补天漏洞响应平台,是专注于漏洞响应的第三方公益平台。补天平台通过充分引导民间的白帽力量,实现实时的、高效的漏洞报告与响应,守护企业网络安全,积极推动互联网安全行业的发展。被公安部、工信部、CNCERT、国测等机构评定为优秀技术支撑单位。
补天平台通过SRC、众测等方式服务广大企业,以安全众包的形式让白帽子从模拟攻击者的角度发现问题,解决问题,帮助企业树立动态、综合的防护理念,维护企业的网络安全。
网聚安全力量,为社会提供准确、详实的安全情报,让全中国网络都实现漏洞的及时发现与快速响应是补天平台始终坚持并不断履行的社会使命。
白帽子指通过能够识别计算机系统或网络系统中的安全漏洞的安全技术专家,但并不会恶意利该漏洞,而是提交给企业或者能够找到该企业的第三方漏洞平台,帮助企业在被其他人恶意利用之前修补漏洞,维护计算机和互联网安全。
漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。
漏洞可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。
补天平台为了保护广大企业用户的利益,防止漏洞被恶意黑客二次利用,补天平台永久保护漏洞信息。
公益SRC是白帽子随机发现漏洞,提交补天平台,补天平台对漏洞审核后通知企业认领,厂商注册公益SRC成功后即可认领漏洞,公益SRC服务不收取企业任何费用。
补天众测:补天众测是为企业用户量身打造的基于互联网众包模式的安全测试协作平台,依托补天平台多年的用户服务经验和数万名白帽子资源,挑选平台上技术过硬、声誉良好的精英白帽,为企业提供定向的安全渗透测试与漏洞发现服务。通过实名认证、双因子认证、网络监管等多种手段保证测试过程安全,并提供专业漏洞修复方案,协同企业进行修复,并提供漏洞回检,帮助企业快速排除漏洞安全隐患,迅速提升安全能力。
专属SRC:专属SRC是帮助企业建立专属的安全应急响应中心(SRC,Security Response Center),企业可在线自主发布安全测试计划,享受白帽子专家7*24小时人工安全检测服务。补天平台注册认证的12万余名白帽子采用“奖励优先发现漏洞者”的竞争检测规则,多人力、多角度、多方位、高度积极地发现和报告漏洞。
未注册企业认领漏洞需要注册成为补天”公益SRC”用户,即可在企业操作后台查看并处置漏洞。
企业认领漏洞操作流程:
1) 使用企业邮箱注册账号(无企业邮箱请使用常用邮箱)
2) 填写企业详细信息
3) 进行身份验证(域名验证或上传企业授权函进行验证,管理员3-7天审核完成)
4) 登录企业账号
5) 在企业操作后台查看漏洞
6) 点击确认漏洞并查看漏洞细节
用户通知:补天如收到企业漏洞,将会通过邮件、站内信等形式发送告警信息通知企业,用户可在“企业设置——通知管理“模块下添加通知邮箱,公益用户可以添加3个通知邮箱,未设置通知邮箱的用户将默认发送企业联系邮箱。
专属SRC用户可以通过邮件、短信、站内信等形式获取漏洞告警信息,专属用户可设置10个通知邮箱、10个通知短信。
添加别名:请核查您的注册名称是否和漏洞所属企业名称不一致,您可在别名管理模块下添加别名,您可添加”企业别名、产品名、网站名、简称等“作为您的别名,以便您全面收集补天上的漏洞。
举例说明:
1) 如企业注册名称为“补天漏洞响应平台”,漏洞归属企业名称为“补天平台”, “补天平台”为“补天漏洞响应平台”简称,则需要添加别名“补天平台”,方可认领补天平台名下的历史漏洞;
2) 如企业注册名称为“补天漏洞响应平台”,漏洞归属单位为“补天众测”, “补天众测”为“补天漏洞响应平台”产品,则需要添加别名“补天众测”,方可认领补天众测名下的历史漏洞;
企业申诉:当您遇到使用问题时,请发邮件反馈
,反馈您遇到的情况,我们将由专人为您协助解决。
补天漏洞响应平台是专注于漏洞响应的第三方公益平台。补天平台通过充分引导民间白帽的力量,实现实时、高效的漏洞报告与响应,守护企业网络安全,积极推动互联网安全行业的发展。被公安部、工信部、CNCERT、国测等机构评定为优秀技术支撑单位。
补天平台通过专属SRC、众测两大业务模式服务广大企业,以安全众包的形式让白帽子从模拟攻击者的角度发现问题,解决问题,帮助企业树立动态、综合的防护理念,维护企业的网络安全。如果您发现相关漏洞问题,欢迎您向平台提交漏洞信息,补天平台将会安排专业审核人员进行漏洞核实严重,并对于您为提升公共网络安全做出的努力给予致谢及奖励。
