天存-IFlow應(yīng)用熱補丁網(wǎng)關(guān)和漏洞盒子哪個好用

公益SRC，高級項目漏洞，SRC項目等所有項目中漏洞審閱后就可以得到積分，漏洞確認處理后會根據(jù)確認結(jié)果變更積分。當(dāng)然如提交無效漏洞（指無法復(fù)現(xiàn)的漏洞）會相對應(yīng)扣分。積分是一種榮譽獎勵。 漏洞盒子積分系統(tǒng)評判標(biāo)準： 1、有效性 有效性單指漏洞是否有效，在積分系統(tǒng)中將“有效性”量化為三個指標(biāo)“確認漏洞”，“其他”，“無法復(fù)現(xiàn)”。 確認漏洞： 指經(jīng)過初步判斷已經(jīng)確認了的漏洞。 無法復(fù)現(xiàn)： 指管理員無法根據(jù)白帽子的描述再現(xiàn)漏洞或查找到該漏洞的線索，無法復(fù)現(xiàn)的漏洞系統(tǒng)會予以扣除積分的懲罰。詳參考“計算方法” 其他： 包含除“確認漏洞”，“無法復(fù)現(xiàn)”外的其他所有情況。 2、漏洞級別 漏洞級別分為“高危漏洞”，“中危漏洞”，“低危漏洞”具體評級標(biāo)準參考《CVSS漏洞評級標(biāo)準》或前往評分系統(tǒng)頁面進行計算。 3、報告質(zhì)量 對白帽子提交的漏洞表述進行了細化規(guī)范，報告質(zhì)量共分為“優(yōu)、良、差”三個級別。通過對“漏洞標(biāo)題”、“基本信息”、“漏洞描述”、“漏洞正文”、“修復(fù)建議”等文章模塊進行細致的規(guī)范，進而降低報告的寫作難度以及提高報告本身質(zhì)量。 4、廠商類型 漏洞盒子廠商根據(jù)其互聯(lián)網(wǎng)線上業(yè)務(wù)規(guī)模劃分為A類，B類，C類。廠商的分類是我們根據(jù)新網(wǎng)絡(luò)安全法中第三十一條中規(guī)定的國家重要行業(yè)和領(lǐng)域，以及百度權(quán)重和Alexa的流量排名統(tǒng)計，以及企業(yè)資產(chǎn)數(shù)量等信息綜合考慮評定。根據(jù)廠商等級的不同白帽子提交漏洞后得到的獎勵也會不同，A類獎勵最高C類最低。

互聯(lián)網(wǎng)漏洞和項目漏洞的審核流程有區(qū)別，審核時間也不同。 互聯(lián)網(wǎng)漏洞提交后專家團隊會確認漏洞是否有效，如果有效我們會通過各方渠道積極與廠商取得聯(lián)系，因此在“審核”完成后通常需要1-10天的時間等待廠商認領(lǐng)及處理。當(dāng)有廠商認領(lǐng)處理漏洞后，通常1-2個工作日內(nèi)我們就會確認該漏洞。如果10以內(nèi)沒有廠商認領(lǐng)漏洞，10天之后1個工作日內(nèi)我們就會確認該漏洞。 項目漏洞提交后是由廠商來審核的，根據(jù)廠商反饋的快慢確認速度也不同，但是廠商確認漏洞后的1個工作日內(nèi)盒子就會完成漏洞審核。

漏洞盒子提交教程： 1、注冊認證為漏洞盒子白帽子。 2、 登錄后點擊導(dǎo)航條右上角的“提交”-->“提交漏洞”，根據(jù)提示內(nèi)容填寫提交即可。 公益SRC漏洞提交規(guī)范： 漏洞標(biāo)題：XXX企業(yè)（或公司）存在XXX漏洞（例如：甲企業(yè)存在信息泄露漏洞；）對于直接填寫sql漏洞//存在問題等標(biāo)題，該類報告一律忽略處理。 漏洞類型：請正確填寫漏洞類型，寫錯或者不寫的會被做忽略處理。 廠商信息：請正確填寫漏洞網(wǎng)站對應(yīng)的廠商信息，對于寫錯或是不寫的會被做忽略處理。 漏洞url：（文字，非截圖）請在報告中提供文字URL。 復(fù)現(xiàn)過程：請?zhí)峁┎僮鞑襟E及對應(yīng)的截圖證明。對于無利用截圖 // 提交附件（或無詳細過程）的報告會做忽略處理。 漏洞payload：請盡量提供漏洞利用所用到的payload。 修復(fù)建議：請根據(jù)報告危害填寫準確適當(dāng)?shù)男迯?fù)建議。對于無效修復(fù)建議可能會被做忽略處理。