SRC
一:SRC概念介绍
SRC( Security Response Center)安全应急响应中心,是企业用于对外接收来自用户/白帽发现并报告相关安全产品安全缺陷的站点,换句话说就是连接白帽子和企业的平台。同时也可以看成一个”资源置换平台“,白帽用自己的技术合法的向企业提交漏洞,企业给予相应的赏金。相对于企业组织内部技术人员进行渗透测试,SRC更像是发起一场“人民的战争”。
目前国内有两种漏洞平台,一种是缺陷报告平台,另一种就是xSRC平台。
缺陷报告平台:又称漏洞报告平台,是指由独立的第三方公司或机构成立综合性的“安全应急响应中心”。国内补天平台、漏洞盒子平台,以及据此衍生的Sobug众测平台等均属于该模式。外部报告者注册对应漏洞报告平台选择对应的厂商进行报送,接着该第三方机构会发送邮件提示相关厂商确认处理。这种方法的缺陷十分明显,厂商的历史漏洞信息完全暴露给第三方机构,报告中涉及的企业内部大量敏感信息因此外泄丧失私密性。
xSRC平台:又称企业SRC平台,即企业自行开发、运营的安全应急响应中心,制定自己的漏洞收集和披露计划。目前国内知名的有腾讯SRC、阿里巴巴SRC、百度SRC、深信服SRC、奇安信SRC、字节跳动SRC等,对外收集并处理白帽等报送的漏洞报告。该平台模式相对于独立于企业的第三方机构,企业在漏洞的收集和披露过程中完全掌控了主动性,拥有良好的私密性和可定制性。
二:SRC反馈及处理流程
三:SRC具体平台介绍
缺陷报告平台:(包括但不限于,持续更新中)
|
CNNVD |
https://www,cnnvd.org.cn |
|
CNVD |
https://www.cnvd.org.cn |
|
CICSVD |
http://cstis.cn |
|
补天 |
https://www.butian.net |
|
漏洞盒子 |
https://www,vulbox.com |
|
火线安全平台 |
http://huoxian.club |
|
EDUSRC |
https://src.edu-info.edu.cn |
xSRC平台:(包括但不限于,持续更新中)
A:
|
阿里巴巴 |
https://security.alibaba.com |
|
阿里云先知 |
|
|
安恒 |
|
|
爱奇艺 |
|
|
安全狗 |
http://security.safedog.cn |
B:
|
百度 |
|
|
BOSS直聘 |
|
|
哔哩哔哩 |
|
|
贝壳 |
|
C:
|
菜鸟 |
|
D:
|
滴滴出行 |
|
|
点融网 |
http://security.dianrong.com |
|
东方财富 |
http://security.eastmoney.com |
|
斗鱼 |
https://security.douyu.com |
|
大疆 |
https://security.dji.com |
|
斗米 |
https://security.doumi.com |
|
度小满 |
|
|
Dhgate |
|
E:
|
饿了么 |
https://security.ele.me |
|
263 |
https://www.263.net/263/helpcenter/security |
F:
|
法大大 |
https://sec.fadada.com |
|
富友 |
https://fsrc.fuiou.com |
G:
|
瓜子 |
|
H:
|
华为 |
|
|
恒昌 |
http://src.credithc.com |
|
欢聚时代 |
|
|
货拉拉 |
|
|
好未来 |
https://src.100tal.com |
|
合合 |
|
|
华住 |
|
|
火线 |
|
J:
|
金山办公 |
|
|
金山云 |
|
|
京东 |
|
|
焦点 |
|
|
竞技世界 |
|
K:
|
酷狗 |
|
|
快手 |
|
|
旷世 |
|
L:
|
联想 |
|
|
理想 |
|
|
猎聘 |
|
M:
|
蚂蚁集团 |
|
|
美团 |
|
