360补天平台推众测服务 搭建白帽与厂商间的桥梁
　　【环球科技4月11日报道 记者 心月】日前，最大的漏洞响应平台补天平台举办2015年年度颁奖暨新品发布会。在此次发布会上，补天平台首次推出为企业量身打造的补天众测服务，结合补天私有SRC漏洞响应机制，供漏洞预警，帮助厂商第一时间发现漏洞，最大程度降低漏洞危害。
　　据中国互联网络信息中心(CNNIC)发布的数据显示，截至2015年12月，中国网民规模达6.88亿人，互联网普及率达到50.3%，越来越多的企业和产品接入互联网，这给网络安全带来了更大的挑战。
　　据介绍，&补天众测&是补天漏洞响应平台为企业量身打造的安全测试服务，将针对互联网厂商、金融行业厂商、软件外包厂商、智能硬件厂商等关注安全的厂商提供安全众测服务。补天众测可以针对网站、APP客户端、内网、硬件等特定系统进行漏洞监测。执行上，补天众测在得到企业授权后，从全球数万名白帽子中为客户量身挑选30~50名精英白帽，集结精英白帽子对企业进行专业的漏洞检测。检测结束，补天提供专业详实的修复方案，让企业快速排除漏洞安全隐患，迅速提升安全防护能力。
　　据补天平台负责人林伟表示，目前安全防御是一个失败的战略，未来业界应该增加在安全监测技术上的投资，目前大多数的政府、企业和个人网站没有足够力量组建专业安全团队，缺乏专业的修复建议和修复验证机制，业务频繁更新导致新漏洞不断曝光。
　　据介绍，补天平台是360互联网安全创新中心旗下一支安全研究团队，也是国内首个现金奖励漏洞平台，希望在厂商和白帽子之间建立起一个沟通桥梁。
　　目前，补天平台拥有20000多名白帽子，参与补天众测的白帽子均完成实名认证并签署保密协议，通过VPN安全接入，结合平台独有的网络流量记录和分析产品进行监测，平台全程监控白帽子操作行为，保证测试过程安全可控。
　　会上，主办方还对2015年年度，对补天平台做出贡献的白帽子个人和团体进行奖励，共发放奖金600多万元。今年，补天平台将加大奖励力度，预计奖金将翻倍。
版权作品，未经环球网Huanqiu.com书面授权，严禁转载，违者将被追究法律责任。
责编：梁爽
环球时报系产品
扫描关注环球网官方微信
扫描关注 这里是美国微信公众号
扫描关注更多环球微信公众号有谁知道乌云，补天上面的漏洞是怎么被‘发现的【渗透吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：48,394贴子：
有谁知道乌云，补天上面的漏洞是怎么被‘发现的收藏
有谁知道乌云，补天上面的漏洞是怎么被‘发现的，都用到什么工具？用啊D明小子扫不到啊
Cagetest provides penetration test,emergency response.Iot security test and other information security services for erterprises.
反正不是用明小子发现的
兄弟，这问题应该到补天，乌云问问
兄弟这些事情不是你现在想的等你学会了你就会知道了
乌云上的漏洞是无聊 很闲的玩家用猥琐天马行空的思维找出来的
你不知道有一群人是专门挖洞的么？
支持顶！！！！！！！！！！！！！！！！！！！！！！加油↖(^ω^)↗
Metasploit具备前沿的攻击方法和理念,拥有庞大的代码漏洞库,社区超过200,000成员,每天平均1.2 种新攻击方法,Metasploit能验证漏洞和漏洞补救方案,是安全攻防明星产品
各种代码研究，各种发现，然后就有了你看到的东西。反正是一个耐心活。
漏洞挖掘技术
w3af扫描漏洞，再用sqlmap或者其他的工具，手工日下的
脚本小子还是别想这么多了..
挖洞 比如某个网站存在xss 或者存在注入
有点基础再加上有点脑子，发现个小漏洞不难
反思想加国外思路
Dz 3.2后台 最新版 2016
谁有办法拿shell key不行
插件需要安全码 代码执行也不行，求大神！！！QB感谢！
这些人运气好
瞎几把点的
那些人运气好
凡是关注我ID者，可凭此ID，到附近超市领取老坛 酸菜牛肉面一箱，领取方式：拿起就跑，越快越好。
我说说作为一个刚混乌云补天的小白，怎么挖的，首先信息收集很重要，用域名收集工具先找下网站所有域名，然后扫目录，加上手工测注入，运气好，一天几个没问题的，如果你怕麻烦，awvs之类的漏洞扫描是一个不错的选择
你这样问就不怕给淹口水淹没啊？
登录百度帐号51CTO旗下网站
补天漏洞平台为什么能吸引众多白帽和企业?
