安全应急响应中心SRC

安全应急响应中心SRC

目录

• 安全应急响应中心SRC
  • 一、SRC介绍
  • 二、SRC准则
  • 三、SRC评级
  • 四、SRC公告和活动
  • 五、SRC导航平台
  • 六、企业SRC平台

一、SRC介绍

​ 安全应急响应中心（SRC, Security Response Center），是企业用于对外接收来自用户发现并报告的产品安全漏洞的站点。

SRC平台

​ 报告平台是指由独立的第三方公司成立的综合性的报告平台。国内补天平台、盒子平台、火线平台等均属于该模式。外部报告者注册对应漏洞报告平台，选择对应的厂商进行报送，接着该第三方机构会发送邮件提示相关厂商确认处理。

企业SRC

​ 企业自己开发自己的安全应急响应中心，制定自己的漏洞收集以及奖金计划。目前国内已有近百家企业SRC平台，例如百度、阿里、腾讯、美团、滴滴等，均成立了自己的安全应急响应中心，对外收集并处理白帽子报送的报告。

参考资料：https://blog.51cto.com/u_13567054/4981736

二、SRC准则

每一个SRC都有自己的挖掘准则，请白帽子们仔细阅准则

以百度src为例：

测试规范:

1. 注入漏洞，只要证明可以读取数据就行，严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。

2. 越权漏洞，越权读取的时候，能读取到的真实数据不超过5组，严禁进行批量读取。

3. 帐号可注册的情况下，只允许用自己的2个帐号验证漏洞效果，不要涉及线上正常用户的帐号，越权增删改，请使用自己测试帐号进行。帐号不可注册的情况下，如果获取到该系统的账密并验证成功，如需进一步安全测试，请咨询管理员得到同意后进行测试。

4. 存储xss漏洞，正确的方法是插入不影响他人的测试payload，严禁弹窗，推荐使用console.log，再通过自己的另一个帐号进行验证，提供截图证明。对于盲打类xss，仅允许外带domain信息。所有xss测试，测试之后需删除插入数据，如不能删除，请在漏洞报告中备注插入点。

5. 如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，不要执行删除、写入命令，如果是上传的webshell，请写明shell文件地址和连接口令。

6. 在测试未限制发送短信或邮件次数等扫号类漏洞，测试成功的数量不超过50个。如果用户可以感知，例如会给用户发送登陆提醒短信，则不允许对他人真实手机号进行测试。

7. 如需要进行具有自动传播和扩散能力漏洞的测试（如社交蠕虫的测试），只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号，防止蠕虫扩散。

8. 禁止对网站后台和部分私密项目使用扫描器。

9. 除特别获准的情况下，严禁与漏洞无关的社工，严禁进行内网渗透。

10. 禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘，可与管理员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。

12. 禁止拖库、随意大量增删改他人信息，禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。

13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险，禁止保存和传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。

14. 尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于威胁、恐吓SRC要公开漏洞或数据，请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

参考资料：https://bsrc.baidu.com/v2/#/announce/127

三、SRC评级

每个漏洞都有评级，评级不同对应的积分不同，漏洞还分为核心，一般，边缘，白帽们阅读公告

以百度src为例：

根据漏洞对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【无】五 个等级。每个漏洞所得安全币数量=基础安全币*业务等级系数。由 BSRC 结合利用场景中漏洞的严重 程度、利用难度、影响范围等综合因素进行漏洞评级，并给予相应安全币，每种等级包含的评分标准 及漏洞类型如下：

业务登记系数/基础安全币	严重（135-160）	高危（45-60）	中危（8-12）	低危（1-5）	无
高（7-10）	945-160	315-600	56-120	7-50	0
中（2-6）	270-960	90-360	16-72	2-30	0
低（1）	135-160	45-60	8-12	1-5	0