|
魅族 |
|
|
陌陌 |
|
|
美丽联合 |
|
|
马蜂窝 |
|
N:
|
你我贷 |
https://www.niwodai.com
|
O:
|
OPPO |
|
P:
|
平安 |
https://security.pingan.com |
|
拍拍贷 |
http://sec.ppdai.com |
Q:
|
去哪儿 |
|
|
千米 |
|
R:
|
融360 |
|
S:
|
深信服 |
|
|
360 |
|
|
Soul |
|
|
顺丰 |
|
|
苏宁 |
|
|
水滴安全 |
|
|
世纪佳缘 |
|
T:
|
腾讯 |
|
|
T3出行 |
|
|
TCL |
|
|
同程旅行 |
|
|
同程数科 |
|
|
统信 |
|
|
途虎 |
|
|
途牛 |
|
|
同舟共测 |
|
U:
|
UCloud |
|
V:
|
VIVO |
|
|
VIPKID |
|
W:
|
网易 |
|
|
微博 |
|
|
微众 |
|
|
完美世界 |
http://security.wanmei.com |
|
唯品会 |
|
|
58 |
|
|
WIFI万能钥匙 |
|
|
挖财 |
|
|
伍林堂 |
|
X:
|
小米 |
|
|
携程 |
|
|
讯飞 |
|
|
喜马拉雅 |
|
|
新浪 |
|
|
小赢 |
|
|
享道出行 |
|
Y:
|
银联 |
|
|
萤石 |
|
|
有赞 |
|
|
一加 |
|
|
易宠 |
|
|
宜信 |
|
|
一起教育 |
|
Z:
|
猪八戒网 |
https://sec.zbj.com |
|
中通 |
https://sec.zto.com |
四:SRC行业安全测试规范
【参与标准制定组织/企业:腾讯SRC、蚂蚁金服SRC、ASRC、阿里云先知、百度SRC、本地生活SRC、菜鸟SRC、滴滴SRC、京东SRC、LYSRC、蘑菇街SRC、陌陌SRC、360SRC、苏宁SRC、同舟共测-企业安全响应联盟、唯品会SRC、微博SRC、VIPKIDSRC、网易SRC、WiFi万能钥匙SRC、完美世界SRC、小米SRC等】
(1):测试规范主要内容
1. 注入漏洞,只要证明可以读取数据就行,严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型,不允许使用自动化工具进行测试。
2. 越权漏洞,越权读取的时候,能读取到的真实数据不超过5组,严禁进行批量读取。
3. 帐号可注册的情况下,只允许用自己的2个帐号验证漏洞效果,不要涉及线上正常用户的帐号,越权增删改,请使用自己测试帐号进行。帐号不可注册的情况下,如果获取到该系统的账密并验证成功,如需进一步安全测试,请咨询管理员得到同意后进行测试。
4. 存储xss漏洞,正确的方法是插入不影响他人的测试payload,严禁弹窗,推荐使用console.log,再通过自己的另一个帐号进行验证,提供截图证明。对于盲打类xss,仅允许外带domain信息。所有xss测试,测试之后需删除插入数据,如不能删除,请在漏洞报告中备注插入点。
5. 如果可以shell或者命令执行的,推荐上传一个文本证明,如纯文本的1.php、1.jsp等证明问题存在即可,禁止下载和读取服务器上任何源代码文件和敏感文件,不要执行删除、写入命令,如果是上传的webshell,请写明shell文件地址和连接口令。
6. 在测试未限制发送短信或邮件次数等扫号类漏洞,测试成功的数量不超过50个。如果用户可以感知,例如会给用户发送登陆提醒短信,则不允许对他人真实手机号进行测试。
7. 如需要进行具有自动传播和扩散能力漏洞的测试(如社交蠕虫的测试),只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号,防止蠕虫扩散。
8. 禁止对网站后台和部分私密项目使用扫描器。
9. 除特别获准的情况下,严禁与漏洞无关的社工,严禁进行内网渗透。
10. 禁止进行可能引起业务异常运行的测试,例如:IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。
