安全应急响应中心SRC

安全应急响应中心SRC


目录

• 安全应急响应中心SRC
  
  
  
  • 一、SRC介绍
    
  • 二、SRC准则
    
  • 三、SRC评级
    
  • 四、SRC公告和活动
    
  • 五、SRC导航平台
    
  • 六、企业SRC平台
    
  
  

一、SRC介绍

​                安全应急响应中心（SRC, Security Response Center），是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。
SRC平台
​                报告平台是指由独立的第三方公司成立的综合性的报告平台。国内补天平台、盒子平台、火线平台等均属于该模式。外部报告者注册对应漏洞报告平台，选择对应的厂商进行报送，接着该第三方机构会发送邮件提示相关厂商确认处理。
企业SRC
​                企业自己开发自己的安全应急响应中心，制定自己的漏洞收集以及奖金计划。目前国内已有近百家企业SRC平台，例如百度、阿里、腾讯、美团、滴滴等，均成立了自己的安全应急响应中心，对外收集并处理白帽子报送的报告。
参考资料：https://blog.51cto.com/u_13567054/4981736
二、SRC准则

每一个SRC都有自己的挖掘准则，请白帽子们仔细阅准则
以百度src为例：
测试规范:

• 注入漏洞，只要证明可以读取数据就行，严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。
  
• 越权漏洞，越权读取的时候，能读取到的真实数据不超过5组，严禁进行批量读取。
  
• 帐号可注册的情况下，只允许用自己的2个帐号验证漏洞效果，不要涉及线上正常用户的帐号，越权增删改，请使用自己测试帐号进行。帐号不可注册的情况下，如果获取到该系统的账密并验证成功，如需进一步安全测试，请咨询管理员得到同意后进行测试。
  
• 存储xss漏洞，正确的方法是插入不影响他人的测试payload，严禁弹窗，推荐使用console.log，再通过自己的另一个帐号进行验证，提供截图证明。对于盲打类xss，仅允许外带domain信息。所有xss测试，测试之后需删除插入数据，如不能删除，请在漏洞报告中备注插入点。
  
• 如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，不要执行删除、写入命令，如果是上传的webshell，请写明shell文件地址和连接口令。
  
• 在测试未限制发送短信或邮件次数等扫号类漏洞，测试成功的数量不超过50个。如果用户可以感知，例如会给用户发送登陆提醒短信，则不允许对他人真实手机号进行测试。
  
• 如需要进行具有自动传播和扩散能力漏洞的测试（如社交蠕虫的测试），只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号，防止蠕虫扩散。
  
• 禁止对网站后台和部分私密项目使用扫描器。
  
• 除特别获准的情况下，严禁与漏洞无关的社工，严禁进行内网渗透。
  
• 禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
  
• 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘，可与管理员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。
  
• 禁止拖库、随意大量增删改他人信息，禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。
  
• 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险，禁止保存和传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。
  
• 尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于威胁、恐吓SRC要公开漏洞或数据，请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。
  

参考资料：https://bsrc.baidu.com/v2/#/announce/127
三、SRC评级

每个漏洞都有评级，评级不同对应的积分不同，漏洞还分为核心，一般，边缘，白帽们阅读公告
以百度src为例：
根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五 个等级。每个漏洞所得安全币数量=基础安全币*业务等级系数。由 BSRC 结合利用场景中漏洞的严重 程度、利用难度、影响范围等综合因素进行漏洞评级，并给予相应安全币，每种等级包含的评分标准 及漏洞类型如下：
业务登记系数/基础安全币严重（135-160）高危（45-60）中危（8-12）低危（1-5）无高（7-10）945-160315-60056-1207-500中（2-6）270-96090-36016-722-300低（1）135-16045-608-121-50参考资料：https://bj.bcebos.com/bsrc-public/2020110217152857605b75bce16b68.pdf
四、SRC公告和活动

关注各大SRC平台公众号，查看相应活动
五、SRC导航平台

企业src有很多，可以直接从导航平台找到对应的企业src平台。
src导航平台：
src导航：http://www.newsrc.cn/
安全客：https://www.anquanke.com/src
六、企业SRC平台