参考资料：https://bj.bcebos.com/bsrc-public/2020110217152857605b75bce16b68.pdf

四、SRC公告和活动

关注各大SRC平台公众号，查看相应活动

五、SRC导航平台

企业src有很多，可以直接从导航平台找到对应的企业src平台。

src导航平台：

src导航：http://www.newsrc.cn/

安全客：https://www.anquanke.com/src

六、企业SRC平台

参考资料：https://wiki.bafangwy.com/doc/253/

天融信安全漏洞响应中心 https://src.topsec.com.cn/

统信安全应急响应中心 https://src.uniontech.com/

多点安全应急响应中心 https://src.dmall.com/

NIO蔚来安全应急响应中心 https://niosrc.bugbank.cn/

贝锐安全应急响应中心 https://security.oray.com/

旷视安全应急响应中心 https://megvii.huoxian.cn/

哈啰出行安全应急响应中心 https://src.hellobike.com/index.php

TCL安全应急响应中心 https://src.tcl.com/zh/index

Soul安全应急响应中心 https://security.soulapp.cn/

Keep 安全应急响应中心 https://keep.huoxian.cn/

Apple Security Bounty https://security.apple.com/bounty/

理想安全应急响应中心 https://security.lixiang.com/index

麦当劳中国安全应急响应中心 https://security.mcd.cn/

安恒应急响应中心 https://security.dbappsecurity.com.cn/

东方航空 https://src.ceair.com/

迅雷安全应急响应中心 https://security.xunlei.com/

得物安全应急响应中心 https://security.dewu.com/

荣耀SRC https://security.hihonor.com/src/#/

看云安全应急响应中心 https://security.kanyun.com/

银联安全应急响应中心 https://security.unionpay.com/

猎聘SRC https://security.liepin.com/

360SRC https://security.360.cn/

58SRC https://security.58.com/

阿里SRC https://security.alibaba.com/

蚂蚁集团SRC https://security.alipay.com/

阿里本地生活SRC https://asrc.alibaba.com/#/

百度SRC https://bsrc.baidu.com/views/main/index.html#home

字节跳动 https://security.bytedance.com/

贝壳安全 https://security.ke.com/

哔哩哔哩安全应急响应中心 https://security.bilibili.com/

BOSS直聘 https://src.zhipin.com/

贝宝金融安全应急响应中心 https://btcsrc.vulbox.com/

北京北森云计算SRC https://beisen.butian.net/

菜鸟安全应急响应中心 https://sec.cainiao.com/

宜信安全应急响应中心 https://security.creditease.cn/

携程安全应急响应中心 https://sec.ctrip.com/

滴滴SRC http://sec.didichuxing.com/

度小满SRC https://security.duxiaoman.com/index.html#/main

嘀嗒出行 https://dida.butian.net/

丁香园安全应急响应中心 https://dxysrc.vulbox.com/

斗鱼SRC https://security.douyu.com/

大疆安全应急响应中心 https://security.dji.com/

DHSRC 安全应急响应中心 http://dhsrc.dhgate.com/

魅族SRC https://sec.meizu.com/

东方财富安全应急响应中心 http://security.eastmoney.com/

法大大安全应急响应中心 https://sec.fadada.com

焦点SRC https://security.focuschina.com/

富友SRC https://fsrc.fuiou.com/home/index.html

瓜子安全应急响应中心 https://security.guazi.com/

华住安全响应中心 https://sec.huazhu.com/

海康威视安全应急响应中心 https://www.hikvision.com/cn/support/CybersecurityCenter/

恒昌安全应急响应中心 http://src.credithc.com/

爱奇艺安全应急响应中心 https://security.iqiyi.com/

合合安全应急响应中心 https://security.intsig.com/

平安安全应急响应中心 https://isrc.pingan.com/homePage/index

讯飞安全响应中心 https://security.iflytek.com/

竞技世界 https://security.jj.cn/

京东安全应急响应中心 https://security.jd.com/#/

酷狗安全应急响应中心 https://security.kugou.com/

快看安全应急响应中心 https://security.kuaikanmanhua.com/

快手SRC https://security.kuaishou.com/

金山云安全应急响应中心 https://kysrc.vulbox.com/

同程旅行安全应急响应中心 https://sec.ly.com/

理想安全应急响应中心 https://security.lixiang.com/index

乐信集团安全应急响应中心 https://lxsrc.vulbox.com/

货拉拉安全应急响应中心 https://llsrc.huolala.cn/#/home

联想集团安全应急响应中心 https://lsrc.vulbox.com/

美丽联合集团 https://security.mogu.com

陌陌安全应急响应中心 https://security.immomo.com/

小米安全中心 https://sec.xiaomi.com/

美团安全应急响应中心 https://security.meituan.com/#/home

马蜂窝安全应急响应中心 https://security.mafengwo.cn/

网易安全中心 https://aq.163.com/

你我贷安全响应中心 https://www.niwodai.com/sec/index.do

一起教育安全应急响应中心 https://security.17zuoye.com/

好未来安全应急响应中心 https://src.100tal.com/

OPPO安全应急响应中心 https://security.oppo.com/cn/

华为PSIRT https://bugbounty.huawei.com/#/home

完美世界 安全应急响应中心 http://security.wanmei.com/

平安安全应急响应中心 https://security.pingan.com/

人民教育出版社 https://pep.butian.net/

奇安信集团 https://qianxin.butian.net/

轻松筹安全应急响应中心 https://qssrc.vulbox.com/

千米安全应急响应中心 http://security.qianmi.com/

融360安全应急响应中心 https://security.rong360.com/#/

苏宁安全应急响应中心 https://security.suning.com/ssrc-web/index.jsp

安全狗漏洞响应中心 http://security.safedog.cn/index.html

水滴安全应急响应中心 https://security.shuidihuzhu.com/

顺丰安全应急响应中心 https://sfsrc.sf-express.com/

深信服 https://security.sangfor.com.cn/

上上签安全应急响应中心 https://src.bestsign.cn/

腾讯SRC https://security.tencent.com/

同盾安全应急响应中心 https://tdsrc.vulbox.com/

T3出行安全应急响应中心 https://security.t3go.cn/#/home

同程数科安全响应中心 https://securitytcjf.com/

途虎安全应急响应中心 https://security.tuhu.cn/

途牛安全应急响应中心 http://sec.tuniu.com/

UCloud安全应急响应中心 https://src.ucloud.cn/

VIPKID安全响应中心 https://security.vipkid.com.cn/

vivo安全应急响应中心 https://security.vivo.com.cn/

唯品会 https://sec.vip.com/

WiFi万能钥匙 https://sec.wifi.com/

微众银行安全响应中心 https://security.webank.com/

泛微安全应急响应中心 https://weaversrc.vulbox.com/

挖财安全应急响应中心 https://sec.wacai.com/

金山办公安全应急响应中心 https://security.wps.cn/

微博 https://wsrc.weibo.com/

享道出行安全应急响应中心 https://src.saicmobility.com/

喜马拉雅安全应急响应中心 https://security.ximalaya.com/

小赢安全应急响应中心 https://security.xiaoying.com/

知识星球安全应急响应中心 https://security.zsxq.com/

自如安全应急响应中心 https://zrsecurity.ziroom.com/

萤石安全响应中心 https://ysrc.ys7.com/#/home

有赞安全应急响应中心 https://src.youzan.com/

中通安全应急响应中心 https://sec.zto.com/home

掌门教育安全应急响应中心 https://security.zhangmen.com/

智联招聘安全应急响应中心 https://src.zhaopin.com/

众安安全应急响应中心 https://security.zhongan.com/#/

猪八戒SRC https://sec.zbj.com/