漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。漏洞可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。
补天漏洞响应平台是专注于漏洞响应的第三方公益平台。补天平台通过充分引导民间白帽的力量,实现实时、高效的漏洞报告与响应,守护企业网络安全,积极推动互联网安全行业的发展。被公安部、工信部、CNCERT、国测等机构评定为优秀技术支撑单位。
补天平台通过专属SRC、众测两大业务模式服务广大企业,以安全众包的形式让白帽子从模拟攻击者的角度发现问题,解决问题,帮助企业树立动态、综合的防护理念,维护企业的网络安全。如果您发现相关漏洞问题,欢迎您向平台提交漏洞信息,补天平台将会安排专业审核人员进行漏洞核实,并对于您为提升公共网络安全做出的努力给予致谢及奖励。
网聚安全力量,为社会提供准确、详实的安全情报,让全中国网络都实现漏洞的及时发现与快速响应是补天平台始终坚持并不断履行的社会使命。
《互联网群组信息服务管理规定》已经于2017年10月8日正式施行。该规定强调,群组信息服务提供者应当对互联网群组信息服务使用者进行真实身份信息认证,建立信用等级管理体系,合理设定群组规模,实施分级分类管理,并采取必要措施保护使用者个人信息安全。
补天平台会全方位保护用户的信息安全,请大家放心进行实名认证,同时需要注意若提示“请检查录入的身份证、手机号码对应的是否为同一个人的信息”则是因为手机号的注册信息不是本人的身份证信息,需要联系手机号运营商进行注册信息的更改或者更换手机号注册,同时新注册的手机号或者刚更改完注册信息的手机号需要7个工作日左右的时间生效,请耐心等待7个工作日再来进行实名认证哦~
1.登陆后点击提交漏洞
2.可以参考规范化提交漏洞须知以及右侧注意事项,按要求填写提交即可
补天收录专属SRC以及公益SRC、未注册厂商的漏洞,具体漏洞收取及奖励详见补天漏洞奖励计划:https://butian.net/Help/plan
更多福利奖励请见活动中心/个人空间,关注【补天平台】公众号,获得最新消息。
具体漏洞收录细则:https://butian.net/Help/plan
通用漏洞:第三方软件,应用,系统对应的漏洞。如ECShop、Discuz、PHPCMS的SQL注入,XSS漏洞。开源软件,安全浏览器,手机应用,路由器,开发框架,甚至是某VPN系统某防火墙系统的漏洞。
事件漏洞:即非通用型漏洞,主要是指互联网上应用的一个具体漏洞,xx网站命令执行可被渗透,xx电商订单泄漏任意充值,xx网站应用SQL注入可导致信息泄露等等。
在项目大厅我们可以看到专属SRC、公益SRC还有就是未注册的厂商了。
专属SRC是由厂商进行奖励计划的设置,规定白帽的可测范围以及不同等级的漏洞奖金范围,白帽子可以点击厂商查看具体的奖励计划
公益SRC的奖励具体可以查看【补天奖励计划】
补天奖励计划:https://www.butian.net/Help/plan
如果你是新人小白,或者刚刚入门不久,可以先从公益SRC或者权重稍低一些的互联网厂商入手哦,积累了一定的挖洞经验后,就可以考虑挑战专属SRC并冲一冲排行榜了。
漏洞提交后补天审核团队会确认漏洞是否有效,审核通过后我们会通过各方渠道积极与厂商取得联系,因此在“审核”完成后通常需要7天左右的时间等待厂商认领及处理。当有厂商认领处理漏洞后,通常1-2个工作日内我们就会确认该漏洞。如果7天以内没有厂商认领漏洞,7天之后1个工作日内我们就会确认该漏洞。
漏洞提交后补天先进行审核,一般是1个工作日左右会完成,审核通过厂商进行复审,一般情况下厂商会在一周内审核完成,若无异议进行奖金的发放。若超过一周厂商仍未审核,正常情况下则自动判定为审核通过,奖金确认后7个工作日左右会到账。
补天会在该阶段对新提交的漏洞进行审核,对漏洞初审,避免向厂商转交无效漏洞。
待补充漏洞细节过于简单,没有截图或者链接,请提供具体细节后再提交。
审核不通过该阶段补天可以以以下理由忽略漏洞:
1.漏洞无法复现;
2.漏洞真实存在,但是影响不大,实际带来危害较小;
3.漏洞属抄袭,或未经验证的提交;
4. 无法联系到厂商,厂商太小(权重小于1)或者已停止维护;
5. 漏洞与平台现有记录重复或互联网上细节已公开。
审核通过这个阶段是补天已通过漏洞审核,将与厂商取得联系,可能会花费数日,需要耐心等待。漏洞确认即代表厂商确认漏洞有效。若厂商未认领,将转交相关监管部门处理。
该阶段厂商可以以以下理由忽略漏洞:
1. 误归属,漏洞不属于所属厂商;
2. 漏洞重复;
3. 无影响。
奖金确认中该阶段表明漏洞已经被厂商确认有效,正在确认最终奖金。
奖金已确认该阶段表示奖金确认完成
待打款该阶段表示在等待财务打款,一般是每周三打款。
打款完成请确认银行卡账户是否已收到奖金。
登录自己的账号,在个人空间【漏洞列表】页面,审核不通过后面有“原因”,鼠标放在上面即可查看不通过的原因
为了给广大白帽子们答疑解惑,我们为大家准备了精炼的模板,助你提升漏洞准确率!详情请点击,漏洞提交官方模版:
可以关注【补天漏洞响应平台】,漏洞进度会进行服务通知的推送,或在官网-个人中心-漏洞列表进行查看
公益SRC和未注册厂商的奖励分为库币(以下简称KB)和现金奖励。
KB是什么?