参考资料：https://wiki.bafangwy.com/doc/253/
天融信安全漏洞响应中心 https://src.topsec.com.cn/
统信安全应急响应中心 https://src.uniontech.com/
多点安全应急响应中心 https://src.dmall.com/
NIO蔚来安全应急响应中心 https://niosrc.bugbank.cn/
贝锐安全应急响应中心 https://security.oray.com/
旷视安全应急响应中心 https://megvii.huoxian.cn/
哈啰出行安全应急响应中心 https://src.hellobike.com/index.php
TCL安全应急响应中心 https://src.tcl.com/zh/index
Soul安全应急响应中心 https://security.soulapp.cn/
Keep 安全应急响应中心 https://keep.huoxian.cn/
Apple Security Bounty https://security.apple.com/bounty/
理想安全应急响应中心 https://security.lixiang.com/index
麦当劳中国安全应急响应中心 https://security.mcd.cn/
安恒应急响应中心 https://security.dbappsecurity.com.cn/
东方航空 https://src.ceair.com/
迅雷安全应急响应中心 https://security.xunlei.com/
得物安全应急响应中心 https://security.dewu.com/
荣耀SRC https://security.hihonor.com/src/#/
看云安全应急响应中心 https://security.kanyun.com/
银联安全应急响应中心 https://security.unionpay.com/
猎聘SRC https://security.liepin.com/
360SRC https://security.360.cn/
58SRC https://security.58.com/
阿里SRC https://security.alibaba.com/
蚂蚁集团SRC https://security.alipay.com/
阿里本地生活SRC https://asrc.alibaba.com/#/
百度SRC https://bsrc.baidu.com/views/main/index.html#home
字节跳动 https://security.bytedance.com/
贝壳安全 https://security.ke.com/
哔哩哔哩安全应急响应中心 https://security.bilibili.com/
BOSS直聘 https://src.zhipin.com/
贝宝金融安全应急响应中心 https://btcsrc.vulbox.com/
北京北森云计算SRC https://beisen.butian.net/
菜鸟安全应急响应中心 https://sec.cainiao.com/
宜信安全应急响应中心 https://security.creditease.cn/
携程安全应急响应中心 https://sec.ctrip.com/
滴滴SRC http://sec.didichuxing.com/
度小满SRC https://security.duxiaoman.com/index.html#/main
嘀嗒出行 https://dida.butian.net/
丁香园安全应急响应中心 https://dxysrc.vulbox.com/
斗鱼SRC https://security.douyu.com/
大疆安全应急响应中心 https://security.dji.com/
DHSRC 安全应急响应中心 http://dhsrc.dhgate.com/
魅族SRC https://sec.meizu.com/
东方财富安全应急响应中心 http://security.eastmoney.com/
法大大安全应急响应中心 https://sec.fadada.com
焦点SRC https://security.focuschina.com/
富友SRC https://fsrc.fuiou.com/home/index.html
瓜子安全应急响应中心 https://security.guazi.com/
华住安全响应中心 https://sec.huazhu.com/
海康威视安全应急响应中心 https://www.hikvision.com/cn/support/CybersecurityCenter/
恒昌安全应急响应中心 http://src.credithc.com/
爱奇艺安全应急响应中心 https://security.iqiyi.com/
合合安全应急响应中心 https://security.intsig.com/
平安安全应急响应中心 https://isrc.pingan.com/homePage/index
讯飞安全响应中心 https://security.iflytek.com/
竞技世界 https://security.jj.cn/
京东安全应急响应中心 https://security.jd.com/#/
酷狗安全应急响应中心 https://security.kugou.com/
快看安全应急响应中心 https://security.kuaikanmanhua.com/
快手SRC https://security.kuaishou.com/
金山云安全应急响应中心 https://kysrc.vulbox.com/
同程旅行安全应急响应中心 https://sec.ly.com/
理想安全应急响应中心 https://security.lixiang.com/index
乐信集团安全应急响应中心 https://lxsrc.vulbox.com/
货拉拉安全应急响应中心 https://llsrc.huolala.cn/#/home
联想集团安全应急响应中心 https://lsrc.vulbox.com/
美丽联合集团 https://security.mogu.com
陌陌安全应急响应中心 https://security.immomo.com/
小米安全中心 https://sec.xiaomi.com/
美团安全应急响应中心 https://security.meituan.com/#/home
马蜂窝安全应急响应中心 https://security.mafengwo.cn/
网易安全中心 https://aq.163.com/
你我贷安全响应中心 https://www.niwodai.com/sec/index.do
一起教育安全应急响应中心 https://security.17zuoye.com/
好未来安全应急响应中心 https://src.100tal.com/
OPPO安全应急响应中心 https://security.oppo.com/cn/
华为PSIRT https://bugbounty.huawei.com/#/home
完美世界 安全应急响应中心 http://security.wanmei.com/
平安安全应急响应中心 https://security.pingan.com/
人民教育出版社 https://pep.butian.net/
奇安信集团 https://qianxin.butian.net/
轻松筹安全应急响应中心 https://qssrc.vulbox.com/
千米安全应急响应中心 http://security.qianmi.com/
融360安全应急响应中心 https://security.rong360.com/#/
苏宁安全应急响应中心 https://security.suning.com/ssrc-web/index.jsp
安全狗漏洞响应中心 http://security.safedog.cn/index.html
水滴安全应急响应中心 https://security.shuidihuzhu.com/
顺丰安全应急响应中心 https://sfsrc.sf-express.com/
深信服 https://security.sangfor.com.cn/
上上签安全应急响应中心 https://src.bestsign.cn/
腾讯SRC https://security.tencent.com/
同盾安全应急响应中心 https://tdsrc.vulbox.com/
T3出行安全应急响应中心 https://security.t3go.cn/#/home
同程数科安全响应中心 https://securitytcjf.com/
途虎安全应急响应中心 https://security.tuhu.cn/
途牛安全应急响应中心 http://sec.tuniu.com/
UCloud安全应急响应中心 https://src.ucloud.cn/
VIPKID安全响应中心 https://security.vipkid.com.cn/
vivo安全应急响应中心 https://security.vivo.com.cn/
唯品会 https://sec.vip.com/
WiFi万能钥匙 https://sec.wifi.com/
微众银行安全响应中心 https://security.webank.com/
泛微安全应急响应中心 https://weaversrc.vulbox.com/
挖财安全应急响应中心 https://sec.wacai.com/
金山办公安全应急响应中心 https://security.wps.cn/
微博 https://wsrc.weibo.com/
享道出行安全应急响应中心 https://src.saicmobility.com/
喜马拉雅安全应急响应中心 https://security.ximalaya.com/
小赢安全应急响应中心 https://security.xiaoying.com/
知识星球安全应急响应中心 https://security.zsxq.com/
自如安全应急响应中心 https://zrsecurity.ziroom.com/
萤石安全响应中心 https://ysrc.ys7.com/#/home
有赞安全应急响应中心 https://src.youzan.com/
中通安全应急响应中心 https://sec.zto.com/home
掌门教育安全应急响应中心 https://security.zhangmen.com/
智联招聘安全应急响应中心 https://src.zhaopin.com/
众安安全应急响应中心 https://security.zhongan.com/#/
猪八戒SRC https://sec.zbj.com/

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！