前言
通常来说,企业 SRC 一个也挖不到不完全是你的原因
有可能是你没看这个?
《阿里云业务漏洞标准v2.0》
https://security.alibaba.com/announcement/announcement?id=219
《百度外部漏洞报告处理流程V6.0.pdf》
https://bj.bcebos.com/bsrc-public/2020110217152857605b75bce16b68.pdf
《TSRC漏洞处理和评分标准》
https://security.tencent.com/uploadimg_dir/other/TSRC.pdf?v=3.1
为啥要看呢?
对于大佬来讲,他们挖得多
所以能很清晰地知道企业会收怎样的漏洞
又会忽略怎样的漏洞
而对于小白来讲,这个边界是很难把控的
如果只是去挖一些传统的漏洞
会很容易漏掉很多 money 哦!
所以企业公开的漏洞标准
就是企业 SRC 小白的入门指南啦
接下来,我就给大家梳理一下
企业 SRC 通常会收怎样的漏洞
以及企业 SRC 的一些漏洞收取规则
什么是资产/业务/产品等级?
通常来说,你测试的 Web / APP 应用...
都会被企业分为以下几类的资产,不同企业有不同企业的叫法
BSRC(百度):
TSRC(腾讯)和 ASRC(阿里)则大同小异这里就以我更熟悉的 BSRC 来举例在 BSRC 中越高等级的业务产品线决定着更多的 money
如何计算我这个漏洞给的币合不合理
假如你挖到一个反射型 XSS 漏洞
属于低危漏洞,它会有一个基础的安全币
为 1 ~ 5 个安全币
而百度最后给你的安全币
是 基础安全币 x 业务等级系数
例如说这个 XSS 是在 百度 APP 的
或者百度账号系统的
那你这个 XSS 就是属于 高等级业务产品线
这样的话最高可以给到 5 x 10 = 50 个安全币也就是 250 块钱
大概就是这么计算
如果觉得审核大哥给的奖励不合理
你是可以去和他友善交流的哦
容易被小白忽视的漏洞
1、CSRF 漏洞
测试简单但感觉没啥人测的漏洞,大佬瞧不上,捡到就是赚到!
2、短信轰炸 / 邮件轰炸
这个的话也是测试简单,但测的人相对较多,捡到就是赚到!
3、流程缺陷
这个我有话说,大多企业对于流程缺陷类的漏洞都是收的,而且给的也不少,我感觉好像没啥人测这个。
例如:实名认证绕过、二次验证绕过
4、拒绝服务漏洞..
通俗来讲,就是你的某些操作能影响到别人的正常操作,就属于拒绝服务漏洞了,如果能影响到服务器的,那就是高危起步
例如:私信模块给某用户发送大量信息导致该用户私信模块无法正常使用.
5、URL 重定向漏洞.
通俗来讲,就是你提供一个 URL,可以让网站任意地跳转到你给的这个 URL,这就是低危 50 块起步了
例如:访问 http://xxx.com/?url=www.baidu.com 就会自动跳转到百度的页面
6、与钱相关的漏洞
简单来说,就是可以让人从中获利的漏洞
例如:薅羊毛、便宜买、零元购等等,只要你觉得可以获利的基本上都可以交
7、用户名枚举
不少 SRC 是收用户名枚举的洞的,但是都会对资产的等级做一定的要求
例如:某后台存在某接口可以爆破用户名,但拿着枚举到的用户名没成功获取密码的这种也收
8、资源消耗攻击
企业可能会购买一些服务以满足业务需要,而这些服务要是可以被过度调用,则属于资源消耗攻击。
例如:百度地图API接口的 ak 泄露,无限制的调用会导致企业正常业务无法进行。
9、未授权访问
未授权访问后台这种,即便是里面没啥敏感信息,大多企业都是收的哦,而且还给不少。
例如:在尝试登陆后台时更改响应包状态码进入后台的。
捡到就是赚到
还是那句话,捡到就是赚到!
你不把 50 块当钱,那我可就不客气辣!
以后会出一些企业 SRC 的捡漏的技巧
敬请期待哦!
原文始发于微信公众号(哈拉少安全小队):【企业SRC篇】教你如何在大佬的手底下捡漏(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论