360企业安全集团董事长齐向东表示：“为了能够帮助企业提升安全性，自2013年启动库带计划，到现在的补天漏洞检测与响应平台，360发动全社会的白帽去寻找漏洞，让这些漏洞能够及时被响应和修复，这也是建立补天平台的初衷和坚持的宗旨。”
作者：杜美洁来源：51CTO.com| 18:00
【51CTO.com原创稿件】3月7日，维基解密分批公开了据称是美国中情局与网络攻击相关的一批秘密文件，文件揭露了美国中央情报局黑客部队的黑暗历史：攻击手法、攻击目标、会议记录以及几乎所有的黑客工具均被曝光&&所有的黑客工具涉及7亿行代码。
这一信息的曝出着实让记者震惊，也让记者深感网络安全形势的严峻，即便是中情局这样的顶尖机构，如此敏感机密的材料还会被泄露。也再次印证了这世上没有百分百安全的系统，任何系统都可能存在漏洞。然而有漏洞并不可怕，可怕的是你不知道有漏洞，甚至知道了还不去修复。
360企业安全集团董事长齐向东表示：&为了能够帮助企业提升安全性，自2013年启动库带计划，到现在的补天漏洞检测与响应平台，360发动全社会的白帽去寻找漏洞，让这些漏洞能够及时被响应和修复，这也是建立补天平台的初衷和坚持的宗旨。&
目前，补天漏洞检测与响应平台注册的白帽已经达到了31633名，累计发现了20多万个漏洞，发出的奖金接近900万元，现在注册厂商已经有4000多家，可以说，补天漏洞检测与响应平台为企业和白帽搭起了一座畅通的桥梁。
360企业安全集团董事长齐向东
为了让这座沟通桥梁更加通畅、高效、有效，补天漏洞检测与响应平台于3月30日在深圳举办了补天白帽大会。会上，美国知名白帽平台HackerOne以及Defcon黑客大会的Defcon
group参会并分享了精彩议题，超过百位中外白帽子、百余家企业代表共聚一堂，针对当前网络安全形势和安全威胁进行了解读，探讨了漏洞响应与防范措施，以及企业与白帽子协同机制建立等内容。
中西合作，提供更广泛及时的漏洞响应
美国白帽平台初创公司HackerOne拥有来自150多个国家超过十万人的注册白帽，合作企业七百多家。其中，美国五角大楼、政府就是他们的客户之一。Hacker
王宁在接受记者采访时介绍说：&如果一个公司真的对他的产品安全、对他的品牌特别在乎的话，就会已经意识到用众测解决软件产品系统问题是一个很有效的方法，比如像美国Uber、airbnb、雅虎等公司。&
对于HackerOne的商业模式，王宁表示：&HackerOne是一家公司，商业模式为Market
place，我们把企业和平台连接到一起。一种是，需要做众测的公司会付奖金给白帽，我们在中间收取服务的费用。另一种是，为需要各种服务的顾客提供服务，收取服务性的收入。&另外，为了保证双方权益，会通过HackerOne签订漏洞披露的规则，比如白帽需要用什么样的漏洞报告，哪些白帽不能够公开等等。
在补天白帽大会上，齐向东向与会人员表示：&未来，我们双方会在漏洞响应、安全测试等多方面展开合作，结合中西方的黑客各自的技术优势，有效提升网站安全防护能力，以应对全球化的网络攻击和日益猖獗的全球信息泄露及数据贩卖行为。我们希望，我们的合作与协同，能够实现技术共享、人才共享和更广泛、更及时的漏洞响应，促进全球互联网安全水平能力的提升。&
在记者看来，无论是美国的HackerOne还是中国的补天漏洞响应与检测平台，最核心的都是聚集众多白帽之力来对抗日益猖獗的安全威胁。虽身处地理位置不同，职责和意义却相同。如果双方能够达成深度合作，也许会为企业漏洞响应与检测创造更好的机制。
白帽子在补天平台收入如何?听听白帽怎么说&&
通过漏洞响应与检测平台，白帽子获得的收入如何?是否能够获得不错的收入呢?带着这些疑问，在大会现场，记者采访了&U神&和&华不再扬&两名90后白帽子，他们表示，通过在补天平台提交漏洞，他们结识了很多志同道合的朋友。他们聚集到补天平台，一方面是兴趣使然，喜欢钻研技术，以及自我突破的那种成就感。另一方面是奖金的吸引，不同的漏洞级别有不同级别的奖金，挖得多收入就多，总体收入还不错。此外，就是为网络安全做贡献，帮助企业及时发现漏洞，修复漏洞，避免漏洞造成损失。