11. 请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘,可与管理员联系确认是否属于资产范围后进行挖掘,否则未授权的法律风险将由漏洞挖掘者自己承担。
12. 禁止拖库、随意大量增删改他人信息,禁止可对服务稳定性造成影响的扫描、使用将漏洞进行黑灰产行为等恶意行为。
13. 敏感信息的泄漏会对用户、厂商及上报者都产生较大风险,禁止保存和传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等,若存在不知情的下载行为,需及时说明和删除。
14.尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口,利用安全漏洞进行破坏、损害用户利益的行为,包括但不限于威胁、恐吓SRC要公开漏洞或数据,请不要在任何情况下泄露漏洞测试过程中所获知的任何信息,漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。
(2):SRC安全测试其他规范内容
1.仅可针对测试企业的相关产品开展安全测试,同时,安全测试需要遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及相关法律法规的规定,采取合法、正当的方式,不得侵犯任何第三方合法权益。
2.不得利用计算机病毒、网络攻击、网络侵入、干扰测试企业网络正常功能、窃取网络数据等危害网络安全行为的技术措施(包括但不限于程序、工具)开展安全测试,如上传恶意文件及木马、增删改其他用户个人数据、添加后门账号/权限、扫描攻击内网等渗透行为,不得对国家安全、国计民生、公共利益的关键信息基础设施产生任何危害。
3. 在开展安全测试时不得窃取或者以其他非法方式获取任何测试企业或者其他第三方的商业信息(包括但不限于源代码、运营数据、用户资料等)、个人信息,不得非法出售或者非法向他人提供测试企业或者其他第三方的商业信息、个人信息。
4.禁止进行内网渗透测试行为,例如:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据等。
5.禁止进行近源攻击或者黑客物理入侵、社会工程学测试或邮件钓鱼等非技术漏洞测试,尤其是禁止使用社工库等非法手段获取用户密码。
7.针对业务线专测:专测开始前需和运营报备即将使用的C2的IP地址,未及时报备将视为未授权攻击行为。禁止盗用、借用、售卖测试账号,不得擅自修改账号密码、换绑手机号、添加子账号等;禁止利用测试账号对专测范围外的产品和业务测试;测试账号仅限专测时间内使用。
8. 未经测试企业授权,不得向任何第三方公开漏洞或提供任何与测试企业产品有关的安全情报。
(3):总结
挖洞万般好,合法要记牢;触线一时爽,牢底定坐穿。
五:漏洞评级准则
(1)漏洞评级准则
1:严重漏洞
(1)直接获取核心系统权限(服务器端权限、客户端权限)的漏洞,包括但不限于:远程命令执行漏洞、任意代码执行漏洞、SQL 注入获取系统可执行权限、缓冲区溢出等。
(2) 泄露大量核心敏感数据的漏洞,包括但不限于:核心DB的SQL注入漏洞、用户敏感信息接口越权导致的大范围泄露(大量机密信息泄露如密码、私钥、个人隐私信息泄露等)。
(3)核心系统的严重逻辑设计缺陷或流程缺陷,包括但不限于批量修改任意账号密码漏洞、任意账号登陆、支付系统逻辑漏洞
(4)客户端大量敏感信息泄露的漏洞,包括但不限于远程获取用户大量敏感信息、本地越权访问TEE保护的支付相关或者用户认证相关信息、TEE任意代码执行(高权限)
(5)设备端安全机制绕过,包括但不限于绕过SELinux
(6)远程系统级永久性拒绝服务攻击
(7)无需用户交互或简单用户交互的远程代码任意执行、远程任意文件读写
(8).设计缺陷导致未经授权的跨租户数据篡改和访问。
(9)虚拟机逃逸获取宿主机的权限。
(10)漏洞的组合、弱口令等方式,导致渗透进入内网并获取核心业务控制权限。
