全网最全挖漏洞平台汇总,零基础入门到精通,看这一篇就够了
3.漏洞方面,漏洞分很多种,根据不同的标准也会有交叉,黑客要掌握大部分漏洞的形成原理,检测方法,利用方法,修复方法,常见的网站漏洞有sq|注入,XSS, 文件包含,目录遍历,文件上传,信息泄露,CSRF, 账号爆破,各种越权等等,常见的二进制漏洞有缓冲区溢出,堆溢出,整形溢出,格式化字符串等等,分析的时候还要绕过操作系统的保护机制。协议的话也是存在漏洞的,比如TCP、UDP什么的拒绝服务,DNS劫
一、众测平台(国内)
| 名称 | 网址 |
|---|---|
| 漏洞盒子 | https://www.vulbox.com/ |
| 火线安全平台 | https://www.huoxian.cn/ |
| 漏洞银行 | https://www.bugbank.cn/ |
| 360漏洞众包响应平台 | https://src.360.net/ |
| 补天平台(奇安信) | https://www.butian.net/ |
| 春秋云测 | https://zhongce.ichunqiu.com/ |
| 雷神众测(可信众测,安恒) | https://www.bountyteam.com/ |
| 云众可信(启明星辰) | https://www.cloudcrowd.com.cn/ |
| ALLSEC | https://i.allsec.cn/#/ |
| 360众测 | https://zhongce.360.cn/ |
| 看雪众测(专注物联网) | https://ce.kanxue.com/ |
| CNVD众测平台 | https://zc.cnvd.org.cn/ |
| 工控互联网安全测试平台 | https://test.ics-cert.org.cn/ |
| 慢雾(区块链安全) | https://slowmist.io/bug-bounty.html |
| 平安汇聚 | http://isrc.pingan.com/homePage/index |
 |
二、前沿漏洞研究奖励计划
| 名称 | 网址 |
|---|---|
| 360bugcloud | https://bugcloud.360.cn/ |
| 知道创宇-女娲0day奖励 | https://nvwa.org/ |
| 微步0day奖励 | https://x.threatbook.cn/v5/vulReward |
| 华为产品 | https://bugbounty.huawei.com/#/program/list |
三、行业SRC
| 名称 | 网址 |
|---|---|
| 关键基础设施 | https://www.ics-cert.org.cn/portal/index.html |
| 教育行业SRC | https://src.sjtu.edu.cn/ |
四、企业应急响应中心-SRC-汇总
1、互联网企业
| 名称 | 网址 |
|---|---|
| 阿里 | https://asrc.alibaba.com/#/ |
| 腾讯 | https://security.tencent.com/ |
| 百度 | https://bsrc.baidu.com/v2/#/home |
| 美团 | https://security.meituan.com/#/home |
| 360 | https://security.360.cn/ |
| 网易 | https://aq.163.com/ |
| 字节跳动 | https://security.bytedance.com/ |
| 京东 | https://security.jd.com/#/ |
| 新浪 | http://sec.sina.com.cn/ |
| 微博 | https://wsrc.weibo.com/ |
| 搜狗 | http://sec.sogou.com/ |
| 金山办公 | https://security.wps.cn/ |
| 有赞 | https://src.youzan.com/ |
2、生活服务、住宿、购物相关企业
| 名称 | 网址 |
|---|---|
| 智联招聘 | https://src.zhaopin.com/#/ |
| 猎聘网 | https://security.liepin.com |
| BOSS直聘 | https://src.zhipin.com |
| 饿了么(阿里本地生活) | https://security.ele.me/ |
| 58同城 | https://security.58.com/接收赶集网、安居客、转转网等资产 |
| 千米(拉卡拉) | http://security.qianmi.com/ |
| wifi万能钥匙 | https://sec.wifi.com/ |
| 途虎养车 | https://security.tuhu.cn/ |
| 瓜子车 | https://security.guazi.com/home |
| 猪八戒 | https://security.zbj.com/ |
| 斗米 | https://security.doumi.com/ |
| 本木医疗 | https://security.benmu-health.com/src/ |
| 贝壳 | https://security.ke.com/ |
| 华住 | https://sec.huazhu.com/ |
| 自如 | https://zrsecurity.ziroom.com/ |
| 苏宁 | https://security.suning.com/ |
| 得物 | https://security.dewu.com/ |
| 唯品会 | https://sec.vip.com/ |
| 美丽联合(蘑菇街) | https://security.mogu.com/#/ |
| 敦煌网 | http://dhsrc.dhgate.com/ |
| 贝贝 | https://src.beibei.com.cn/ |
| DHgate | http://dhsrc.dhgate.com/ |
3、物流、出行、旅游
| 名称 | 网址 |
|---|---|
| 菜鸟 | https://sec.cainiao.com/ |
