2025全网最全挖漏洞平台汇总,零基础入门到精通,看这一篇就够了!
前言
有很多小伙伴问我,不知道要去哪挖洞,今天就给大家整理了一些挖洞平台,如有遗漏,欢迎补充~(文末有浮力哦!)
一、众测平台(国内)
| 名称 | 网址 |
|---|---|
| 漏洞盒子 | https://www.vulbox.com/ |
| 火线安全平台 | https://www.huoxian.cn/ |
| 漏洞银行 | https://www.bugbank.cn/ |
| 360漏洞众包响应平台 | https://src.360.net/ |
| 补天平台(奇安信) | https://www.butian.net/ |
| 春秋云测 | https://zhongce.ichunqiu.com/ |
| 雷神众测(可信众测,安恒) | https://www.bountyteam.com/ |
| 云众可信(启明星辰) | https://www.cloudcrowd.com.cn/ |
| ALLSEC | https://i.allsec.cn/#/ |
| 360众测 | https://zhongce.360.cn/ |
| 看雪众测(专注物联网) | https://ce.kanxue.com/ |
| CNVD众测平台 | https://zc.cnvd.org.cn/ |
| 工控互联网安全测试平台 | https://test.ics-cert.org.cn/ |
| 慢雾(区块链安全) | https://slowmist.io/bug-bounty.html |
| 平安汇聚 | http://isrc.pingan.com/homePage/index |
二、前沿漏洞研究奖励计划
| 名称 | 网址 |
|---|---|
| 360bugcloud | https://bugcloud.360.cn/ |
| 知道创宇-女娲0day奖励 | https://nvwa.org/ |
| 微步0day奖励 | https://x.threatbook.cn/v5/vulReward |
| 华为产品 | https://bugbounty.huawei.com/#/program/list |
三、行业SRC
| 名称 | 网址 |
|---|---|
| 关键基础设施 | https://www.ics-cert.org.cn/portal/index.html |
| 教育行业SRC | https://src.sjtu.edu.cn/ |
四、企业应急响应中心-SRC-汇总
1、互联网企业
| 名称 | 网址 |
|---|---|
| 阿里 | https://asrc.alibaba.com/#/ |
| 腾讯 | https://security.tencent.com/ |
| 百度 | https://bsrc.baidu.com/v2/#/home |
| 美团 | https://security.meituan.com/#/home |
| 360 | https://security.360.cn/ |
| 网易 | https://aq.163.com/ |
| 字节跳动 | https://security.bytedance.com/ |
| 京东 | https://security.jd.com/#/ |
| 新浪 | http://sec.sina.com.cn/ |
| 微博 | https://wsrc.weibo.com/ |
| 搜狗 | http://sec.sogou.com/ |
| 金山办公 | https://security.wps.cn/ |
| 有赞 | https://src.youzan.com/ |
2、生活服务、住宿、购物相关企业
| 名称 | 网址 |
|---|---|
| 智联招聘 | https://src.zhaopin.com/#/ |
| 猎聘网 | https://security.liepin.com |
| BOSS直聘 | https://src.zhipin.com |
| 饿了么(阿里本地生活) | https://security.ele.me/ |
| 58同城 | https://security.58.com/接收赶集网、安居客、转转网等资产 |
| 千米(拉卡拉) | http://security.qianmi.com/ |
| wifi万能钥匙 | https://sec.wifi.com/ |
| 途虎养车 | https://security.tuhu.cn/ |
| 瓜子车 | https://security.guazi.com/home |
| 猪八戒 | https://security.zbj.com/ |
| 斗米 | https://security.doumi.com/ |
| 本木医疗 | https://security.benmu-health.com/src/ |
| 贝壳 | https://security.ke.com/ |
| 华住 | https://sec.huazhu.com/ |
| 自如 | https://zrsecurity.ziroom.com/ |
| 苏宁 | https://security.suning.com/ |
| 得物 | https://security.dewu.com/ |
| 唯品会 | https://sec.vip.com/ |
| 美丽联合(蘑菇街) | https://security.mogu.com/#/ |
| 敦煌网 | http://dhsrc.dhgate.com/ |
| 贝贝 | https://src.beibei.com.cn/ |
| DHgate | http://dhsrc.dhgate.com/ |
3、物流、出行、旅游
| 名称 | 网址 |
|---|---|
| 菜鸟 | https://sec.cainiao.com/ |
| 顺丰 | http://sfsrc.sf-express.com/index |
| 中通 | https://sec.zto.com/home |
| 货拉拉 | https://llsrc.huolala.cn/#/home |
| 上汽安吉物流 | http://security.anji-plus.com/ |
| 银基汽车 | 公众号:银基汽车网络安全应急响应中心 |
| 理想汽车 | https://security.lixiang.com/index |
| 极氪汽车 | https://security.zeekrlife.com/ |
| 东方航空 | https://src.ceair.com/#/index |
| 滴滴出行 | http://sec.didichuxing.com/ |
| 享道出行 | https://src.saicmobility.com/ |
| T3出行 | https://security.t3go.cn/#/home |
| 携程旅游 | https://sec.ctrip.com/ |
| 同程旅游 | https://sec.ly.com/ |
| 去哪儿 | http://security.qunar.com/ |
| 途牛 | http://sec.tuniu.com/ |
| 马蜂窝 | https://security.mafengwo.cn/ |
4、金融相关企业
| 名称 | 网址 |
|---|---|
| 蚂蚁金服(支付宝、网商银行等) | https://security.alipay.com/ |
| 银联 | https://security.unionpay.com/ |
| 平安 | https://security.pingan.com/ |
