时隔11个月补充了一下这篇文章,很久之前就写过了,一直没发出来,可能整个文章就和水文一样,我只是个菜鸟,写的文章也是对新手能提供微小的帮助。
只是单纯的介绍一下补天的通用漏洞挖掘,不涉及任何与技术相关的东西,其目的是让新手快速了解补天,并在补天大展身手。如涉及到了任何侵权问题,请联系我删帖。
补天漏洞响应平台旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心),让企业更安全,让白帽子获益。
挖掘到通用漏洞后我该如何刷事件型漏洞首先呢,说一下这个通用漏洞刷事件类型。
这个很简单,相信各位bhdyj手里有不少通用漏洞。下面我拿我一个通用讲一下如何进行信息收集。
假设这个站有几个高危逻辑漏洞,也是一个CMS,但是没有建站主页官网,没有案例区。
那么该如何收集呢?
首先Ctrl+U大法页面源代码瞅一下
翻了一下 看到了XX人才招聘系统 咦 香 fofa走一波 看下资产有多少
92条数据38条IP 除去HS菠菜网站 也就差不多50多个站 有点少 虽然是个小CMS 但的确有点少
我又不放弃的继续检索一下源代码 然后找到了他的企业登录入口链接
放fofa在走一波 这次还能看下去 440条 筛选一下 估计能剩下150-200个网站
将fofa资产扒下来 自动去重之后还剩132条(fofa接口资产提取工具网上很多很多,无会员的话可能导出的资产条数较少)
将剩下的132条放进批量查链里面瞅一眼爱站权重 此处自动去除IP 只保留域名
这里我网太慢了就查找了一部分截取了
最后筛选完是110个有效站点 有权重的也就30多个 三分之一吧
然后剩下的操作各位大佬很清楚了 那就是刷起来 同类型漏洞 模板截图不用换 来回填写域名提交就行了
以上面通用来说,有权重的不需要考虑可直接提交补天 那么剩下一下无权重的漏洞该怎么办
通常无权重漏洞分三类整理
1)政府教育单位
政府类如下图直接扔CNVD
这是以前扔的无权重政府单位漏洞 1.56积分 比小CMS通用都值钱
教育类不用考虑 教育SRC仍起来
2)补天SRC互联网守护计划
坐等补天一年两次无权互联网守护计划 其实这个不建议等 因为网络安全发展过快 各SRC要求越来越高 不保证以后还会有此类活动
活动规则中高危皆1KB 1KB只增加KB和漏洞数 不增加积分
3)漏洞盒子公益SRC月榜
垃圾到不能垃圾的洞仍盒子就可以了 有能力大佬写脚本自己提交就行了
官方公益月榜奖励
低危 2积分 150-200个洞保底 (phpinfo tomact TZ 报错导致的文件泄露、路径泄露 SVN源码 URL跳转 暴力破解 反射XSS)
中危 3积分 100-150个洞保底
高危 4积分 75-100个洞保底
盒子商城
盒子近期更改规则 月榜超1000分 奖励认证公益证书 有能力不忙的师傅可以搞一搞
漏洞盒子 https://www.vulbox.com/
火绒 https://huoxian.secnium.cn/
字节跳动SRC https://security.bytedance.com/
陌陌SRC https://oauth.immomo.com/
漏洞银行 http://skills.bugbank.cn/
360SRC https://security.360.cn/
爱奇艺SRC https://security.iqiyi.com/
阿里安全应急响应中心 https://security.alibaba.com/
安全狗漏洞响应中心 http://security.safedog.cn/reporter_center.html
蚂蚁金服SRC https://security.alipay.com/sc/afsrc/home.htm
百度SRC http://sec.baidu.com/
贝壳安全应急响应中心 https://security.ke.com/
BUGX https://www.bugx.io/
bilibili https://security.bilibili.com/
补天 https://www.butian.net
58SRC https://security.58.com/
菜鸟安全应急响应中心 https://sec.cainiao.com/
滴滴DSRC http://sec.didichuxing.com/
度小满安全应急响应中心 https://security.duxiaoman.com
东方财富SRC http://security.eastmoney.com/
斗鱼SRC https://security.douyu.com/
点融SRC https://security.dianrong.com/
DVP https://dvpnet.io/
本地生活SRC https://security.ele.me/
富有SRC https://fsrc.fuiou.com/home/index.html
瓜子SRC https://security.guazi.com
享道出行XDSRC https://src.saicmobility.com
好未来安全应急响应中心 http://src.100tal.com/
火币安全应急响应中心 https://www.huobigroup.com/
华为PSIRT https://www.huawei.com/cn/psirt
isrc iTutorGroup https://sec.tutorabc.com.cn
京东SRC http://security.jd.com/
焦点安全应急响应中心 https://security.focuschina.com/
竞技世界SRC https://security.lsdlh.cn/
金山办公安全应急响应中心 https://security.qwps.cn/
金山SRC http://sec.kingsoft.com/
快手安全中心 https://security.kuaishou.com
老虎证券安全应急响应中心 https://security.itiger.com/
乐信安全应急响应中心 http://security.lexinfintech.com/security/index
联想SRC https://lsrc.vulbox.com/
同程SRC https://sec.ly.com/
MLSRC http://security.mogujie.com/#/
魅族SRC http://sec.meizu.com
陌陌SRC https://security.immomo.com/
马蜂窝安全应急响应中心 https://security.mafengwo.cn/
摩拜安全 https://security.mobike.com
美团安全应急响应中心 https://security.meituan.com/
你我贷安全应急响应中心 http://www.niwodai.com/sec/index.do
OPPO安全应急响应中心 https://security.oppo.com/
网易SRC http://anquan.163.com/
平安安全应急响应中心 http://security.pingan.com/
去哪儿安全应急响应中心 https://security.qunar.com/
融360安全应急响应中心 https://security.rong360.com/#/
水滴安全应急响应中心 https://security.shuidihuzhu.com/
Seebug漏洞平台 https://www.seebug.org/
新浪SRC http://sec.sina.com.cn/
顺丰SRC http://sfsrc.sf-express.com/index
搜狗安全应急响应中心 http://sec.sogou.com/
苏宁SRC https://security.suning.com
途牛SRC http://sec.tuniu.com/
T3出行安全应急响应中心 https://security.t3go.cn/
腾讯SRC https://security.tencent.com/
唯品会SRC https://sec.vip.com/
VIPKID安全应急响应中心 https://security.vipkid.com.cn/
vivoSRC https://security.vivo.com.cn
挖财SRC https://sec.wacai.com/
微博安全应急响应中心 http://wsrc.weibo.com/
微众银行安全应急响应中心 https://security.webank.com/
完美世界SRC http://security.wanmei.com
微贷安全应急响应中心 https://sec.weidai.com.cn
Wifi万能钥匙SRC https://sec.wifi.com/
小米安全中心 https://sec.xiaomi.com/
小赢安全应急响应中心 https://security.xiaoying.com/
喜马拉雅SRC https://security.ximalaya.com/
携程SRC https://sec.ctrip.com/
讯飞安全响应中心 https://security.iflytek.com/index.php
有赞安全应急响应中心 https://src.youzan.com/
宜信安全应急响应中心 https://security.creditease.cn/index.html
猪八戒SRC https://sec.zbj.com/
字节跳动安全中心 https://security.bytedance.com
中通安全应急响应中心 https://sec.zto.com/
智联招聘SRC https://src.zhaopin.com