国家在注重安全行业越来越多嘚SRC(安全响应中心)成立。在各大平台比如漏洞盒子排行榜，补天360众测等等都纷纷成立了安全响应中心，许多的企业在上面入驻给白帽孓们提供了一个很好的平台，避免了黑客利用漏洞而造成损失

在挖掘SRC中，我们首先要做的就是确认资产通常情况下，企业SRC会在项目里給出域名或者域名的范围我们可以利用一些工具来收集子域名，扩大挖掘的范围范围越大，挖到漏洞的几率也就越高

① 利用搜索引擎整理，再进行常规资产收集

② 基本的资产收集方式有：子域名枚举端口信息收集，路径扫描旁站C段查询。

●网页源码/js/json泄漏敏感接口

●登陆后修改密码 未校验id与用户 修改id 即可该其他人密码

●修改个人数据时 页面源代码有用户标识符id 抓包修改或添加id

●直接访问后台链接禁用js则不会跳转登录界面，直接登陆

●登陆分为账号和游客登陆游客功能有限，app端只前端检测模拟发包即可

●越权订单查看打印下载、越权操作他人收货地址、增删改查等。

任意用户注册、密码重置、密码找回

●手机号、验证码、用户未统一验证问题

●未对原绑定手机號、验证码、用户未统一验证或验证码未绑定 只验证验证码正确，没判断用户id 或手机号修改想改的id 正确手机验证码即可

五． 爆破、枚舉

●撞库，登陆时无验证码且可无限被尝试用户名验证时有无用户名错误回显、密码可被爆破

●无验证码，验证码不刷新验证码4位过於简单无尝试次数限制可被爆破

●枚举注册用户：输入用户名，发送请求验证用户名是否正确(若返回次数限制,可测试服务端未限制高频访問)

●登陆失败有次数限制,若包中有限制参数可更改或删除参数

●邮箱轰炸短信轰炸，burp Repeate短信轰炸验证码有60或者120秒限制时，有的参数修改後可绕过

在漏洞挖掘的过程中需要仔细去寻找判断，多去测试参数这方面的逻辑漏洞比较的多，需要慢慢的累积经验

 2017年5朤5日北京——漏洞盒子排行榜企业SRC(安全应急响应中心)发布会在北京湖北大厦举行。会议由上海斗象信息科技有限公司(以下简称斗象科技)主办, 中央网信办下属中国网络安全产业联盟、国家互联网应急中心(CNCERT)、国家信息技术安全研究中心等相关领导、斗象科技高层、众多国内企業信息安全部门负责人企业SRC代表，信息安全白帽子和媒体人士共70余人参加和见证了企业SRC产品的发布

中国网络安全产业联盟秘书长陈兴躍

中国网络安全产业联盟陈兴跃秘书长和国家互联网应急中心运营部李佳副主任分别为发布会致开场辞，陈兴跃秘书长表示：“我个人觉嘚今天的漏洞盒子排行榜企业SRC发布会很创新它的发布也是在促进网络安全白帽子、企事业单位，更好的解决了在当前黑客攻击泛滥的情況下企业网络安全威胁情报所获取的及时性、有效性问题。”

国家互联网应急中心(CNCERT)运行部副主任李佳

李佳副主任也提到近年来信息网絡安全越来越重视，已经上升为国家战略层面CNCERT监测发现：针对网站的攻击事件中，有超过70%是针对企业的“在此我很高兴的看到漏洞盒孓排行榜平台推出企业SRC这样的产品和服务，帮助企业建立信息安全威胁信息和情报的搜集渠道主动地提前和提早感知企业信息安全威胁，做到预防、判断和预先解除从安全地应急和协调处理地角度，做到了防微杜渐或者说减少了安全危险产生更大地损失“

上海斗象信息科技有限公司联合创始人兼CTO张天琪

斗象科技联合创始人CTO张天琪代表公司欢迎和感谢大家参加此次发布会，同时他也讲到当前企业SRC的管理強调“三分建设七分运营”，而企业运营自身又面临这样的问题：“对于大企业来讲资源虽然不是问题，但SRC毕竟不是核心业务投入囿限。而中小企业本身资源有限重业务而轻安全是普遍现象，在安全当中的投入非常之有限且人员配备不足。”

漏洞盒子排行榜企业SRC應运而生为解决上述问题，“我们本身拥有安全行业的资源和力量投入将会是十足和长久的;且在漏洞管理和处置体系方面拥有三年的實践经验;针对平台宣传，市场团队则会定期策划线上线下活动日常运营工作得以持续进行、推陈出新;我们自身的财务流程也更容易把控，以适应平台处置流程”

如同CTO张天琪所谈到的，作为企业SRC代表——完美世界信息安全部信息安全总监何艺在发言中也谈到：作为企业SRC负責人运营好一个SRC是个耗精力、耗资源、耗技术的苦力活，但漏洞盒子排行榜因为拥有白帽子生态资源所以运营能力具有天然优势。

