各位未来的网络安全大佬们,是不是经常被“去哪儿挖洞?”这个问题困扰?别慌,今天就给大家安排一波网络安全挖洞平台,绝对是史上最全,要是还有遗漏,欢迎评论区补充,一起搞事情!(文末还有惊喜彩蛋哦!)
一、国内“寻宝”:众测平台大搜罗
| 名称 | 网址 |
|---|---|
| 漏洞盒子 | https://www.vulbox.com/ |
| 火线安全平台 | https://www.huoxian.cn/ |
| 漏洞银行 | https://www.bugbank.cn/ |
| 360漏洞众包响应平台 | https://src.360.net/ |
| 补天平台(奇安信) | https://www.butian.net/ |
| 春秋云测 | https://zhongce.ichunqiu.com/ |
| 雷神众测(可信众测,安恒) | https://www.bountyteam.com/ |
| 云众可信(启明星辰) | https://www.cloudcrowd.com.cn/ |
| ALLSEC | https://i.allsec.cn/#/ |
| 360众测 | https://zhongce.360.cn/ |
| 看雪众测(专注物联网) | https://ce.kanxue.com/ |
| CNVD众测平台 | https://zc.cnvd.org.cn/ |
| 工控互联网安全测试平台 | https://test.ics-cert.org.cn/ |
| 慢雾(区块链安全) | https://slowmist.io/bug-bounty.html |
| 平安汇聚 | http://isrc.pingan.com/homePage/index |
二、高阶玩家的乐园:前沿漏洞研究奖励计划
| 名称 | 网址 |
|---|---|
| 360bugcloud | https://bugcloud.360.cn/ |
| 知道创宇-女娲0day奖励 | https://nvwa.org/ |
| 微步0day奖励 | https://x.threatbook.cn/v5/vulReward |
| 华为产品 | https://bugbounty.huawei.com/#/program/list |
0day漏洞奖励计划,简直就是网络安全界的“一夜暴富”机会!
三、行业“定向爆破”:行业SRC
| 名称 | 网址 |
|---|---|
| 关键基础设施 | https://www.ics-cert.org.cn/portal/index.html |
| 教育行业SRC | https://src.sjtu.edu.cn/ |
专注特定行业,更容易挖到“独门秘籍”!
四、企业“自留地”:企业应急响应中心-SRC-汇总
1、互联网大厂
| 名称 | 网址 |
|---|---|
| 阿里 | https://asrc.alibaba.com/#/ |
| 腾讯 | https://security.tencent.com/ |
| 百度 | https://bsrc.baidu.com/v2/#/home |
| 美团 | https://security.meituan.com/#/home |
| 360 | https://security.360.cn/ |
| 网易 | https://aq.163.com/ |
| 字节跳动 | https://security.bytedance.com/ |
| 京东 | https://security.jd.com/#/ |
| 新浪 | http://sec.sina.com.cn/ |
| 微博 | https://wsrc.weibo.com/ |
| 搜狗 | http://sec.sogou.com/ |
| 金山办公 | https://security.wps.cn/ |
| 有赞 | https://src.youzan.com/ |
想进大厂?先从挖他们的SRC开始!
2、生活服务、住宿、购物相关企业
| 名称 | 网址 |
|---|---|
| 智联招聘 | https://src.zhaopin.com/#/ |
| 猎聘网 | https://security.liepin.com |
| BOSS直聘 | https://src.zhipin.com |
| 饿了么(阿里本地生活) | https://security.ele.me/ |
| 58同城 | https://security.58.com/ 接收赶集网、安居客、转转网等资产 |
| 千米(拉卡拉) | http://security.qianmi.com/ |
| wifi万能钥匙 | https://sec.wifi.com/ |
| 途虎养车 | https://security.tuhu.cn/ |
| 瓜子车 | https://security.guazi.com/home |
| 猪八戒 | https://security.zbj.com/ |
| 斗米 | https://security.doumi.com/ |
| 本木医疗 | https://security.benmu-health.com/src/ |
| 贝壳 | https://security.ke.com/ |
| 华住 | https://sec.huazhu.com/ |
| 自如 | https://zrsecurity.ziroom.com/ |
| 苏宁 | https://security.suning.com/ |
| 得物 | https://security.dewu.com/ |
| 唯品会 | https://sec.vip.com/ |
| 美丽联合(蘑菇街) | https://security.mogu.com/#/ |
| 敦煌网 | http://dhsrc.dhgate.com/ |
| 贝贝 | https://src.beibei.com.cn/ |
| DHgate | http://dhsrc.dhgate.com/ |
谁还没用过几个生活服务APP?挖他们的SRC,感觉就像在给自己“薅羊毛”!
