初涉SRC漏洞挖掘须知

一、前言

这篇文章旨在帮助大家了解SRC漏洞挖掘过程中合规测试，以及前期准备，同时还对目前常见的涵盖较广的漏洞平台做出粗略介绍。

对于SRC漏洞挖掘，每个平台存在每个平台独属自己的行为规范，所以对于新手来说，想要挖掘漏洞并提交至漏洞报送平台，查看

平台测试相关和行为规范就尤为重要；其次，还需要查看该平台收录范围，这样避免打偏，造成不必要的意外；当然，也需要去看看平台评分标准（对低、中高危漏洞的评定标准）；一般在帮助中心和公告处会有说明和显示。

二、SRC漏洞挖掘中的合规操作

以下是edusrc平台测试规范

自己总结以下几点：

1、禁止对网站及他人相关数据和敏感信息进行修改、增加和删除、禁止拖库。

2、漏洞测试仅验证存在即可，不可进行有害化利用，不可进行内网渗透。

3、测试过程和之后确保不影响系统正常业务，及时删除测试过程中遗留的文件和权限。

4、禁止大规模遍历用户信息，禁止保存和传播获取到的数据。

5、禁止使用大规模扫描器进行漏洞挖掘，测试时尽量多采取手工测试，使用的工具确保不会影响系统稳定和正常运行。

6、测试文件上传时禁止上传木马文件，证明解析即可。

7、反射型xss和存储类型PDF型xss在edusrc不收取、仅对存储型中HTML、svg、XML进行收取，对于企业当然反射型也收取。

8、edusrc对于信息泄露仅收取身份证和密码，对于系统拥有高权限账号的弱口令(包含以信息收集工号/工号进入权限较高可以查询修改其他较多用户信息信息当然也可以尝试提交，说不定会有惊喜)等也会进行收取。

9、若在测试过程中存在疑问，最有效和最快的方法当然是去和平台审核进行沟通和交流（一般加入平台相应qq群聊即可找到审核）。

10、最后，挖掘到漏洞，及时提交至漏洞报送平台。

......

三、适合新手的漏洞报送平台

1、教育漏洞报告平台(EDUSRC)

https://src.sjtu.edu.cn/

平台收录范围：教育、人社、中科院。

注：各大高校附属医院不在测试范围之内，不要去测试。

平台注册可能需要邀请码，这里大家可以私信公众号后台（可以提供）；当然，也有不需要邀请码的方式，只需要在平台上选择无邀请码注册，提交一个漏洞等待审核通过后账号可自动注册成功。

平台内礼品中心可兑换漏洞报送证书和礼品，相应的高校漏洞报送证书及礼品需要提交该高校不同危害的漏洞即可换取

个人比较推荐可以多尝试高校漏洞挖掘，毕竟谁不想为自己和好朋友高校的网络安全出一份力呢！！！

这里也说一句，平台显示不一定代表修复，当然等待修复也不一定是没有修复，其实可能已经是修复好了的；即使没有修复，本人也不需要再次提交，提交了应该也只会被做重复打回处理，除非是对该处漏洞点修复过后进行的二次绕过等问题可以再次提交。

不建议新手一开始就从证书站开始，因为证书也需要一定的金币进行兑换（1rank=1金币，换取礼品仅扣除金币，不会降低自己排名的rank），所以新手可以先去广泛尝试，对edusrc平台收录资产进行测试，说不定哪一天就冒出来一个证书站中高危漏洞。

2、补天漏洞响应平台

https://www.butian.net/

该平台存在大量奖励机制，对于新手时不时会有提交10个0权漏洞（下面详细说明）获取礼品的活动。这里不得不夸赞平台审核速度极快，一般两三个工作日，当然，有时候会存在特殊情况。

所谓权重，以前补天平台是以爱站网（https://www.aizhan.com/）移动权重大于等于1或者谷歌权重大于等于3来进行收取；但最近补天全面开启无权重收取，奖励机制不同而已。

对于存在权重但不属于平台所有专属SRC的漏洞，平台一般会奖励一定的库币，简称kb（1kb=5元），中危及以上会奖励一定的积分，在极客空间会显示kb还有积分和排名；对于0权重的漏洞，则会奖励荣誉币，每天进行签到同样可获取到一定荣誉币，荣誉币可以兑换成kb（5000荣誉币=1kb）。

补天商城只有kb才能进行礼品兑换，积攒到一定kb后可进入商城兑换：商城分为JD专区（价格偏高）和补天专区（多为周边而且较为便宜，节假日也有礼盒可兑换）。

权重仅仅是对公益漏洞而言，对于平台存在的公益厂商或者是专属SRC是不存在权重一说，对于专属SRC，需要自行去项目大厅完成报名，获取到资产范围（注意看清可测试的范围和不收录的资产）后进行测试提交即可。这里除了积分奖励外，还会有奖金作为提交漏洞的奖励（来自厂商的致谢）。

3、漏洞盒子

https://www.vulbox.com/

这也是一个对新手很友好的漏洞响应平台，因为它收取的漏洞很广泛，当然其中也存在许多企业，也会存在奖金作为奖励。提交公益漏洞需要参加公益SRC项目，平台会对提交的公益漏洞进行判定和积分奖励，每个赛季初始积分一致，达到钻石段位并且在公益月榜上排名靠前则会有项目入场券和金币奖励，因为本人对该平台涉及不多所以就不过多阐述，更多的信息师傅们有想法可以去了解了解。

四、结语

最后，在此祝愿每一位致力于为中国不管是高校、还是企业、亦或是公益网络安全做贡献的同路人，都能在各大漏洞报送平台上留下独属于自己的足迹。

后续我会在公众号上继续和大家分享在漏洞挖掘中的经验和所得，有什么想法和建议欢迎后台留言，希望大家能多多支持，更希望能和广大师傅们相互学习，共同进步、一起成长！！！