(11)严重的逻辑设计缺陷或流程缺陷,导致关键业务的篡改。
2:高危漏洞
(1)客户端远程永久性拒绝服务
(2)本地任意文件读写、打开非导出组件、本地代码执行
(3)越权敏感操作,导致未经授权的修改用户关键业务、重要信息、关键业务的配置信息、以及大量用户信息泄露等。
(4)关键页面的CSRF、存储型XSS、存储型XSS可导致蠕虫导致影响大量用户的漏洞等。
(5)XXE等未经授权的系统文件访问漏洞等。
(6)严重业务逻辑缺陷导致身份认证绕过。
(7)设计缺陷导致内部服务越权访问,如SSRF。
(8)账号被劫持导致漏洞等。
3:中危漏洞
(1)需要用户交互导致获取用户敏感信息(反射型XSS、反射型 DOM-XSS、一般页面的存储型XSS)等。
(2)一般信息泄露如用户订单、交易信息等导致漏洞以及普通信息泄露,包括但不限于包含敏感信息的完整源代码泄露、无信息回显的SSRF漏洞。
(3)如Session固定、Session可预测等身份仿冒导致漏洞。
(4)目录遍历等导致普通信息泄露。
(5)安全控制绕过产生大量垃圾数据以及设备端保护功能绕过。
(6)普通越权操作,非关键业务篡改,影响有限,包括不限于仿冒管理员身份发布虚假消息等。
(7)普通的逻辑设计缺陷和流程缺陷导致漏洞等。
(8)由于账号管理不当,造成非核心业务(包括但不限于测试业务等)的滥用、篡改等。
(9)客户端远程临时性拒绝服务,或直接导致业务拒绝服务的漏洞。包括但不仅限于网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。
(10)本地数据库注入(可造成信息泄漏或其他危害的)
4:低危漏洞
(1)轻微信息泄露漏洞, 包括但不仅限于路径信息泄漏、SVN信息泄漏、PHPinfo、.git文件泄露、Django Debug、服务端业务日志内容、异常信息泄露,日志打印、配置信息、异常信息等从而导致漏洞;
(2)频控缺陷漏洞,包括但不限于短信炸弹、用户账户密码暴力破解
(3)可用于钓鱼或黑产的漏洞,包括但不限于任意URL跳转、反射型XSS漏洞
(4)容易被利用的或产生较大影响的客户端不安全配置漏洞
(5)参数过滤不严格导致不安全的URL跳转,可被用于发起钓鱼攻击,挂马等。
(6)账号批量枚举导致漏洞。
(7)轻微信息泄漏。
(8)包括但不仅限于难以利用的SQL注入点、可引起传播和利用的Self-XSS、需构造部分参数且有一定影响的CSRF、URL跳转漏洞,有一定影响的爆破,验证码失效绕过等难以利用但存在安全隐患的漏洞。
(9)影响有限的设计缺陷和流程缺陷等。
六:资产范围
(1)企业信息资产分类
(2)xSRC资产
1: 域名或子域名 2:APP
3:小程序
我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que
我正在尝试按Rails相关模型中的字段进行排序。我研究的所有解决方案都没有解决如果相关模型被另一个参数过滤?元素模型classItem相关模型:classPriority我正在使用where子句检索项目:@items=Item.where('company_id=?andapproved=?',@company.id,true).all我需要按相关表格中的“位置”列进行排序。问题在于,在优先级模型中,一个项目可能会被多家公司列出。因此,这些职位取决于他们拥有的company_id。当我显示项目时,它是针对一个公司的,按公司内的职位排序。完成此任务的正确方法是什么?感谢您的帮助。PS-我
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visitthehelpcenter指导。关闭9年前。我最近开始学习Ruby,这是我的第一门编程语言。我对语法感到满意,并且我已经完成了许多只教授相同基础知识的教程。我已经写了一些小程序(包括我自己的数组排序方法,在有人告诉我谷歌“冒泡排序”之前我认为它非常聪明),但我觉得我需要尝试更大更难的东西来理解更多关于Ruby.关于如何执行此操作的任何想法?