3、物流、出行、旅游
| 名称 | 网址 |
|---|---|
| 菜鸟 | https://sec.cainiao.com/ |
| 顺丰 | http://sfsrc.sf-express.com/index |
| 中通 | https://sec.zto.com/home |
| 货拉拉 | https://llsrc.huolala.cn/#/home |
| 上汽安吉物流 | http://security.anji-plus.com/ |
| 银基汽车 | 公众号:银基汽车网络安全应急响应中心 |
| 理想汽车 | https://security.lixiang.com/index |
| 极氪汽车 | https://security.zeekrlife.com/ |
| 东方航空 | https://src.ceair.com/#/index |
| 滴滴出行 | http://sec.didichuxing.com/ |
| 享道出行 | https://src.saicmobility.com/ |
| T3出行 | https://security.t3go.cn/#/home |
| 携程旅游 | https://sec.ctrip.com/ |
| 同程旅游 | https://sec.ly.com/ |
| 去哪儿 | http://security.qunar.com/ |
| 途牛 | http://sec.tuniu.com/ |
| 马蜂窝 | https://security.mafengwo.cn/ |
以后出行前,先去挖一波他们的SRC,说不定能省下机票钱!
4、金融相关企业
| 名称 | 网址 |
|---|---|
| 蚂蚁金服(支付宝、网商银行等) | https://security.alipay.com/ |
| 银联 | https://security.unionpay.com/ |
| 平安 | https://security.pingan.com/ |
| 东方财富 | https://security.eastmoney.com/ |
| 微众银行 | https://security.webank.com/ |
| 众安保险 | https://security.zhongan.com/#/ |
| 老虎证券 | https://security.itiger.com/ |
| 度小满 | https://security.duxiaoman.com/views/main/index.html#home |
| 同程数科(原同程金服) | https://securitytcjf.com/ |
| 360数科 | https://security.360shuke.com |
| 融360 | https://security.rong360.com/#/ |
| 宜信 | https://security.creditease.cn/ |
| 富友 | https://fsrc.fuiou.com/ |
| 恒昌 | http://src.credithc.com/ |
| 小赢科技 | https://security.xiaoying.com/ |
| 你我贷 | http://www.niwodai.com/sec/index.do |
| 挖财 | https://sec.wacai.com/ |
| 易极付 | https://www.yiji.com/website/securityresponse.html |
| 甜橙金融 | https://linghou.bestpay.com.cn/ |
金融安全,责任重大!挖他们的SRC,成就感爆棚!
5、视频·游戏·直播·社交·娱乐
| 名称 | 网址 |
|---|---|
| 快手 | https://security.kuaishou.com/#/ |
| 哔哩哔哩 | https://security.bilibili.com/ |
| 爱奇艺 | https://security.iqiyi.com/ |
| 完美世界 | http://security.wanmei.com/ |
| 竞技世界 | https://security.jj.cn/ |
| 龙渊 | http://security.dragonest.com/ |
| 斗鱼 | https://security.eastmoney.com/ |
| YY | https://security.yy.com/ |
| 虎牙 | https://security.huya.com/ |
| 陌陌 | https://security.immomo.com/ 接收探探资产 |
| Soul | https://security.soulapp.cn/ |
| 世纪佳缘 | https://src.jiayuan.com/ |
| 百合网 | https://src.baihe.com/ |
| 快看漫画 | https://www.kuaikanmanhua.com/webs/securityBounty |
挖自己爱看的视频、爱玩的游戏的SRC,动力十足!
6、教育、问答、知识付费
| 名称 | 网址 |
|---|---|
| 好未来 | https://src.100tal.com/ |
| VIPKID | https://security.vipkid.com.cn/ |
| 掌门教育 | https://security.zhangmen.com/#/ |
| 平安好学 | https://sec.pahx.com/ |
| 一起教育 | https://security.17zuoye.com/ |
| 知识星球 | https://security.zsxq.com/ |
| 知乎 | https://www.zhihu.com/term/info-sec |
知识就是力量,挖教育平台的SRC,提升自己,还能拿奖励!
7、泛科技·通讯·物联网·云服务
| 名称 | 网址 |
|---|---|
| 华为 | https://bugbounty.huawei.com/#/home |
| 小米 | https://sec.xiaomi.com |
| oppo | https://security.oppo.com/cn/ |
| vivo | https://security.vivo.com.cn/#/home |
| 一加 | https://security.oneplus.cn/ |
| 荣耀 | https://security.hihonor.com/src/#/home |
| 大疆 | https://security.dji.com/ |
| 魅族 | https://sec.meizu.com/ |
| 萤石 | https://ysrc.ys7.com/#/home |
| 联想(漏洞盒子) | https://lsrc.vulbox.com/ |
| 涂鸦智能 | https://src.tuya.com/ |
| 中兴 | https://www.zte.com.cn/china/cybersecurity/ztepsirt.html |
| 海康威视 | https://www.hikvision.com/cn/support/CybersecurityCenter/ |
| 优刻得UCLOUD | https://sec.ucloud.cn/ |
| 金山云(漏洞盒子) | https://kysrc.vulbox.com/ |
| 科大讯飞 | https://security.iflytek.com/index.php |
| 263云通信 | https://www.263.net/263/helpcenter/security/ |
| 统信 | https://src.uniontech.com/ |
| 多点 | https://src.dmall.com/ |
科技改变生活,也带来了新的安全挑战,挖这些SRC,走在技术前沿!
