1漏洞盒子: https://www.vulbox.com/
门槛比较低,几乎什么漏洞都收。
提交漏洞时,可以选择公益SRC,也可以选择企业SRC(有赏金,挖掘难度大),这些案例也可以经过脱敏处理,写到你的简历项目中。
1.1注册和漏洞提交步骤
1)注册,
1漏洞盒子: https://www.vulbox.com/
门槛比较低,几乎什么漏洞都收。
提交漏洞时,可以选择公益SRC,也可以选择企业SRC(有赏金,挖掘难度大),这些案例也可以经过脱敏处理,写到你的简历项目中。
1.1注册和漏洞提交步骤
1)注册,最好使用真实信息,方便以后挖掘专属SRC,获取赏金。
2) 登录后,先考虑挖公益SRC。
3) 提交公益SRC的漏洞,点击菜单"项目大厅"
4)点击公益src中的"提交漏洞按钮",进入到提交漏洞页面。
5) 填写提交漏洞信息
漏洞标题:西安夏溪电子科技有限公司反射型XSS漏洞
漏洞类别:事件型
参与评定:普通漏洞
厂商名称: 西安夏溪电子科技有限公司
漏洞类型:选择对应的类型即可。Web漏洞/XSS/反射型XSS
漏洞等级: 低危
漏洞简述:西安夏溪电子科技有限公司网站,查询功能中存在反射型XSS漏洞
漏洞url/功能点: http://www.xiatech.com.cn/Select.asp
漏洞poc请求包:<script>alert(1)</script>
复现步骤:
1.域名/IP归属证明 --注释:在站长工具中通过域名查询
2.打开网站首页: http://www.xiatech.com.cn/index.asp 在查找文本框中输入payload:<script>alert(1)</script> ,然后点击查找按钮。
3.点击查找按钮,弹框,说明此处存在反射型XSS漏洞
最后,填写所属地区,行业,行业分类,点击提交漏洞按钮。
修复建议:
对用户输入的查找数据,在后台做html实体字符替换。
1.2比较好挖的漏洞:
任意注册
任意登录
sql注入
xss
敏感信息泄露
2补天SRC: https://www.butian.net/
门槛稍微高一点,有些漏洞不收的,例如,反射型XSS可能不收。对有漏洞的网站有权重的排名要求。
3 CNVD: https://www.cnvd.org.cn/
门槛稍微高一点,在这儿提交,主要想获取CNVD颁发的原创漏洞证书。另外,可以浏览安全新闻和安全文章获取最新安全资讯和技术。
如何获取CNVD原创漏洞证书
https://zhuanlan.zhihu.com/p/628618646
https://developer.aliyun.com/article/1224737
4.教育SRC: https://src.sjtu.edu.cn/
专属各大高校的网站漏洞提交平台
5. 各大厂商的SRC平台
https://blog.csdn.net/weixin_49944784/article/details/130436891
https://blog.csdn.net/weixin_49944784/article/details/131128107
6.国外的SRC平台
https://blog.csdn.net/weixin_42109829/article/details/126776969
7.注意事项
因为提交漏洞时,我们是没有取得书面授权的,很多事不能做的。
不能修改管理员密码
不能向网站上传木马
不能修改原有的数据
点到为止(验证网站有漏洞即可,不要做漏洞利用)。
尽量不要使用扫描工具扫未授权的网站!
不要一个漏洞在多个src平台提交。