&U神&也坦言：&通过漏洞平台提交所得肯定不如黑产获得的收入高。但是，我可以认真的说，我没做过黑产，因为我对信息安全法律比较了解，很多我们细微的动作可能触犯到法律，经常挖了洞也是点到为止，也不会太高调。现在黑产这方面很多人也是因为生活压力或者需要赚更多的钱，开始认为只做一次黑产再也不做了，结果有些人没有抵挡住金钱的诱惑，钱来的挺快的，就会一直做下去，慢慢陷入到黑产行业。&
&U神&指出， 做黑产拿下某个网站的数据后，可能一天就可以赚到&白帽子&挖漏洞一个月的收入。
面对巨额的金钱诱惑确实有白帽子禁受不了金钱的引诱而加入黑产的阵营，不过大多数白帽子还是能坚守住底线，一方面是因为法律，一方面也是因为道德的约束。补天漏洞平台负责人白健表示，为了提升白帽的正义感和荣誉感，除了对于白帽的正向引导和奖金礼品鼓励外，补天定期在白帽集中区域举办沙龙活动，在肯定优秀白帽能力和突出贡献的同时，也特别邀请知名律师开设法律讲堂，普及法律知识，并邀请资深安全专家，帮助白帽做好职业规划。
企业怎么看白帽通过补天平台提交漏洞这件事
作为选择补天漏洞平台进行漏洞检测的企业来说，是怎么看待白帽通过补天平台提交漏洞这件事呢?
携程信息安全总监凌云表示：&对于携程来说，目前公司共有三万多名员工，其中开发有三千多名，安全人员四十多人。四十多人要保障三千多人开发的程序，保障三万多人的使用安全，很明显是有难度的。所以需要借助一些外力来提升公司的整体安全。而补天平台就是一个很好的外力，可以帮助我们测试系统。我们期望更多的白帽子或安全从业人员从更多的角度看企业安全，因为每个人的思维不同，发现问题的角度和思路就不同。&
【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】【责任编辑： TEL：（010）】
大家都在看猜你喜欢
热点头条聚焦关注热点
24H热文一周话题本月最赞
讲师：73162人学习过
讲师：4883人学习过
讲师：12349人学习过
CTO专属活动
精选博文论坛热帖下载排行
本书是目前所能找到的最实用、最全面的Linux指南和参考手册，也是唯一一本提供以下全部内容的书籍：
更好更实用的示例覆盖了实际工作中需...
订阅51CTO邮刊web 漏洞挖掘提交到补天平台，如果一个月纯做这个~能收入多少？ - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
已注册用户请 &
web 漏洞挖掘提交到补天平台，如果一个月纯做这个~能收入多少？
· 303 天前 · 2053 次点击
web 漏洞挖掘提交到补天平台，如果一个月纯做这个~能收入多少？
我做了 3 年 PHP 开发，想转行做 WEB 漏洞挖掘。不知道工作好找吗？
如果辞职在家，专门做 WEB 挖掘，会饿死吗？
6 回复 &| &直到
11:23:48 +08:00
& &303 天前 via iPhone
小心被诱捕……
& &303 天前
会收入银色手镯一对……
& &303 天前
赚零花钱可以
& &303 天前
@ 哈哈哈~~那还是算啦
& &303 天前 via Android
@ 外加蓝色夹克一件（应该是蓝色吧）
& &303 天前
不是黄色吗？
& · & 3220 人在线 & 最高记录 3762 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.1 · 25ms · UTC 06:29 · PVG 14:29 · LAX 23:29 · JFK 02:29? Do have faith in what you're doing.