0、什么是src

安全响应中心（Security Response Center）：SRC通常是一个组织或者公司设立的部门或团队，负责接收、跟踪和响应安全漏洞报告，以及协调修补措施。SRC与安全研究人员和其他报告者合作，以确保及时修补和保护产品和服务的安全性

企业Src就是，企业授权给广大白帽黑客，或者有网络安全能力者，让他们来挖自己产业一些资产的漏洞，挖到漏洞就给赏金，不同的漏洞等级基于不同的赏金。Src是广大白帽合理赚钱的方式，但是在挖漏洞的同时也遵守企业的测试准则，不然企业也是有责依法严究

Src分两种：

1. 众筹src：这是一些没有建立src的公司，都投递给一个专门建立src的厂商，例如漏洞盒子等
2. 企业src：这是企业自己建立src

 1、各大src与网址：

360 ：360安全应急响应中心

字节跳动：字节跳动安全中心

爱奇艺 ：爱奇艺安全应急响应中心

阿里巴巴 ：https://security.alibaba.com/

百度： https://bsrc.baidu.com/v2/#/home

菜鸟：https://sec.cainiao.com/

Boss直聘 ： https://src.zhipin.com/

安全狗 ：登录-安全狗云安全中心-构建立体式的服务器安全和网站安全防御体系

蚂蚁金服 ：https://security.alipay.com/sc/afsrc/home.htm

Bilibili ： 哔哩哔哩安全应急响应中心

贝壳安全：贝壳安全应急响应中心

补天： 补天 - 企业和白帽子共赢的漏洞响应平台，帮助企业建立SRC

58同城：58安全应急响应中心

滴滴出行：滴滴出行安全应急响应中心

东方财富：东方财富安全应急响应中心

斗鱼：斗鱼安全应急响应中心 - DYSRC

度小满：Vue App

瓜子：瓜子安全应急响应中心

货拉拉：货拉拉安全应急响应中心

同程旅行：首页 | 同程旅行安全应急响应中心

联想：漏洞盒子 | 联想集团安全应急响应中心

魅族：魅族安全中心

陌陌：陌陌安全应急响应中心

Oppo：OPPO安全应急响应中心 | OSRC

网易：https://aq.163.com/

Vivo：vivo 安全应急响应平台

微博：微博安全应急响应中心

喜马拉雅： 喜马拉雅安全应急响应中心

小米：小米安全中心

携程：携程安全应急响应中心

中通：中通安全应急响应中心（ZSRC）

银联：银联安全应急响应中心(USRC)

智联招聘：首页 | 智联招聘安全应急响应中心

京东：京东安全应急响应中心

美团：https://security.alipay.com/sc/afsrc/home.htm

 2、SRC行业安全测试规范

以百度src为例子：

1.    注入漏洞，只要证明可以读取数据就行，严禁读取表内数据。对于UPDATE、DELETE、INSERT 等注入类型，不允许使用自动化工具进行测试。

2.    越权漏洞，越权读取的时候，能读取到的真实数据不超过5组，严禁进行批量读取。

3.    帐号可注册的情况下，只允许用自己的2个帐号验证漏洞效果，不要涉及线上正常用户的帐号，越权增删改，请使用自己测试帐号进行。帐号不可注册的情况下，如果获取到该系统的账密并验证成功，如需进一步安全测试，请咨询管理员得到同意后进行测试。

4.    存储xss漏洞，正确的方法是插入不影响他人的测试payload，严禁弹窗，推荐使用console.log，再通过自己的另一个帐号进行验证，提供截图证明。对于盲打类xss，仅允许外带domain信息。所有xss测试，测试之后需删除插入数据，如不能删除，请在漏洞报告中备注插入点。

5.    如果可以shell或者命令执行的，推荐上传一个文本证明，如纯文本的1.php、1.jsp等证明问题存在即可，禁止下载和读取服务器上任何源代码文件和敏感文件，不要执行删除、写入命令，如果是上传的webshell，请写明shell文件地址和连接口令。