KB是补天平台的虚拟积分,KB可以在补天商城及京东商城兑换等值礼品。
专属SRC的漏洞全部为现金奖励,奖金范围需要查看每个厂商的奖励计划范围
现金奖励补天平台每周三打款,预计48小时到帐,注意在平台填写完整打款信息哦。
KB审通过后7天打款,可以在个人空间查看KB余额。
1.关注补天公众号【补天平台】,补天所有的活动都会在补天平台公众号进行推送。
2.进入补天官网【活动中心】进行报名,有些活动需要在活动中心报名后才可参与。
3.提供补天昵称或有效漏洞编号加入补天官方沟通QQ群:777567082,获取更多活动提醒。
点击白帽服务-风云排行可以查看补天榜单情况
补天榜单分为【风云榜】和【月度荣誉榜】
1.风云榜分为月度和总排行,积分最多的、获得赏金最高的、提交漏洞有效率最高的白帽子可成功上榜。
2.月度荣誉榜分为荣耀个人、荣耀团队以及跃秀新星,上榜即可获得对应奖金,具体评选规则请查看:https://www.butian.net/Article/content/id/527
进入【个人空间】可查看补天积分、补天称号、补天排名
注:
1.低危且奖励≤1KB的漏洞无积分;
2.降级奖励的漏洞不降积分,即中危1KB漏洞=2积分;高危1KB漏洞=4积分。
3.单个漏洞积分不超过1000。
补天排名1-10,安全专家
补天排名11-50,精英白帽
补天排名51-200,高级白帽
补天排名201-500,中级白帽
补天排名低于501,初级白帽
白帽子可以点击-个人空间-我的团队,进行团队的创建或者加入
5级别白帽子才可以创建团队,团长拥有管理团队、审核团员加入的申请和确认团队得到的奖励的权利,管理费用是指当该团队上榜或者参与活动获得奖金后,奖金会先扣除X%给到队长作为管理费,其余根据贡献进行分配。
点击想要加入的团队并申请即可,需要联系队长或者运营进行审核
在这里,你可以阅读技术大牛的文章分享,每一篇都是干货满满,还有机会与大神交流互动哦;除此之外,你还可以投稿发帖,审核通过即可获得奖金!社区长期针对优秀的话题文章进行征集,1金币-1000RMB 不等的奖励。
金币是社区币,1金币=1RMB,获取的金币可在攻防社区商城内兑换礼品。
社区会不定期推出各种精彩活动,奖励多多,还请大家多多关注社区。
社区鼓励原创文章。被社区经过现金奖励的首发原创话题,不允许再发布到其他任何平台,欢迎社区内成员监督,发现被奖励的文章,二次发表,经管理核实后发放一定的举报奖励,同时对双投纸巾者进行处罚。
对于已经在其他网站发表的话题,在社区不知情的情况下对其进行打款奖励,而不说出实情的成员,一经发现严肃处理,同时欢迎社区内成员监督。
作为你的技能加油站,相信我,这里一定会让你满载而归!
补天线下沙龙是由补天漏洞响应平台打造的线下交流学术系列活动。旨在集结行业领袖、技术大牛,精英白帽子,通过议题分享与交流探讨的形式,为信息安全从业者和爱好者搭建学习与沟通的平台。期望以行业趋势展望、实战经验分享、技术议题讨论等,提升安全从业者及爱好者的技术实力,拓展视野、提升格局、加速成长。关于活动信息请关注【补天漏洞响应平台】和【补天平台】公众号的文章推送。
补天白帽咨询电话:010-56509093
补天企业咨询电话:010-56509036
补天反馈邮箱:
补天官方QQ群: 补天5群:777567082
众测运营:荷兰豆;QQ:2656450853
白帽运营:补天线上活动、日常答疑,柠檬、维维豆奶;QQ:1695776365 ;
线下活动,罗宾;QQ:2287141655。
官方公众号【补天漏洞响应平台】:获取漏洞状态提醒
【补天平台】:获取活动通知
问题反馈
