 中危(8-12) 低危(1-5)
高(7-10) 945-160 315-600 56-120 7-50 0
中(2-6) 270-960 90-360 16-72 2-30 0
低(1) 135-160 45-60 8-12 1-5 0

参考资料:https://bj.bcebos.com/bsrc-public/2020110217152857605b75bce16b68.pdf

四、SRC公告和活动

关注各大SRC平台公众号,查看相应活动

五、SRC导航平台

企业src有很多,可以直接从导航平台找到对应的企业src平台。

src导航平台:

src导航:http://www.newsrc.cn/

安全客:https://www.anquanke.com/src

六、企业SRC平台

参考资料:https://wiki.bafangwy.com/doc/253/

天融信安全漏洞响应中心 https://src.topsec.com.cn/

统信安全应急响应中心 https://src.uniontech.com/

多点安全应急响应中心 https://src.dmall.com/

NIO蔚来安全应急响应中心 https://niosrc.bugbank.cn/

贝锐安全应急响应中心 https://security.oray.com/

旷视安全应急响应中心 https://megvii.huoxian.cn/

哈啰出行安全应急响应中心 https://src.hellobike.com/index.php

TCL安全应急响应中心 https://src.tcl.com/zh/index

Soul安全应急响应中心 https://security.soulapp.cn/

Keep 安全应急响应中心 https://keep.huoxian.cn/

Apple Security Bounty https://security.apple.com/bounty/

理想安全应急响应中心 https://security.lixiang.com/index

麦当劳中国安全应急响应中心 https://security.mcd.cn/

安恒应急响应中心 https://security.dbappsecurity.com.cn/

东方航空 https://src.ceair.com/

迅雷安全应急响应中心 https://security.xunlei.com/

得物安全应急响应中心 https://security.dewu.com/

荣耀SRC https://security.hihonor.com/src/#/

看云安全应急响应中心 https://security.kanyun.com/

银联安全应急响应中心 https://security.unionpay.com/

猎聘SRC https://security.liepin.com/

360SRC https://security.360.cn/

58SRC https://security.58.com/

阿里SRC https://security.alibaba.com/

蚂蚁集团SRC https://security.alipay.com/

阿里本地生活SRC https://asrc.alibaba.com/#/

百度SRC https://bsrc.baidu.com/views/main/index.html#home

字节跳动 https://security.bytedance.com/

贝壳安全 https://security.ke.com/

哔哩哔哩安全应急响应中心 https://security.bilibili.com/

BOSS直聘 https://src.zhipin.com/

贝宝金融安全应急响应中心 https://btcsrc.vulbox.com/

北京北森云计算SRC https://beisen.butian.net/

菜鸟安全应急响应中心 https://sec.cainiao.com/

宜信安全应急响应中心 https://security.creditease.cn/

携程安全应急响应中心 https://sec.ctrip.com/

滴滴SRC http://sec.didichuxing.com/

度小满SRC https://security.duxiaoman.com/index.html#/main

嘀嗒出行 https://dida.butian.net/

丁香园安全应急响应中心 https://dxysrc.vulbox.com/

斗鱼SRC https://security.douyu.com/

大疆安全应急响应中心 https://security.dji.com/

DHSRC 安全应急响应中心 http://dhsrc.dhgate.com/

魅族SRC https://sec.meizu.com/

东方财富安全应急响应中心 http://security.eastmoney.com/

法大大安全应急响应中心 https://sec.fadada.com

焦点SRC https://security.focuschina.com/

富友SRC https://fsrc.fuiou.com/home/index.html

瓜子安全应急响应中心 https://security.guazi.com/

华住安全响应中心 https://sec.huazhu.com/

海康威视安全应急响应中心 https://www.hikvision.com/cn/support/CybersecurityCenter/

恒昌安全应急响应中心 http://src.credithc.com/

爱奇艺安全应急响应中心 https://security.iqiyi.com/

合合安全应急响应中心 https://security.intsig.com/

平安安全应急响应中心 https://isrc.pingan.com/homePage/index

讯飞安全响应中心 https://security.iflytek.com/

竞技世界 https://security.jj.cn/

京东安全应急响应中心 https://security.jd.com/#/

酷狗安全应急响应中心 https://security.kugou.com/

快看安全应急响应中心 https://security.kuaikanmanhua.com/

快手SRC https://security.kuaishou.com/

金山云安全应急响应中心 https://kysrc.vulbox.com/

同程旅行安全应急响应中心 https://sec.ly.com/

理想安全应急响应中心 https://security.lixiang.com/index

乐信集团安全应急响应中心 https://lxsrc.vulbox.com/

货拉拉安全应急响应中心 https://llsrc.huolala.cn/#/home

联想集团安全应急响应中心 https://lsrc.vulbox.com/

美丽联合集团 https://security.mogu.com

陌陌安全应急响应中心 https://security.immomo.com/

小米安全中心 https://sec.xiaomi.com/

美团安全应急响应中心 https://security.meituan.com/#/home

马蜂窝安全应急响应中心 https://security.mafengwo.cn/

网易安全中心 https://aq.163.com/

你我贷安全响应中心 https://www.niwodai.com/sec/index.do

一起教育安全应急响应中心 https://security.17zuoye.com/

好未来安全应急响应中心 https://src.100tal.com/

OPPO安全应急响应中心 https://security.oppo.com/cn/

华为PSIRT https://bugbounty.huawei.com/#/home

完美世界 安全应急响应中心 http://security.wanmei.com/

平安安全应急响应中心 https://security.pingan.com/

