本文主要从白帽视角总结SRC的琐碎知识。
SRC是什么
SRC指安全应急响应中心(Security Emergency Response Center),是企业授权给白帽子对企业部分或全部资产进行漏洞发现从而提升企业安全能力的平台。
白帽子提交的漏洞审核通过后,企业会根据漏洞评级给白帽子一定的漏洞奖励。
一个建立有SRC的企业通常是非常重视安全的,且企业创建SRC的时间越早,其安全前瞻性也就越强。(仅为个人理解)
对于企业,SRC是低成本的,且越严重的漏洞,性价比越高。(仅为个人理解)
对于白帽子,SRC就像打游戏:遵守规则的同时达成目标。不同的是,游戏换取精神愉悦,挖掘SRC漏洞得到钱。(仅为个人理解)
角色分工
企业:支撑SRC的建立,发钱的。
白帽子:SRC计件工,多劳多得。
审核:看看漏洞是不是存在,定什么等级。
运营:宣传SRC,SRC活动策划,关系调解员。
SRC挖掘基础配置
最低配置
会用浏览器 ★
会用抓包工具 ★
知道越权漏洞 ★★
建议配置
web基础:了解前端代码、后端代码、数据库、操作系统、中间件的关系,可以自己搭建服务器 ★★★
漏洞基础:熟悉owasp top10漏洞,并且通过靶场实操并理解其中5种以上的漏洞 ★★★
编程基础:会编写简单的脚本(python、bash等语言都可以),可以操作http收发包 ★★★
工具基础:会使用抓包工具,信息收集工具,漏扫工具等 ★★★
高端配置
身体素质:肝功能良好(熬夜挖洞必备) ★★★★★
心理素质:心里素质过硬,能抗住连续被忽略10个熬夜挖的洞的压力 ★★★★★
技术基础:打开网站看几眼就知道大概率有哪种漏洞、没有哪种漏洞 ★★★★★
如何主动发现一个SRC
搜索引擎
搜索“安全应急响应中心”就可以找到很多知名的SRC 
微信公众号
有一定规模的SRC,基本都会开设公众号,便于宣传SRC以及增加白帽子粘性 
提交你的第一个漏洞
找到SRC☛阅读漏洞接收规则☛信息收集☛资产✖漏洞排列组合☛找到漏洞☛提交漏洞
漏洞处理流程
常规流程
提交漏洞☛审核通过☛发奖金☛晚上吃饭加鸡腿
提交漏洞☛忽略☛没关系,继续挖
白帽子希望的漏洞处理流程
提交漏洞☛发奖金
审核希望的漏洞处理流程
没有漏洞☛划水一天
老板希望的漏洞处理流程
提交漏洞☛审核通过☛不发奖金
漏洞争议处理流程
漏洞忽略☛白帽申诉☛漏洞通过 漏洞忽略☛白帽申诉☛漏洞忽略
审核阅读了《审核必知必会》之后的漏洞争议处理流程
漏洞忽略☛白帽申诉☛选择适当的话术☛漏洞忽略
白帽健康管理
强如XX的白帽
挖洞☛月入xxW☛健身☛更强了
弱如笔者的白帽
挖洞☛月入100块☛电费消耗200块☛过劳肥长胖40斤☛更虚了
保持身体健康
多运动(但不要在当天加班的情况下还大量运动)
多喝烫水
如何摧毁一个SRC
打开招聘软件☛找到该SRC的审核岗位☛阅读《审核必知必会》☛入职
原文始发于微信公众号(白小帽):如何摧毁一个SRC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论