资产收集系列（二）：合合SRC资产大全

1前言

补天漏洞响应平台的企业SRC和专属SRC奖励丰厚，一个漏洞能赚到几百上千元。但是很多人对他们的资产不清楚，所以我准备整理一系列文章来罗列属于他们的资产。同时我会将他们SRC的地址放在文章中，并附带官网上的漏洞提交要求，方便师傅们挖掘。

2合合信息安全应急响应中心

SRC网址

https://security.intsig.com/ https://intsig.butian.net/

SRC测试范围

漏洞奖励说明

漏洞等级说明

严重包括:

（1）直接获取权限的漏洞（服务器权限、重要产品客户端权限）。包括但不限于远程任意命令执行、上传webshell、可利用远程内核代码执行漏洞以及其它因逻辑问题导致的可利用的远程代码执行漏洞。

（2）直接导致严重的信息泄漏漏洞。包括但不限于重要DB的SQL注入漏洞。

（3）直接导致严重影响的逻辑漏洞。包括但不限于查看任意用户名片、伪造任意用户登录、账号密码更改漏洞。

高危包括:（1）严重的敏感信息泄漏(除撞库行为或者通过暴力提交行为获取的部分信息)。包括但不仅限于普通DB（资金、用户身份、订单） 的 SQL 注入，可获取大量核心用户的身份信息、订单信息、银行卡信息等接口问题引起的敏感信息泄露。

（2）严重的逻辑设计缺陷和流程缺陷。包括但不仅限于通过业务接口批量发送任意伪造消息、任意账号资金消费、批量修改任意帐号密码漏洞。

（3）敏感信息越权访问。包括但不仅限于绕过认证直接访问管理后台、后台弱密码、获取大量内网敏感信息。

（4）越权敏感操作。包括但不仅限于账号越权修改重要信息、进行订单操作、重要业务配置修改等较为重要的越权行为。

（5）直接获取客户端权限的漏洞。包括但不限于远程任意命令执行、远程缓冲区溢出、远程内核代码执行漏洞以及其它因逻辑问题导致的远程代码执行漏洞。

（6）大范围影响用户的其他漏洞。包括但不仅限于可造成自动传播的重要页面的存储型XSS和涉及交易、资金、密码。

中危包括：

（1）需交互方可影响用户的漏洞。包括但不仅限于一般页面的存储型XSS、重要敏感操作的 CSRF。

（2）普通越权操作。包括但不仅限于不正确的直接对象引用、越权查看订单信息、越权查看用户身份信息等。

（3）普通信息泄漏。包括但不仅限于客户端明文存储密码、web路径遍历、系统路径遍历。

（4）普通的逻辑设计缺陷和流程缺陷。

低危包括：

（1）可用于钓鱼的反射型XSS、URL跳转等漏洞。

（2）轻微信息泄漏漏洞，包括但不限于SVN信息泄漏、异常敏感信息泄露，以及客户端应用本地SQL注入（仅泄漏数据库名称、字段名、cache内容）等。

（3）难以利用但存在安全隐患的漏洞。包括但不仅限于难以利用的SQL注入点、需构造部分参数且有一定影响的CSRF。

（4）垂直短信轰炸、邮箱轰炸漏洞。

无影响包括：

（1）无法利用或无危害的漏洞，包括但不限于对用户无实际影响的 CSRF（如点赞、收藏、关注等）、无法影响他人的本地拒绝服务 、Self-XSS、难以利用的信息泄露（内网 IP、域名、程序路径、logcat信息）、横向短信/邮件轰炸等。

（2）利用条件苛刻或无实际危害的漏洞，如静态文件目录遍历/下载、无意义的用户枚举、无意义的登录接口暴力破解等。

（3）我司域名指向第三方的非我司系统存在的相关漏洞。

（4）无关安全的 bug，包括但不限于网页乱码、网页无法打开、某功能无法使用等。

（5）内部已知漏洞，如内部安全人员已经发现的漏洞、已有其他白帽子优先提交的漏洞

WEB资产

域名
camcard.com
d150.camcard.com
mx0.camcard.com
cc1.camcard.com
b102.camcard.com
w102.camcard.com
sh2-web2.camcard.com
ccw2.camcard.com
w103.camcard.com
w12013.camcard.com
ccw3.camcard.com
b104.camcard.com
ccw4.camcard.com
w66.camcard.com
w78.camcard.com
b.camcard.com
o2.cc.camcard.com
sfdc.camcard.com
d.camcard.com
blog.camcard.com
m.camcard.com
qimo.camcard.com
cms.camcard.com
mail.market.camcard.com
o1.mail.market.camcard.com
ent.camcard.com
dev.camcard.com
ccw.camcard.com
www.camcard.com
hz.camcard.com
camscanner.com
d82.camscanner.com
cc2.camscanner.com
d3003.camscanner.com
w103.camscanner.com
w12013.camscanner.com
v3.camscanner.com
d144.camscanner.com
v4.camscanner.com
w105.camscanner.com
d85.camscanner.com
cs8.camscanner.com
data.camscanner.com
blog.camscanner.com
yiwei.camscanner.com
open.camscanner.com
mo.camscanner.com
temp.camscanner.com
o1.cs.camscanner.com
o3.cs.camscanner.com
o4.cs.camscanner.com
dev.camscanner.com
www.camscanner.com
www-sandbox.camscanner.com
hz.camscanner.com
qixin.com
data.qixin.com
b.qixin.com
doc.qixin.com
brand.qixin.com
e.qixin.com
cache.qixin.com
qxb-img-osscache.qixin.com
qxb-celebrity-logo-url-osscache.qixin.com
baike.qixin.com
web-sdk.qixin.com
m.qixin.com
gcdn.qixin.com
bgcdn.qixin.com
gs.qixin.com
www.qixin.com
www.textin.com
www.intsig.net

备注：不在测试范围内的域名未收集

其他资产

APP

名片全能王（Android和IOS）

扫描全能王（Android和IOS）

蜜蜂试卷（Android和IOS）

启信宝（Android和IOS）

启信宝企业版（Android和IOS）

微信小程序

名片全能王+

扫描全能王+

启信宝商业搜索

蜜蜂作业

Tetxin体验中心

3最后

承诺

本系列文章将会定期更新，为师傅们收集最新的资产。除了补天上的SRC厂商，我们后续还会更新其他厂商的资产，请师傅们敬请期待。

请各位师傅在提交漏洞的时候，严格遵守漏洞提交要求，请勿做出违反法律的事情。

关于公众号

HackerDo安全专注于收集最新网络安全消息，发布各类漏洞信息以及修复方案，关注各大比赛，及时带来最新动态以及知识教程。我们会不定期分享漏洞PoC以及知识干货，不定期送出福利。

微信交流群

如果失效请在后台回复“粉丝群”获取最新加群方式！

QQ社区群