| 顺丰 | http://sfsrc.sf-express.com/index |
| 中通 | https://sec.zto.com/home |
| 货拉拉 | https://llsrc.huolala.cn/#/home |
| 上汽安吉物流 | http://security.anji-plus.com/ |
| 银基汽车 | 公众号:银基汽车网络安全应急响应中心 |
| 理想汽车 | https://security.lixiang.com/index |
| 极氪汽车 | https://security.zeekrlife.com/ |
| 东方航空 | https://src.ceair.com/#/index |
| 滴滴出行 | http://sec.didichuxing.com/ |
| 享道出行 | https://src.saicmobility.com/ |
| T3出行 | https://security.t3go.cn/#/home |
| 携程旅游 | https://sec.ctrip.com/ |
| 同程旅游 | https://sec.ly.com/ |
| 去哪儿 | http://security.qunar.com/ |
| 途牛 | http://sec.tuniu.com/ |
| 马蜂窝 | https://security.mafengwo.cn/ |
4、金融相关企业
| 名称 | 网址 |
|---|---|
| 蚂蚁金服(支付宝、网商银行等) | https://security.alipay.com/ |
| 银联 | https://security.unionpay.com/ |
| 平安 | https://security.pingan.com/ |
| 东方财富 | https://security.eastmoney.com/ |
| 微众银行 | https://security.webank.com/ |
| 众安保险 | https://security.zhongan.com/#/ |
| 老虎证券 | https://security.itiger.com/ |
| 度小满 | https://security.duxiaoman.com/views/main/index.html#home |
| 同程数科(原同程金服) | https://securitytcjf.com/ |
| 360数科 | https://security.360shuke.com |
| 融360 | https://security.rong360.com/#/ |
| 宜信 | https://security.creditease.cn/ |
| 富友 | https://fsrc.fuiou.com/ |
| 恒昌 | http://src.credithc.com/ |
| 小赢科技 | https://security.xiaoying.com/ |
| 你我贷 | http://www.niwodai.com/sec/index.do |
| 挖财 | https://sec.wacai.com/ |
| 易极付 | https://www.yiji.com/website/securityresponse.html |
| 甜橙金融 | https://linghou.bestpay.com.cn/ |
5、视频·游戏·直播·社交·娱乐
| 名称 | 网址 |
|---|---|
| 快手 | https://security.kuaishou.com/#/ |
| 哔哩哔哩 | https://security.bilibili.com/ |
| 爱奇艺 | https://security.iqiyi.com/ |
| 完美世界 | http://security.wanmei.com/ |
| 竞技世界 | https://security.jj.cn/ |
| 龙渊 | http://security.dragonest.com/ |
| 斗鱼 | https://security.eastmoney.com/ |
| YY | https://security.yy.com/ |
| 虎牙 | https://security.huya.com/ |
| 陌陌 | https://security.immomo.com/ 接收探探资产 |
| Soul | https://security.soulapp.cn/ |
| 世纪佳缘 | https://src.jiayuan.com/ |
| 百合网 | https://src.baihe.com/ |
| 快看漫画 | https://www.kuaikanmanhua.com/webs/securityBounty |
6、教育、问答、知识付费
| 名称 | 网址 |
|---|---|
| 好未来 | https://src.100tal.com/ |
| VIPKID | https://security.vipkid.com.cn/ |
| 掌门教育 | https://security.zhangmen.com/#/ |
| 平安好学 | https://sec.pahx.com/ |
| 一起教育 | https://security.17zuoye.com/ |
| 知识星球 | https://security.zsxq.com/ |
| 知乎 | https://www.zhihu.com/term/info-sec |
7、泛科技·通讯·物联网·云服务
| 名称 | 网址 |
|---|---|
| 华为 | https://bugbounty.huawei.com/#/home |
| 小米 | https://sec.xiaomi.com |
| oppo | https://security.oppo.com/cn/ |
| vivo | https://security.vivo.com.cn/#/home |
| 一加 | https://security.oneplus.cn/ |
| 荣耀 | https://security.hihonor.com/src/#/home |
| 大疆 | https://security.dji.com/ |
| 魅族 | https://sec.meizu.com/ |