网聚安全力量,为社会提供准确、详实的安全情报,让全中国网络都实现漏洞的及时发现与快速响应是补天平台始终坚持并不断履行的社会使命。
SRC是“Security Response Center” 的全称,即“安全应急响应中心“。
公益SRC:是厂商自行注册申请成为补天公益SRC企业用户。注册成功后,可通过补天平台享受白帽子系统漏洞测试服务,白帽子随机发现漏洞,提交补天平台,补天平台对漏洞审核后通知企业认领,白帽子的鼓励由补天平台承担,厂商系统漏洞信息(不含漏洞细节,只有标题描述)将会在补天平台展示,所有注册人员均可查看漏洞标题以及漏洞类型。公益SRC企业用户服务不收取企业任何费用。
专属SRC:是帮助企业建立专属自己厂商的SRC业务。企业可在线自主发布安全测试计划,自主定义漏洞级别及相应奖励,计划可面向平台上所有的白帽子公开征集漏洞,享受白帽子专家7*24小时人工安全检测服务。补天平台注册认证的12万余名白帽子采用“奖励优先发现漏洞者”的竞争检测规则,多人力、多角度、多方位、高效积极地发现和报告漏洞。专属SRC所有漏洞信息均不公开。
补天众测: 补天众测是基于互联网安全众包创新模式的渗透测试协作业务。依托平台上技术优异、声誉良好的精英白帽,在实名认证、双因子认证、网络监管等多重管控下,为企业提供定向的安全渗透测试与漏洞发现服务。众测是为白帽子提供一个合理合法并可获得高收益的业务平台。
注册成为补天白帽子即可向公益SRC、专属SRC提交漏洞。
众测参与要求 :
1.补天平台排名前300;
2.近一年内补天专属SRC有效高危漏洞5+(特殊厂商除外);
3.其他SRC年度排名前3;
4.补天众测精英白帽内推;
满足以上条件两条或者两条以上者,可联系补天运营荷兰豆(QQ2656450853)完成身份等验证,签署保密协议,获取唯一的邀请码,即可申请参与众测与快测项目。
补天平台为了保护广大用户的隐私及利益,不会对外公布白帽子个人详细信息。仅体现ID,注册时间,擅长能力等。为防止漏洞被恶意黑客二次利用,保护企业用户利益,补天平台永久保护漏洞信息,漏洞细节需在注册成为企业用户后进入后台查看处理。
补天平台自身不收取任何费用。厂商用于收集漏洞的全部奖金归白帽子所有。厂商可以随时充值奖励计划余额。
白帽子注册需要提供真实姓名,个人邮箱,手机,住址和银行账号信息并完成实名认证。
注册成为白帽子务必遵守白帽子行为规范:https://www.butian.net/Help/role
厂商注册需要提供企业邮箱进行验证,并且在后台验证网站所有权。
1) 使用企业邮箱注册账号(无企业邮箱请使用常用邮箱)
2) 填写企业详细信息(务必填写联系电话)
3) 进行身份验证(域名验证或上传企业授权函进行验证,管理员3-7天审核完成)
具体漏洞收录细则:https://www.butian.net/Help/plan
1)通用漏洞:第三方软件,应用,系统对应的漏洞。如ECShop、Discuz、PHPCMS的SQL注入,XSS漏洞。开源软件,安全浏览器,手机应用,路由器,开发框架,甚至是某VPN系统某防火墙系统的漏洞。
2)事件漏洞:即非通用型漏洞,主要是指互联网上应用的一个具体漏洞,xx网站命令执行可被渗透,xx电商订单泄漏任意充值,xx网站应用SQL注入可导致信息泄露等等。
补天收录专属SRC以及公益SRC、未注册厂商的漏洞,具体漏洞收取及奖励详见【补天漏洞奖励计划】。
对于公益SRC+未注册厂商漏洞处理流程
漏洞提交后补天审核团队会确认漏洞是否有效,审核通过后我们会通过各方渠道积极与厂商取得联系,因此在“审核”完成后通常需要7天左右的时间等待厂商认领及处理。当有厂商认领处理漏洞后,通常1-2个工作日内我们就会确认该漏洞。如果7天以内没有厂商认领漏洞,7天之后1个工作日内我们就会确认该漏洞。
对于专属SRC漏洞处理流程
漏洞提交后补天先进行审核,一般是1个工作日左右会完成,审核通过厂商进行复审,一般情况下厂商会在一周内审核完成,若无异议进行奖金的发放。若超过一周厂商仍未审核,正常情况下则自动判定为审核通过,奖金确认后7个工作日左右会到账。
可以关注【补天漏洞响应平台】微信服务号,通过服务号完成账号绑定,漏洞进度会通过服务通知进行推送,或在官网-个人中心-漏洞列表进行查看。