人民教育出版社 https://pep.butian.net/

奇安信集团 https://qianxin.butian.net/

轻松筹安全应急响应中心 https://qssrc.vulbox.com/

千米安全应急响应中心 http://security.qianmi.com/

融360安全应急响应中心 https://security.rong360.com/#/

苏宁安全应急响应中心 https://security.suning.com/ssrc-web/index.jsp

安全狗漏洞响应中心 http://security.safedog.cn/index.html

水滴安全应急响应中心 https://security.shuidihuzhu.com/

顺丰安全应急响应中心 https://sfsrc.sf-express.com/

深信服 https://security.sangfor.com.cn/

上上签安全应急响应中心 https://src.bestsign.cn/

腾讯SRC https://security.tencent.com/

同盾安全应急响应中心 https://tdsrc.vulbox.com/

T3出行安全应急响应中心 https://security.t3go.cn/#/home

同程数科安全响应中心 https://securitytcjf.com/

途虎安全应急响应中心 https://security.tuhu.cn/

途牛安全应急响应中心 http://sec.tuniu.com/

UCloud安全应急响应中心 https://src.ucloud.cn/

VIPKID安全响应中心 https://security.vipkid.com.cn/

vivo安全应急响应中心 https://security.vivo.com.cn/

唯品会 https://sec.vip.com/

WiFi万能钥匙 https://sec.wifi.com/

微众银行安全响应中心 https://security.webank.com/

泛微安全应急响应中心 https://weaversrc.vulbox.com/

挖财安全应急响应中心 https://sec.wacai.com/

金山办公安全应急响应中心 https://security.wps.cn/

微博 https://wsrc.weibo.com/

享道出行安全应急响应中心 https://src.saicmobility.com/

喜马拉雅安全应急响应中心 https://security.ximalaya.com/

小赢安全应急响应中心 https://security.xiaoying.com/

知识星球安全应急响应中心 https://security.zsxq.com/

自如安全应急响应中心 https://zrsecurity.ziroom.com/

萤石安全响应中心 https://ysrc.ys7.com/#/home

有赞安全应急响应中心 https://src.youzan.com/

中通安全应急响应中心 https://sec.zto.com/home

掌门教育安全应急响应中心 https://security.zhangmen.com/

智联招聘安全应急响应中心 https://src.zhaopin.com/

众安安全应急响应中心 https://security.zhongan.com/#/

猪八戒SRC https://sec.zbj.com/文章来源地址https://www.toymoban.com/news/detail-438432.html

到了这里,关于安全应急响应中心SRC的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全应急响应(归纳)

    1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认 识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分

    2024年03月23日
    浏览(49)
  • 网络安全应急响应预案演练

    制定好的应急响应预案,只做培训还不够,还需要通过实战演 练来提高应对网络突发事件的行动力,针对网络突发事件的假想情 景,按照应急响应预案中规定的职责和程序来执行应急响应任务。 根据出现的新的网络攻击手段或其他特殊情况,不断进行预案的调 整完善。 1、

    2024年02月10日
    浏览(45)
  • 网络安全应急响应预案培训

    应急响应预案的培训是为了更好地应对网络突发状况,实施演 练计划所做的每一项工作,其培训过程主要针对应急预案涉及的相 关内容进行培训学习。做好应急预案的培训工作能使各级人员明确 自身职责,是做好应急响应工作的基础与前提。应急响应预案的培 训分为以下几

    2024年02月11日
    浏览(42)
  • Webshell 网络安全应急响应

    webshell通常指JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,是一种网页后门,攻击者入侵后,通常将后门文件网站服务器Web目录下正常的网页文件混在一起,使用浏览器或专用客户端进行连接得到了服务器操作环境,达到控制网站的目的。 常见的webshell脚本

    2024年02月12日
    浏览(44)
  • 网络安全运维-应急响应篇

    1.1 /tmp 目录 此目录下,任可用户均可读写,因此应关注此目录内容 1.2.1 /etc/init.d 系统服务目录 /etc/init.d/apache2 status #查看服务状态 apache2.service - The Apache HTTP Server      Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled)      Active: inactive (dead)        Doc

    2024年02月09日
    浏览(45)
  • 网络安全应急响应流程图

    当前,许多地区和单位已经初步建立了网络安全预警机制,实现了对一般网络安全事件的预警和处置。但是,由于网络与信息安全技术起步相对较晚,发展时间较短,与其他行业领域相比,其专项应急预案、应急保障机制和相关的技术支撑平台都还在不断发展中。各政府机构

    2024年02月05日
    浏览(44)
  • 网络安全之勒索病毒应急响应方案

    处置方法: 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。 1. 物理隔离 物理隔离常用的操作方法是断网和关机。 断网

    2024年02月06日
    浏览(41)
  • 【安全服务】应急响应1:流程、排查与分析

    目录 一、应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段 现场处置流程 二、系统排查 1、系统信息 2、用户信息 3 启动项 4 任务计划 5 其他:Windows防火墙规则  三、进程排查 1 windows 1.1 任务管理器 1.2 cmd tasklist 1.3 查看正在进行网络连接的进

    2024年02月08日
    浏览(38)
  • 网络安全应急响应典型案例集

    本文是学习网络安全应急响应典型案例集(2021). 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露分为外部泄露和内部泄露两种,外部泄露典型如攻击者通过漏洞利

    2024年02月15日
    浏览(34)
  • 网络安全应急响应工具之-流量安全取证NetworkMiner

    在前面的一些文章中,用了很多的章节介绍流量分析和捕获工具wireshark。Wireshark是一款通用的网络协议分析工具,非常强大,关于wireshark的更多介绍,请关注专栏,wireshark从入门到精通。本文将介绍一个专注于网络流量取证的工具NetworkMiner,其视角和wireshark是不同的。 Netwo

    2024年02月03日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包