8、安全企业
| 名称 | 网址 |
|---|---|
| 奇安信 | https://qianxin.butian.net/ |
| 深信服 | https://security.sangfor.com.cn/ |
| 安全狗 | http://security.safedog.cn/index.html |
| 安恒 | https://security.dbappsecurity.com.cn |
| 天融信 | https://src.topsec.com.cn/ |
挖安全企业的SRC,这波操作,简直是“套娃”!
9、其他
| 名称 | 网址 |
|---|---|
| 焦点科技 | https://security.focuschina.com/ |
| 伍林堂 | https://www.wulintang.net/index.php?m=&c=index&a=index |
| 法大大 | https://sec.fadada.com/ |
| 上上签 | https://src.bestsign.cn/ |
| 合合信息 | https://security.intsig.com/ |
| 企查查 | https://www.qcc.com/web/cms/cm_146516 |
| 水滴 | https://security.shuidihuzhu.com/ |
| bigo | https://security.bigo.sg/ |
| 微软 | https://www.microsoft.com/en-us/msrc?rtc=1 |
总有你没想到的“宝藏”!
挖洞前的“葵花宝典”:基础知识储备
想成为网络安全界的“东方不败”,没有扎实的基础可不行!
- 理论基石:计算机组成原理、计算机网络、计算机体系结构、操作系统、密码学、多媒体技术,大学计算机基础课程,一个都不能少!
- 编程技能:HTML、CSS、JavaScript、PHP、Java、Python、SQL、C、C++、Shell、汇编、NoSQL、PowerShell… 至少精通Python和SQL,语言学习周期大概两周到三月不等。
- 漏洞类型:SQL注入、XSS、文件包含、目录遍历、文件上传、信息泄露、CSRF、账号爆破、各种越权、缓冲区溢出、堆溢出、整形溢出、格式化字符串… 常见的网站漏洞和二进制漏洞都要掌握,还要学会绕过操作系统的保护机制。
- 协议理解:TCP、UDP拒绝服务、DNS劫持、ARP欺骗… 现在工控、物联网、AI等领域也有各种各样的漏洞,要持续学习。
- 工具运用:主流的网络安全工具都要熟练使用,数量至少几十种。
- 网站和通讯协议:客户端和服务器交互的整个流程,JavaScript、HTTP请求、Web服务器、数据库服务器、系统架构、负载均衡、DNS等知识都要熟练掌握。
- 开发框架:Java的SSH三大框架,PHP的主流框架和CMS,如织梦、ThinkPHP等。
- 数据库服务器:MySQL、SQL Server等。
- TCP编程:如果要做漏洞利用,需要掌握TCP编程。
- 加密算法:AES、RSA、3DES等各种加密算法,保障通讯安全。
- 端口爆破:掌握端口的爆破技术,比如字典的选择使用。
- 操作系统原理:了解软件在操作系统中的运行方式,内存布局、代码段、数据段、堆栈段等,还要了解系统的保护机制。
挖洞之路,道阻且长,但只要肯努力,就能成为网络安全界的“扫地僧”!
挖洞“避坑”指南:注意事项
- 细心至上:挖SRC一定要细心,慢慢分析,不能着急,越着急越容易错过漏洞。
- 信息搜集:不要着急出洞,先慢慢摸索厂商的各种信息,了解每个功能点,做好信息搜集。
- 数据包分析:分析每一个数据包,知道每个数据包对应的功能点在哪儿,知道数据包对应鉴权的地方在哪一块。
- 活动关注:多去关注厂商的活动,一般新上线的项目或者活动漏洞比较好挖一些。
- 信息关注:关注厂商信息,比如一些活动期间奖励翻倍等信息。
- 范围确认:千万要记住去看人家厂商的漏洞收录范围,不看范围挖漏洞=白干!
- 合法合规:SRC漏洞挖掘需要遵守法律规定,避免侵犯网站安全和用户隐私,同时需要遵循公司或组织的安全政策。
- 信息安全:在进行SRC漏洞挖掘时需要注意保护漏洞信息和利用手法的安全性,不应该泄露给未经授权的人员。
逻辑漏洞,是SRC漏洞中的“皇冠”,价值更高,但也更需要耐心和技巧!
总结
挖掘SRC漏洞需要全面的计算机安全知识和经验,不断学习和实践才能不断提升自己的技术水平。可以参考一些安全网站、博客和书籍来增加自己的知识储备,多花时间进行实践练习,不断完善和提升自己的技能。
记住,网络安全的道路没有终点,只有不断学习,才能成为真正的“漏洞猎手”!
网络安全学习路线&学习资源![]()
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
【“脚本小子”成长进阶资源领取】
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
网络安全学习路线&学习资源![]()
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
