安全应急响应中心SRC
-
安全应急响应中心SRC
- 一、SRC介绍
- 二、SRC准则
- 三、SRC评级
- 四、SRC公告和活动
- 五、SRC导航平台
- 六、企业SRC平台
一、SRC介绍
安全应急响应中心(SRC, Security Response Center),是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。
SRC平台
报告平台是指由独立的第三方公司成立的综合性的报告平台。国内补天平台、盒子平台、火线平台等均属于该模式。外部报告者注册对应漏洞报告平台,选择对应的厂商进行报送,接着该第三方机构会发送邮件提示相关厂商确认处理。
企业SRC
企业自己开发自己的安全应急响应中心,制定自己的漏洞收集以及奖金计划。目前国内已有近百家企业SRC平台,例如百度、阿里、腾讯、美团、滴滴等,均成立了自己的安全应急响应中心,对外收集并处理白帽子报送的报告。
参考资料:https://blog.51cto.com/u_13567054/4981736
二、SRC准则
每一个SRC都有自己的挖掘准则,请白帽子们仔细阅准则
以百度src为例:
测试规范:
-
注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
-
越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。
-
帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
-
存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
-
如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。
-
在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
-
如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
-
禁止对网站后台和部分私密项目使用扫描器。
-
除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
-
禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
-
请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。
-
禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。
-
敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
-
尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。
参考资料:https://bsrc.baidu.com/v2/#/announce/127
三、SRC评级
每个漏洞都有评级,评级不同对应的积分不同,漏洞还分为核心,一般,边缘,白帽们阅读公告
以百度src为例:
根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五 个等级。每个漏洞所得安全币数量=基础安全币*业务等级系数。由 BSRC 结合利用场景中漏洞的严重 程度、利用难度、影响范围等综合因素进行漏洞评级,并给予相应安全币,每种等级包含的评分标准 及漏洞类型如下:
业务登记系数/基础安全币 | 严重(135-160) | 高危(45-60) | 中危(8-12) | 低危(1-5) | 无 |
---|---|---|---|---|---|
高(7-10) | 945-160 | 315-600 | 56-120 | 7-50 | 0 |
中(2-6) | 270-960 | 90-360 | 16-72 | 2-30 | 0 |
低(1) | 135-160 | 45-60 | 8-12 | 1-5 | 0 |
参考资料:https://bj.bcebos.com/bsrc-public/2020110217152857605b75bce16b68.pdf
四、SRC公告和活动
关注各大SRC平台公众号,查看相应活动
五、SRC导航平台
企业src有很多,可以直接从导航平台找到对应的企业src平台。
src导航平台:
src导航:http://www.newsrc.cn/
安全客:https://www.anquanke.com/src
六、企业SRC平台
参考资料:https://wiki.bafangwy.com/doc/253/
天融信安全漏洞响应中心 https://src.topsec.com.cn/
统信安全应急响应中心 https://src.uniontech.com/
多点安全应急响应中心 https://src.dmall.com/
NIO蔚来安全应急响应中心 https://niosrc.bugbank.cn/
贝锐安全应急响应中心 https://security.oray.com/
旷视安全应急响应中心 https://megvii.huoxian.cn/
哈啰出行安全应急响应中心 https://src.hellobike.com/index.php
TCL安全应急响应中心 https://src.tcl.com/zh/index
Soul安全应急响应中心 https://security.soulapp.cn/
Keep 安全应急响应中心 https://keep.huoxian.cn/
Apple Security Bounty https://security.apple.com/bounty/
理想安全应急响应中心 https://security.lixiang.com/index
麦当劳中国安全应急响应中心 https://security.mcd.cn/
安恒应急响应中心 https://security.dbappsecurity.com.cn/
东方航空 https://src.ceair.com/
迅雷安全应急响应中心 https://security.xunlei.com/
得物安全应急响应中心 https://security.dewu.com/
荣耀SRC https://security.hihonor.com/src/#/
看云安全应急响应中心 https://security.kanyun.com/
银联安全应急响应中心 https://security.unionpay.com/
猎聘SRC https://security.liepin.com/
360SRC https://security.360.cn/
58SRC https://security.58.com/
阿里SRC https://security.alibaba.com/
蚂蚁集团SRC https://security.alipay.com/
阿里本地生活SRC https://asrc.alibaba.com/#/
百度SRC https://bsrc.baidu.com/views/main/index.html#home
字节跳动 https://security.bytedance.com/
贝壳安全 https://security.ke.com/
哔哩哔哩安全应急响应中心 https://security.bilibili.com/
BOSS直聘 https://src.zhipin.com/
贝宝金融安全应急响应中心 https://btcsrc.vulbox.com/
北京北森云计算SRC https://beisen.butian.net/
菜鸟安全应急响应中心 https://sec.cainiao.com/
宜信安全应急响应中心 https://security.creditease.cn/
携程安全应急响应中心 https://sec.ctrip.com/