6.    在测试未限制发送短信或邮件次数等扫号类漏洞，测试成功的数量不超过50个。如果用户可以感知，例如会给用户发送登陆提醒短信，则不允许对他人真实手机号进行测试。

7.    如需要进行具有自动传播和扩散能力漏洞的测试（如社交蠕虫的测试），只允许使用和其他账号隔离的小号进行测试。不要使用有社交关系的账号，防止蠕虫扩散。

8.    禁止对网站后台和部分私密项目使用扫描器。

9.    除特别获准的情况下，严禁与漏洞无关的社工，严禁进行内网渗透。

10.  禁止进行可能引起业务异常运行的测试，例如：IIS的拒绝服务等可导致拒绝服务的漏洞测试以及DDOS攻击。

11.  请不要对未授权厂商、未分配给自己的项目、超出测试范围的列表进行漏洞挖掘，可与管理员联系确认是否属于资产范围后进行挖掘，否则未授权的法律风险将由漏洞挖掘者自己承担。

12.  禁止拖库、随意大量增删改他人信息，禁止可对服务稳定性造成影响的扫描、使用漏洞进行黑灰产行为等恶意行为。

13.  敏感信息的泄漏会对用户、厂商及上报者都产生较大风险，禁止保存和传播和业务相关的敏感数据，包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料等，若存在不知情的下载行为，需及时说明和删除。

14.  尊重《中华人民共和国网络安全法》的相关规定。禁止一切以漏洞测试为借口，利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于威胁、恐吓SRC要公开漏洞或数据，请不要在任何情况下泄露漏洞测试过程中所获知的任何信息，漏洞信息对第三方披露请先联系SRC获得授权。企业将对违法违规者保留采取进一步法律行动的权利。

其他的厂商大部分要求也是大致这样，共同点是让测试者遵守法律和道德准则：尊重客户和组织的利益。

 3、漏洞评级和资产整理

不同的漏洞等级悬赏不一样，漏洞危害等级越高，赏金越多。而且同一等级漏洞下，核心和边缘资产的悬赏也不一样，相同资产下，核心业务的赏金比边缘赏金要高。

以百度src为例子（https://bsrc.baidu.com/v2/#/announce/114）：

根据情报对公司整体业务的影响程度将漏洞等级分为【严重】、【高】、【中】、【低】、【忽略】五个等级。每个有效情报所得安全币数量=基础安全币*情报完整度。由BSRC结合情报的危害程度、影响范围等综合因素进行评级，并给予相应安全币，每种等级包含的评分标准及类型如下：

​

威胁情报等级说明：

【严重】

1. 针对核心业务系统的完整入侵证据或线索，能够帮助BSRC对入侵事件溯源分析、定位攻击者身份。
2. 重大0day漏洞。如操作系统或重要组件的未公开漏洞。
3. 能对百度营收产生重大影响的相关情报。如百度搜索、商业推广等相关的大规模作弊、牟利行为。
4. 对百度产品生态有重大直接影响的黑灰产情报（如大规模盗号事件的详细情报）。

【高危】

1. 针对非核心业务系统的完整入侵证据或线索，能够帮助BSRC对入侵事件溯源分析、定位攻击者身份。
2. 能对百度营收产生较大直接影响的相关情报。
3. 对百度产品生态有较大直接影响的黑灰产情报。

【中危】

1. 对特定业务营收产生较大直接影响的相关情报。
2. 对百度产品生态有一定直接影响，或对特定业务有较大直接影响的黑灰产情报。如针对贴吧等UGC产品的垃圾内容作弊情报。

【低危】

1. 少量的作弊线索、黑灰产人员组织结构等相关信息。
2. 有一定影响的作弊手法。

【忽略】

1. 不能证实、或人为制造的等虚假或无效威胁情报。
2. BSRC已知的威胁情报信息。
3. 不构成实际危害的情报信息。

 4、关注一些src平台漏洞

如果是白帽黑客，想要挖企业src，可以关注一些src的公众号，这些公众号会有一些活动，赏金也比平时的多。