| 东方财富 | https://security.eastmoney.com/ |
| 微众银行 | https://security.webank.com/ |
| 众安保险 | https://security.zhongan.com/#/ |
| 老虎证券 | https://security.itiger.com/ |
| 度小满 | https://security.duxiaoman.com/views/main/index.html#home |
| 同程数科(原同程金服) | https://securitytcjf.com/ |
| 360数科 | https://security.360shuke.com |
| 融360 | https://security.rong360.com/#/ |
| 宜信 | https://security.creditease.cn/ |
| 富友 | https://fsrc.fuiou.com/ |
| 恒昌 | http://src.credithc.com/ |
| 小赢科技 | https://security.xiaoying.com/ |
| 你我贷 | http://www.niwodai.com/sec/index.do |
| 挖财 | https://sec.wacai.com/ |
| 易极付 | https://www.yiji.com/website/securityresponse.html |
| 甜橙金融 | https://linghou.bestpay.com.cn/ |
5、视频·游戏·直播·社交·娱乐
| 名称 | 网址 |
|---|---|
| 快手 | https://security.kuaishou.com/#/ |
| 哔哩哔哩 | https://security.bilibili.com/ |
| 爱奇艺 | https://security.iqiyi.com/ |
| 完美世界 | http://security.wanmei.com/ |
| 竞技世界 | https://security.jj.cn/ |
| 龙渊 | http://security.dragonest.com/ |
| 斗鱼 | https://security.eastmoney.com/ |
| YY | https://security.yy.com/ |
| 虎牙 | https://security.huya.com/ |
| 陌陌 | https://security.immomo.com/ 接收探探资产 |
| Soul | https://security.soulapp.cn/ |
| 世纪佳缘 | https://src.jiayuan.com/ |
| 百合网 | https://src.baihe.com/ |
| 快看漫画 | https://www.kuaikanmanhua.com/webs/securityBounty |
6、教育、问答、知识付费
| 名称 | 网址 |
|---|---|
| 好未来 | https://src.100tal.com/ |
| VIPKID | https://security.vipkid.com.cn/ |
| 掌门教育 | https://security.zhangmen.com/#/ |
| 平安好学 | https://sec.pahx.com/ |
| 一起教育 | https://security.17zuoye.com/ |
| 知识星球 | https://security.zsxq.com/ |
| 知乎 | https://www.zhihu.com/term/info-sec |
7、泛科技·通讯·物联网·云服务
| 名称 | 网址 |
|---|---|
| 华为 | https://bugbounty.huawei.com/#/home |
| 小米 | https://sec.xiaomi.com |
| oppo | https://security.oppo.com/cn/ |
| vivo | https://security.vivo.com.cn/#/home |
| 一加 | https://security.oneplus.cn/ |
| 荣耀 | https://security.hihonor.com/src/#/home |
| 大疆 | https://security.dji.com/ |
| 魅族 | https://sec.meizu.com/ |
| 萤石 | https://ysrc.ys7.com/#/home |
| 联想(漏洞盒子) | https://lsrc.vulbox.com/ |
| 涂鸦智能 | https://src.tuya.com/ |
| 中兴 | https://www.zte.com.cn/china/cybersecurity/ztepsirt.html |
| 海康威视 | https://www.hikvision.com/cn/support/CybersecurityCenter/ |
| 优刻得UCLOUD | https://sec.ucloud.cn/ |
| 金山云(漏洞盒子) | https://kysrc.vulbox.com/ |
| 科大讯飞 | https://security.iflytek.com/index.php |
| 263云通信 | https://www.263.net/263/helpcenter/security/ |
| 统信 | https://src.uniontech.com/ |
| 多点 | https://src.dmall.com/ |
8、安全企业
| 名称 | 网址 |
|---|---|
| 奇安信 | https://qianxin.butian.net/ |
| 深信服 | https://security.sangfor.com.cn/ |
| 安全狗 | http://security.safedog.cn/index.html |
| 安恒 | https://security.dbappsecurity.com.cn |
| 天融信 | https://src.topsec.com.cn/ |
9、其他
| 名称 | 网址 |
|---|---|
| 焦点科技 | https://security.focuschina.com/ |
| 伍林堂 | https://www.wulintang.net/index.php?m=&c=index&a=index |
| 法大大 | https://sec.fadada.com/ |
| 上上签 | https://src.bestsign.cn/ |
| 合合信息 | https://security.intsig.com/ |
| 企查查 | https://www.qcc.com/web/cms/cm_146516 |
| 水滴 | https://security.shuidihuzhu.com/ |
| bigo | https://security.bigo.sg/ |
| 微软 | https://www.microsoft.com/en-us/msrc?rtc=1 |
挖漏洞需要掌握的基础知识
首先说说基础理论知识:
1.计算机组成原理、计算机网络、计算机体系结构、计算机操作系统,密码学,多媒体技术等等。这些都需要掌握总之一句话就是大学计算机的基础课程。
2.编程: HTML、CSS、JavaScript、 PHP、 Java、 Python、 sql、 C、C++、 shell,汇编、nosql. powershell等等常见的语言基础都需要掌握,至少要熟练使用Python和sq|,这些语言都要学习两周到两三个月吧!