滴滴SRC http://sec.didichuxing.com/
度小满SRC https://security.duxiaoman.com/index.html#/main
嘀嗒出行 https://dida.butian.net/
丁香园安全应急响应中心 https://dxysrc.vulbox.com/
斗鱼SRC https://security.douyu.com/
大疆安全应急响应中心 https://security.dji.com/
DHSRC 安全应急响应中心 http://dhsrc.dhgate.com/
魅族SRC https://sec.meizu.com/
东方财富安全应急响应中心 http://security.eastmoney.com/
法大大安全应急响应中心 https://sec.fadada.com
焦点SRC https://security.focuschina.com/
富友SRC https://fsrc.fuiou.com/home/index.html
瓜子安全应急响应中心 https://security.guazi.com/
华住安全响应中心 https://sec.huazhu.com/
海康威视安全应急响应中心 https://www.hikvision.com/cn/support/CybersecurityCenter/
恒昌安全应急响应中心 http://src.credithc.com/
爱奇艺安全应急响应中心 https://security.iqiyi.com/
合合安全应急响应中心 https://security.intsig.com/
平安安全应急响应中心 https://isrc.pingan.com/homePage/index
讯飞安全响应中心 https://security.iflytek.com/
竞技世界 https://security.jj.cn/
京东安全应急响应中心 https://security.jd.com/#/
酷狗安全应急响应中心 https://security.kugou.com/
快看安全应急响应中心 https://security.kuaikanmanhua.com/
快手SRC https://security.kuaishou.com/
金山云安全应急响应中心 https://kysrc.vulbox.com/
同程旅行安全应急响应中心 https://sec.ly.com/
理想安全应急响应中心 https://security.lixiang.com/index
乐信集团安全应急响应中心 https://lxsrc.vulbox.com/
货拉拉安全应急响应中心 https://llsrc.huolala.cn/#/home
联想集团安全应急响应中心 https://lsrc.vulbox.com/
美丽联合集团 https://security.mogu.com
陌陌安全应急响应中心 https://security.immomo.com/
小米安全中心 https://sec.xiaomi.com/
美团安全应急响应中心 https://security.meituan.com/#/home
马蜂窝安全应急响应中心 https://security.mafengwo.cn/
网易安全中心 https://aq.163.com/
你我贷安全响应中心 https://www.niwodai.com/sec/index.do
一起教育安全应急响应中心 https://security.17zuoye.com/
好未来安全应急响应中心 https://src.100tal.com/
OPPO安全应急响应中心 https://security.oppo.com/cn/
华为PSIRT https://bugbounty.huawei.com/#/home
完美世界 安全应急响应中心 http://security.wanmei.com/
平安安全应急响应中心 https://security.pingan.com/
人民教育出版社 https://pep.butian.net/
奇安信集团 https://qianxin.butian.net/
轻松筹安全应急响应中心 https://qssrc.vulbox.com/
千米安全应急响应中心 http://security.qianmi.com/
融360安全应急响应中心 https://security.rong360.com/#/
苏宁安全应急响应中心 https://security.suning.com/ssrc-web/index.jsp
安全狗漏洞响应中心 http://security.safedog.cn/index.html
水滴安全应急响应中心 https://security.shuidihuzhu.com/
顺丰安全应急响应中心 https://sfsrc.sf-express.com/
深信服 https://security.sangfor.com.cn/
上上签安全应急响应中心 https://src.bestsign.cn/
腾讯SRC https://security.tencent.com/
同盾安全应急响应中心 https://tdsrc.vulbox.com/
T3出行安全应急响应中心 https://security.t3go.cn/#/home
同程数科安全响应中心 https://securitytcjf.com/
途虎安全应急响应中心 https://security.tuhu.cn/
途牛安全应急响应中心 http://sec.tuniu.com/
UCloud安全应急响应中心 https://src.ucloud.cn/
VIPKID安全响应中心 https://security.vipkid.com.cn/
vivo安全应急响应中心 https://security.vivo.com.cn/
唯品会 https://sec.vip.com/
WiFi万能钥匙 https://sec.wifi.com/
微众银行安全响应中心 https://security.webank.com/
泛微安全应急响应中心 https://weaversrc.vulbox.com/
挖财安全应急响应中心 https://sec.wacai.com/
金山办公安全应急响应中心 https://security.wps.cn/
微博 https://wsrc.weibo.com/
享道出行安全应急响应中心 https://src.saicmobility.com/
喜马拉雅安全应急响应中心 https://security.ximalaya.com/
小赢安全应急响应中心 https://security.xiaoying.com/
知识星球安全应急响应中心 https://security.zsxq.com/
自如安全应急响应中心 https://zrsecurity.ziroom.com/
萤石安全响应中心 https://ysrc.ys7.com/#/home
有赞安全应急响应中心 https://src.youzan.com/
中通安全应急响应中心 https://sec.zto.com/home
掌门教育安全应急响应中心 https://security.zhangmen.com/
智联招聘安全应急响应中心 https://src.zhaopin.com/
众安安全应急响应中心 https://security.zhongan.com/#/文章来源:https://www.toymoban.com/news/detail-438432.html
猪八戒SRC https://sec.zbj.com/文章来源地址https://www.toymoban.com/news/detail-438432.html
到了这里,关于安全应急响应中心SRC的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!