作為发布会的重头戏漏洞盒子排行榜产品经理来勇则从产品、功能特性和对企业信息安全建设的价值及合作模式等方面，介绍了漏洞盒子排行榜企业SRC“针对以上企业信息安全建设诸多问题，漏洞盒子排行榜企业SRC提出了自己的解决方案

具体流程一般是，白帽子在平台提交漏洞后由平台或企业自行来审核漏洞，核实后再发放奖励此前，漏洞审核流程周期一般在1~3个月漏洞修复后再发放奖金。而白帽子通瑺会在确认漏洞后急于知道奖金额度及发放时间，会不停催促询问漏洞盒子排行榜官方官方又会来催问企业，中间耗时耗力因此，漏洞盒子排行榜企业SRC平台将奖励发放调整到漏洞确认环节整个流程缩短至1~7天，同时要求厂商在平台公布自己的奖金设置等级及额度另外，平台还会根据漏洞有效性、级别、报告质量、涉及资产范围等维度进行计算进行积分和奖金的排名，以此激励白帽子同时帮助入駐的企业SRC进行持续性宣传、白帽子KOL管理、线上线下活动策划，日常纳新、留存和促活等活动支持

所以漏洞盒子排行榜企业SRC作为连接白帽孓和企业的桥梁，才能够起到协助企业构建定制化SRC的作用;为企业提供一站式全托管模式与半托管安全托管服务帮助企业实现更便捷高效嘚SRC运营。

发布会现场中国网络安全产业联盟秘书长陈兴跃、国家互联网应急中心(CNCERT)运行部副主任李佳、国家信息技术安全研究中心安全处副处长曹岳、斗象科技CTO张天琪、联想集团信息安全高级经理宋文宽、完美世界信息安全部安全总监何艺，共同为漏洞盒子排行榜企业SRC产品嘚发布进行了揭幕标志着漏洞盒子排行榜企业SRC正式对外向企业进行开放注册使用，助力和提升企业信息安全建设

同时，联想集团安全應急响应中心作为支撑联想集团全球信息安全建设的重要部门紧紧把握信息安全行业的发展趋势，也借本次发布会正式入驻漏洞盒子排荇榜企业SRC与漏洞盒子排行榜建立长期的战略合作，并且在发布会上进行了联想集团SRC入驻漏洞盒子排行榜企业SRC的授牌仪式联想集团信息咹全高级经理宋文宽先生代表联想集团出席并接受了授牌。

漏洞盒子排行榜企业SRC产品发布会的召开旨在：在白帽运营成本逐年上升，团隊水平参差不齐人才流失严重，宣传效果不佳运营经费管理复杂的时代背景下，作为企业SRC的创新解决方案漏洞盒子排行榜企业SRC将为企业提供定制化的SRC运营管理方案;并通过一站式全托管、半托管的形式，为企业提供可量化的漏洞生命周期管理帮助企业实现更便捷高效嘚SRC运营。

上海斗象信息科技有限公司是国内领先的创新型互联网安全服务商始终致力于为企业提供优质的网络安全解决方案。旗下品牌包括互联网安全新媒体 FreeBuf()互联网安全服务平台漏洞盒子排行榜()，基于SaaS模式的企业级风险监控与感知系统网藤风险感知()

漏洞盒子排行榜是鬥象科技旗下安全产品之一，是目前国内首家链接安全专家资源与自有安全团队通过再现真实环境进行漏洞挖掘,为企业用户提供高效、透明的互联网安全测试服务平台。利用全球互联网安全专家资源模拟真实环境的黑客漏洞挖掘与演练，将产品安防壁垒做到最高漏洞盒子排行榜安全测试将自有安全团队、核心白帽子团队、认证白帽子专家结合，服务全程可靠安全

美国西部飞沙走石的旷野上，兩个人穿着相似的紧身衣、窄腿裤脚蹬长统靴，胯边垂着火筒枪唯一不同的是头戴的宽边帽，一白一黑... ...这样电光火石的对决在网络安铨的世界里也是有的可企业绝不能让业务和数据冒这样的风险，于是考虑从攻防焦点的“漏洞”入手纷纷成立或者正在成立自己的安铨响应中心(Security Response Center,SRC)。

大型企业为此会专门雇佣白帽子黑客来刺探他们的网络、系统和应用程序以提前发现漏洞。但是请注意，是“大型企业”可以说，当前现实的企业SRC的管理情况就如斗象科技联合创始人CTO张天琪所解释的：“对于大企业来讲资源虽然不是问题，但SRC毕竟不是核心业务投入有限。而中小企业本身资源就有限重业务而轻安全是普遍现象，在安全当中的投入更是捉襟见肘且人员配备不足。”唍美世界信息安全部信息安全总监何艺皱眉道：“作为企业SRC负责人运营好一个SRC是个耗精力、耗资源、耗技术的苦力活” 如此说来，企业嘚企业SRC管理就像个烫手山芋扔不得、留不得了？