提交数量没有限制,高危漏洞占比高、数量多,即有机会冲击月榜,进入月度排行榜后,可获得对应奖金。
当收到多个白帽子提交相同的漏洞时,以时间排序为准。
可以到漏洞搜索栏,搜索关键的url以及漏洞poc等信息,如果检索到相应信息即为重复。
补天奖励计划细则:https://www.butian.net/Help/plan###
补天奖励主要分为 现金奖励,KB奖励和荣誉奖励。
1) 现金奖励,根据审核结果给予定值定价,具体参考漏洞验收标准。
2) KB奖励,根据审核结果给予定值后发放补天虚拟积分,KB可以在补天商城及京东商城兑换等值礼品。
3) 月度奖励
荣耀个人—月度个人排名前十的白帽子
跃秀新星—月度进步最快前三名白帽子
荣耀战队—月度团队排名前三名团队
具体评选规则:https://www.butian.net/Article/content/id/527
4) 风云排行
战神榜: 每月提交有效漏洞数量排前十的白帽
赏金猎人: 每月获得漏洞奖金排前十的白帽
火眼金睛: 每月有效漏洞多于10个,准确率排前十的白帽
1)现金奖励:补天平台通过银行汇款方式进行奖励支付,补天平台一般在每周三打款,预计打款后48小时内到账。银行信息务必保证填写完整有效。
2)库币奖励:KB审通过后7天打款,可以在个人空间查看KB余额。
为了给广大白帽子们答疑解惑,我们为大家准备了精炼的模板,助你提升漏洞准确率!详情请点击,漏洞提交官方模版:https://butian.net/Article/content/id/543
当出现分歧时,平台会客观地根据漏洞的级别,利用的技术难度、造成的影响等因素进行综合考虑,分成不同的层次,做最终裁定,决定悬赏奖励。可加入补天官方QQ群:777567082,联系审核人员申诉进行问题反馈。
1)线上攻防社区:
在这里,你可以阅读技术大牛的文章分享,每一篇都是干货满满,还有机会与大神交流互动哦;除此之外,你还可以投稿发帖,审核通过即可获得稿费!社区长期针对优秀的话题文章进行征集,获取的金币可在攻防社区商城内兑换礼品。
社区会不定期推出各种精彩活动,奖励多多,还请大家多多关注社区。
社区鼓励原创文章。被社区经过稿费奖励的首发原创话题,不允许再发布到其他任何平台,欢迎社区内成员监督,发现已发放稿费的文章,二次发表,经管理核实后发放一定的举报奖励,同时对双投作者进行处罚。
对于已经在其他网站发表的话题,但故意隐瞒,使社区在不知情的情况下对其发放稿费的行为,一经发现严肃处理,同时欢迎社区内成员监督。
作为你的技能加油站,相信我,这里一定会让你满载而归!
点我:https://forum.butian.net/community
2)补天线下技术交流活动
补天线下沙龙是由补天漏洞响应平台打造的线下交流学术系列活动。旨在集结行业领袖、技术大牛,精英白帽子,通过议题分享与交流探讨的形式,为信息安全从业者和爱好者搭建学习与沟通的平台。期望以行业趋势展望、实战经验分享、技术议题讨论等,提升安全从业者及爱好者的技术实力,拓展视野、提升格局、加速成长。关于活动信息请关注【补天漏洞相应平台】和【补天平台】公众号的文章推送。
补天平台实行白帽子信誉机制,每位白帽子的信誉值总计为100,对于刷洞、一洞多投,抄袭或转载等违规行为,白帽子将会面临扣除10信誉值,专属SRC扣除20信誉值,扣除为累积制,当信誉值低于或等于60时,平台将对白帽子账号做封号处理。
其他情况:如辱骂审核和工作人员、在社群内发表不良言论等,将酌情进行处罚。若一个月内白帽子没有任何违规,且提交过有效漏洞,增加1信誉值。
白帽子务必遵守平台“白帽子行为规范“,对于违反规范的行为轻则封号,造成不良后果,严重危害的将接受相关法侓法规制裁。白帽子行为规范:https://butian.net/Help/role
补天白帽咨询电话:010-56509093
补天企业咨询电话:010-56509036
补天反馈邮箱:
补天官方QQ群: 补天5群:777567082
众测运营:荷兰豆;QQ: 2656450853
白帽运营:补天线上活动、日常答疑,柠檬、维维豆奶;荷兰豆;QQ: 1695776365;
线下活动,罗宾;QQ:2287141655。
官方公众号
【补天漏洞响应平台】:获取漏洞状态提醒
【补天平台】:获取活动通知
问题反馈