假设您有一个可执行文件foo.rb,其库bar.rb的布局如下:/bin/foo.rb/lib/bar.rb在foo.rb的header中放置以下要求以在bar.rb中引入功能:requireFile.dirname(__FILE__)+"../lib/bar.rb"只要对foo.rb的所有调用都是直接的,这就可以正常工作。如果你把$HOME/project和符号链接(symboliclink)foo.rb放入$HOME/usr/bin,然后__FILE__解析为$HOME/usr/bin/foo.rb,因此无法找到bar.rb关于foo.rb的目录名.我意识到像rubygems这
术语中文解释Ability原子化服务帮助用户完成任务的原子化服务,和用户的意图进行关联。Fulfillment服务履行通过图标,卡片,语音等形式呈现用户意图。开发者通过接口的方式,处理用户意图,返回内容。Intent意图用于表达用户想要达成的目标或完成的任务。HUAWEIAssistant智能助手“无微不智”的个人助手,通过不断的学习用户的使用习惯,不断的为用户提供贴心的精准的便捷的个性化服务。AISearch全局搜索用户可快速搜索关键词,与之匹配的原子化服务则会出现在搜索结果中。SmartService智慧服务用户订阅原子化服务,在到达特定触发条件(时间、地点、事件)后,卡片推送至用户智能助
目录H2数据库入门以及实际开发时的使用1.H2数据库的初识1.1H2数据库介绍1.2为什么要使用嵌入式数据库?1.3嵌入式数据库对比1.3.1性能对比1.4技术选型思考2.H2数据库实战2.1H2数据库下载搭建以及部署2.1.1H2数据库的下载2.1.2数据库启动2.1.2.1windows系统可以在bin目录下执行h2.bat2.1.2.2同理可以通过cmd直接使用命令进行启动:2.1.2.3启动后控制台页面:2.1.3spring整合H2数据库2.1.3.1引入依赖文件2.1.4数据库通过file模式实际保存数据的位置2.2H2数据库操作2.2.1Mysql兼容模式2.2.2Mysql模式
这个错误已经有好几个月了,在这里:http://www.ruby-forum.com/topic/1094002其中显示代码更改的两个链接:https://github.com/godfat/ruby/commit/f4e0e8f781b05c767ad2472a43a4ed0727a75708https://github.com/godfat/ruby/commit/c7a6cf975d88828c2ed27d253f41c480f9b66ad6我有Ruby1.9.2和rvm。我会把这些更改粘贴到适当的文件中,但我不知道如何粘贴。这在几天前就奏效了。我不能像这样执行RubyonRai
自从2019年OpenApplicationModel诞生以来,KubeVela已经经历了几十个版本的变化,并向现代应用程序交付先进功能的方向不断发展。最近,KubeVela完成了向CNCF孵化项目的晋升,标志着社区的发展来到一个新的里程碑。今天,KubeVela社区内活跃着大量来自全球的开发者,共同推动KubeVela项目的落地和发展。在即将开幕的KubeCon+CloudNatvieConEurope2023上,我们惊喜地发现,连续3天,KubeVela项目的贡献者、企业用户和来自阿里云的核心维护者,将从不同角度展对KubeVela项目的分享。让我们先睹为快!🎙️BuildingaPlat
Asitcurrentlystands,thisquestionisnotagoodfitforourQ&Aformat.Weexpectanswerstobesupportedbyfacts,references,orexpertise,butthisquestionwilllikelysolicitdebate,arguments,polling,orextendeddiscussion.Ifyoufeelthatthisquestioncanbeimprovedandpossiblyreopened,visitthehelpcenter提供指导。已关闭8年。什么是学习ruby语言
注意http://techcrunch.com/2010/04/04/he-even-makes-coldplay-sound-fun/顶部的那些按钮在社交网络上分享网址?我想为我正在构建的网站做一些非常相似的事情。ShareThis提供了一个可以做同样事情的小部件,但它是品牌化的和外部的。我正在寻找纯Ruby解决方案。包含可包含在RailsApplicationHelper类中的模块的gem将是完美的。在我重新发明轮子之前,感谢您的建议!想象一下: 最佳答案 我能找到的最好的是:http://www.addthis.com/这里有