上海斗象信息科技有限公司联合创始人兼CTO张天琪

漏洞盒子排行榜产品经理来勇介绍表示：“针对企业SRC运营成本较高、软件设施不全、宣传效果不好、人员流动性大、平台稳定性不强、团队技术性不强、漏洞响应不够及时等问題漏洞盒子排行榜企业SRC提出了自己的解决方案。”近日漏洞盒子排行榜“拉拢”了信息安全白帽子们，和多个企业的SRC代表齐聚一堂發布了漏洞盒子排行榜企业SRC（安全应急响应中心）。

漏洞盒子排行榜产品经理 来勇

关于漏洞盒子排行榜大家都知道他是通过进行漏洞挖掘，为企业用户提供互联网安全测试服务的平台作为上海斗象信息科技有限公司（斗象科技）旗下安全产品之一的漏洞盒子排行榜，其咹全测试服务结合了自有安全团队、核心白帽子团队和认证白帽子专家三方面其中不乏曾供职于阿里、百度等大型互联网公司的优秀技術人员，能够模拟真实环境的黑客进行漏洞挖掘与演练将产品的安防壁垒不断提高。何艺作为漏洞盒子排行榜企业SRC的代表也表示：“漏洞盒子排行榜因为拥有白帽子生态资源他的SRC运营能力具有天然的优势。”

来勇具体从产品、功能特性和对企业信息安全建设的价值及合莋模式等方面介绍了漏洞盒子排行榜企业SRC。简单来说就是企业可以用更低的成本、更简单的运营，将白帽子直接招致麾下得到更高效的企业SRC服务。

据了解漏洞盒子排行榜企业SRC的具体流程一般是，白帽子在平台提交漏洞后由平台或企业自行来审核漏洞。企业方面企业可以自行编辑页面信息，需要在平台公布自己的奖金设置等级及额度设置授权测试域、运营数据、漏洞规则声明等；平台方面，漏洞盒子排行榜企业SRC平台将奖励发放调整到漏洞确认环节根据漏洞的有效性、级别、报告质量、涉及资产范围等维度进行计算，核实后直接向白帽子发放奖励整个流程缩短至1~7天，这相较于以往的1~3个月的漏洞审核流程周期有了大幅度的提升同时平台还进行积分和奖金的排洺，以此激励白帽子此外，平台帮助入驻的企业SRC进行持续性宣传、白帽子KOL管理、线上线下活动策划日常纳新、留存和促活等活动支持。据悉目前漏洞盒子排行榜平台有效白帽子数量达3万+，月活5千+累计为企业提供漏洞155865个，平均每天收取漏洞500+

漏洞盒子排行榜企业SRC平台能够很好的回应张天琪所强调的“企业SRC的管理需要‘三分建设，七分运营’”的理念漏洞盒子排行榜企业SRC作为连接白帽子和企业的桥梁，能够为企业提供一站式全托管模式与半托管安全托管服务帮助企业实现更便捷高效的SRC运营，很好地起到协助企业构建定制化SRC的作用聯想集团安全应急响应中心作为支撑联想集团全球信息安全建设的重要部门，也借本次发布会正式入驻漏洞盒子排行榜企业SRC与漏洞盒子排行榜建立长期的战略合作，联想集团信息安全高级经理宋文宽先生代表联想集团接受了联想集团SRC入驻漏洞盒子排行榜企业SRC的授牌。

中國网络安全产业联盟陈兴跃秘书长肯定道：“我个人觉得今天的漏洞盒子排行榜企业SRC发布会很创新它的发布更好的解决了在当前黑客攻擊泛滥的情况下，企业网络安全威胁情报所获取的及时性、有效性问题”国家互联网应急中心运营部李佳副主任总结表示：“漏洞盒子排行榜平台推出企业SRC这样的产品和服务，帮助企业建立信息安全威胁信息和情报的搜集渠道主动地提前和提早感知企业信息安全威胁，莋到预防、判断和预先解除从安全地应急和协调处理地角度，做到了防微杜渐或者说减少了安全危险产生更大地损失“

漏洞盒子排行榜企业SRC的发布促进了网络安全白帽子、企事业单位的互利结合，让企业得到高效的安全能力的同时也给了白帽子实现自身价值的平台，實现双赢来勇最后补充：“针对平台宣传，市场团队则会定期策划线上线下活动日常运营工作得以持续进行、推陈出新；我们本身拥囿安全行业的资源和力量，且在漏洞管理和处置体系方面拥有三年的实践经验未来的投入将会是十足和长久的。”

原文发布时间为：2017年5朤15日

本文来自云栖社区合作伙伴至顶网了解相关信息可以关注至顶网。