3.漏洞方面,漏洞分很多种,根据不同的标准也会有交叉,黑客要掌握大部分漏洞的形成原理,检测方法,利用方法,修复方法,常见的网站漏洞有sq|注入,XSS, 文件包含,目录遍历,文件上传,信息泄露,CSRF, 账号爆破,各种越权等等,常见的二进制漏洞有缓冲区溢出,堆溢出,整形溢出,格式化字符串等等,分析的时候还要绕过操作系统的保护机制。
协议的话也是存在漏洞的,比如TCP、UDP什么的拒绝服务,DNS劫持,ARP欺骗等等, 现在工控、物联网、AI什么的也都有各种各样的漏洞。
4.需要掌握的工具,工具太多, 基本上目前主流的客工具都要熟练使用,应该有几十种吧。上文已经详细阐述,这里就不赘述了。
网络安全全套工具安装包,我已经打包好了,需要的小伙伴扫描下方二维码即可前往免费获取。
5.还有网站和通讯协议吧,客户端和服务器,用户输入网址点击访问到服务器返回网页这其中涉及的知识,如JavaScript, http请求, web服务器,数据库服务器,系统架构,负载均衡,DNS,等等是要熟练掌握的,然后说说主流的网站开发框架,其中Java的SSH三大框架要了解有什么漏洞啥的PHP的主流框架和CMS要了解,最好上面的框架都会掌握,如织梦,thinkPHP等等,另外主流的数据库服务器要了解如MySQL,sql server等。
如果要做漏洞利用的话涉及到TCP等编程,要会TCP编程, 如果为了通讯安全,要掌握当前主流的加密算法,如AES, RSA, 3DES等等各种加密算法,如果要对端口进行暴力破解,要掌握端口的爆破技术,比如字典的选择使用。
还有要了解软件运行的时候在操作系统里怎么运行的,从计算机磁盘文件加载到内存,怎么布局的,代码段,数据段,堆栈段什么的,代码的参数在堆栈布局,内存地址什么的,另外还要了解系统的保护机制如代码执行保护等等。
当然挖漏洞需要学习的东西还有很多,很都东西都很关键。能走多远,就看你的执行力和兴趣了。
挖漏洞的注意事项
挖SRC一定要细,慢慢的去分析,不能着急往往越着急越挖不倒,这里可以给大家一些建议,在挖掘SRC期间
不要着急出洞,先去慢慢摸索厂商的各种信息,了解每个功能点(做好信息搜集)
去分析每一个数据包,知道每个数据包对应的功能点在哪儿,去知道数据包对应鉴权的地方在哪一块
多去关注厂商的活动,一般新上线的项目或者活动漏洞比较好挖一些
关注厂商信息,比如一些活动期间奖励翻倍等信息
千万要记住去看人家厂商的漏洞收录范围,不看范围挖漏洞=白干
SRC漏洞挖掘需要遵守法律规定,避免侵犯网站安全和用户隐私,同时需要遵循公司或组织的安全政策。
在进行SRC漏洞挖掘时需要注意保护漏洞信息和利用手法的安全性,不应该泄露给未经授权的人员。
SRC逻辑漏洞一般产出比较高的漏洞就在于逻辑漏洞,别的漏洞也有但是相比起来逻辑漏洞的价值更高
总结
综上所述,挖掘SRC漏洞需要全面的计算机安全知识和经验,不断学习和实践才能不断提升自己的技术水平。可以参考一些安全网站、博客和书籍来增加自己的知识储备,多花时间进行实践练习,不断完善和提升自己的技能。
最后我也整理了一个SRC挖掘的资料,需要的小伙伴可以扫描下方领取。
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
文章来自网上,侵权请联系博主