| 萤石 | https://ysrc.ys7.com/#/home |
| 联想(漏洞盒子) | https://lsrc.vulbox.com/ |
| 涂鸦智能 | https://src.tuya.com/ |
| 中兴 | https://www.zte.com.cn/china/cybersecurity/ztepsirt.html |
| 海康威视 | https://www.hikvision.com/cn/support/CybersecurityCenter/ |
| 优刻得UCLOUD | https://sec.ucloud.cn/ |
| 金山云(漏洞盒子) | https://kysrc.vulbox.com/ |
| 科大讯飞 | https://security.iflytek.com/index.php |
| 263云通信 | https://www.263.net/263/helpcenter/security/ |
| 统信 | https://src.uniontech.com/ |
| 多点 | https://src.dmall.com/ |
8、安全企业
| 名称 | 网址 |
|---|---|
| 奇安信 | https://qianxin.butian.net/ |
| 深信服 | https://security.sangfor.com.cn/ |
| 安全狗 | http://security.safedog.cn/index.html |
| 安恒 | https://security.dbappsecurity.com.cn |
| 天融信 | https://src.topsec.com.cn/ |
9、其他
| 名称 | 网址 |
|---|---|
| 焦点科技 | https://security.focuschina.com/ |
| 伍林堂 | https://www.wulintang.net/index.php?m=&c=index&a=index |
| 法大大 | https://sec.fadada.com/ |
| 上上签 | https://src.bestsign.cn/ |
| 合合信息 | https://security.intsig.com/ |
| 企查查 | https://www.qcc.com/web/cms/cm_146516 |
| 水滴 | https://security.shuidihuzhu.com/ |
| bigo | https://security.bigo.sg/ |
| 微软 | https://www.microsoft.com/en-us/msrc?rtc=1 |
挖漏洞需要掌握的基础知识
首先说说基础理论知识:
1.计算机组成原理、计算机网络、计算机体系结构、计算机操作系统,密码学,多媒体技术等等。这些都需要掌握总之一句话就是大学计算机的基础课程。
2.编程: HTML、CSS、JavaScript、 PHP、 Java、 Python、 sql、 C、C++、 shell,汇编、nosql. powershell等等常见的语言基础都需要掌握,至少要熟练使用Python和sq|,这些语言都要学习两周到两三个月吧!
3.漏洞方面,漏洞分很多种,根据不同的标准也会有交叉,黑客要掌握大部分漏洞的形成原理,检测方法,利用方法,修复方法,常见的网站漏洞有sq|注入,XSS, 文件包含,目录遍历,文件上传,信息泄露,CSRF, 账号爆破,各种越权等等,常见的二进制漏洞有缓冲区溢出,堆溢出,整形溢出,格式化字符串等等,分析的时候还要绕过操作系统的保护机制。
协议的话也是存在漏洞的,比如TCP、UDP什么的拒绝服务,DNS劫持,ARP欺骗等等, 现在工控、物联网、AI什么的也都有各种各样的漏洞。
4.需要掌握的工具,工具太多, 基本上目前主流的客工具都要熟练使用,应该有几十种吧。上文已经详细阐述,这里就不赘述了。
5.还有网站和通讯协议吧,客户端和服务器,用户输入网址点击访问到服务器返回网页这其中涉及的知识,如JavaScript, http请求, web服务器,数据库服务器,系统架构,负载均衡,DNS,等等是要熟练掌握的,然后说说主流的网站开发框架,其中Java的SSH三大框架要了解有什么漏洞啥的PHP的主流框架和CMS要了解,最好上面的框架都会掌握,如织梦,thinkPHP等等,另外主流的数据库服务器要了解如MySQL,sql server等。
如果要做漏洞利用的话涉及到TCP等编程,要会TCP编程, 如果为了通讯安全,要掌握当前主流的加密算法,如AES, RSA, 3DES等等各种加密算法,如果要对端口进行暴力破解,要掌握端口的爆破技术,比如字典的选择使用。
还有要了解软件运行的时候在操作系统里怎么运行的,从计算机磁盘文件加载到内存,怎么布局的,代码段,数据段,堆栈段什么的,代码的参数在堆栈布局,内存地址什么的,另外还要了解系统的保护机制如代码执行保护等等。
当然挖漏洞需要学习的东西还有很多,很都东西都很关键。能走多远,就看你的执行力和兴趣了。
挖漏洞的注意事项
挖SRC一定要细,慢慢的去分析,不能着急往往越着急越挖不倒,这里可以给大家一些建议,在挖掘SRC期间
1. 不要着急出洞,先去慢慢摸索厂商的各种信息,了解每个功能点(做好信息搜集)
2. 去分析每一个数据包,知道每个数据包对应的功能点在哪儿,去知道数据包对应鉴权的地方在哪一块
3. 多去关注厂商的活动,一般新上线的项目或者活动漏洞比较好挖一些
4. 关注厂商信息,比如一些活动期间奖励翻倍等信息
5. 千万要记住去看人家厂商的漏洞收录范围,不看范围挖漏洞=白干
6. SRC漏洞挖掘需要遵守法律规定,避免侵犯网站安全和用户隐私,同时需要遵循公司或组织的安全政策。
7. 在进行SRC漏洞挖掘时需要注意保护漏洞信息和利用手法的安全性,不应该泄露给未经授权的人员。
SRC逻辑漏洞一般产出比较高的漏洞就在于逻辑漏洞,别的漏洞也有但是相比起来逻辑漏洞的价值更高**
题外话
黑客&网络安全如何学习
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。
内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
有“AI”的1024 = 2048,欢迎大家加入2048 AI社区
更多推荐
31
0- 0
已为社区贡献38条内容
所有评论(0)