本文汇总了国内主流网络安全众测平台、前沿漏洞研究奖励计划、行业 SRC 及企业应急响应中心列表。涵盖互联网、金融、物流、社交等多个领域的知名厂商 SRC 入口。文章同时补充了参与 SRC 的安全规范与法律指引,强调授权原则、测试范围界定、漏洞提交标准及数据隐私保护的重要性,旨在为安全研究人员提供合规的漏洞挖掘参考指南。
随着互联网安全意识的提升,越来越多的企业和平台建立了安全应急响应中心(SRC)或众测平台,鼓励白帽子通过挖掘漏洞来获取报酬。本文整理了国内主流的众测平台、前沿漏洞研究奖励计划、行业 SRC 以及企业应急响应中心的列表,旨在为安全研究人员提供一份参考指南。
众测平台通常汇聚了多个企业的测试需求,适合初学者入门及中高级研究员进行批量测试。
| 名称 | 说明 |
|---|---|
| 漏洞盒子 | 国内较早的众测平台之一,覆盖范围较广 |
| 火线安全平台 | 专注于安全众测服务 |
| 漏洞银行 | 提供漏洞交易与众测服务 |
| 360 漏洞众包响应平台 | 依托 360 安全生态,任务量大 |
| 补天平台(奇安信) | 综合性漏洞众测平台 |
| 春秋云测 | 专注于应用安全测试 |
| 雷神众测(可信众测,安恒) | 结合安恒安全能力 |
| 云众可信(启明星辰) | 依托启明星辰技术背景 |
| ALLSEC | 安全众测服务 |
| 360 众测 | 360 旗下众测业务 |
| 看雪众测(专注物联网) | 侧重 IoT 设备安全 |
| CNVD 众测平台 | 国家信息安全漏洞共享平台相关 |
| 工控互联网安全测试平台 | 侧重工业控制系统 |
| 慢雾(区块链安全) | 专注区块链与 Web3 安全 |
| 平安汇聚 | 金融安全领域众测 |
针对 0day 漏洞或高危漏洞的研究,部分厂商提供专项奖励计划,通常奖金较高,但门槛也相对较高。
| 名称 | 说明 |
|---|---|
| 360bugcloud | 360 漏洞云奖励计划 |
| 知道创宇 - 女娲 0day 奖励 | 针对 0day 漏洞的专项奖励 |
| 微步 0day 奖励 | 威胁情报相关的漏洞奖励 |
| 华为产品 | 华为终端及云服务漏洞奖励 |
特定行业的 SRC 通常只接受该行业内的资产测试,规则较为严格。
| 名称 | 说明 |
|---|---|
| 关键基础设施 | 涉及国计民生的重要系统 |
| 教育行业 SRC | 高校及教育机构资产 |
大型互联网公司的 SRC 通常资产规模大,漏洞覆盖面广。
| 名称 | 说明 |
|---|---|
| 阿里 | 阿里巴巴集团 SRC |
| 腾讯 | 腾讯安全应急响应中心 |
| 百度 | 百度 SRC |
| 美团 | 美团安全应急响应中心 |
| 360 | 360 安全应急响应中心 |
| 网易 | 网易 SRC |
| 字节跳动 | 字节跳动安全应急响应中心 |
| 京东 | 京东 SRC |
| 新浪 | 新浪 SRC |
| 微博 | 微博 SRC |
| 搜狗 | 搜狗 SRC |
| 金山办公 | WPS 及相关产品 |
| 有赞 | 电商 SaaS 服务 |
此类企业涉及大量用户隐私和支付信息,是安全测试的重点。
| 名称 | 说明 |
|---|---|
| 智联招聘 | 招聘平台 |
| 猎聘网 | 招聘平台 |
| BOSS 直聘 | 招聘平台 |
| 饿了么 (阿里本地生活) | 外卖及本地服务 |
| 58 同城 | 分类信息网站 |
| 途虎养车 | 汽车后市场服务 |
| 贝壳 | 房产交易平台 |
| 华住 | 酒店集团 |
| 自如 | 长租公寓 |
| 苏宁 | 零售电商平台 |
| 得物 | 潮流电商 |
| 唯品会 | 特卖电商 |
| 美丽联合(蘑菇街) | 时尚电商 |
| DHgate | 跨境 B2B 平台 |
交通与物流行业涉及位置信息与订单数据,安全性至关重要。
| 名称 | 说明 |
|---|---|
| 菜鸟 | 菜鸟网络物流系统 |
| 顺丰 | 顺丰速运 |
| 中通 | 中通快递 |
| 货拉拉 | 货运平台 |
| 滴滴出行 | 网约车平台 |
| 享道出行 | 出行服务 |
| T3 出行 | 网约车平台 |
| 携程旅游 | OTA 旅游服务 |
| 同程旅游 | 在线旅游服务 |
| 去哪儿 | 旅游搜索平台 |
| 马蜂窝 | 旅游社区 |
金融行业对安全要求极高,漏洞危害后果严重。
| 名称 | 说明 |
|---|---|
| 蚂蚁金服 | 支付宝、网商银行等 |
| 银联 | 银行卡联合组织 |
| 平安 | 平安集团金融科技 |
| 东方财富 | 证券信息服务 |
| 微众银行 | 互联网银行 |
| 老虎证券 | 证券交易服务 |
| 度小满 | 金融服务 |
| 360 数科 | 消费金融 |
| 宜信 | 财富管理 |
| 甜橙金融 | 消费金融 |
此类平台用户基数大,内容交互频繁,易出现逻辑漏洞。
| 名称 | 说明 |
|---|---|
| 快手 | 短视频平台 |
| 哔哩哔哩 | 视频弹幕网站 |
| 爱奇艺 | 长视频平台 |
| 完美世界 | 游戏与影视 |
| 斗鱼 | 直播平台 |
| YY | 语音直播平台 |
| 虎牙 | 游戏直播平台 |
| Soul | 社交软件 |
| 世纪佳缘 | 婚恋交友 |
| 快看漫画 | 漫画阅读平台 |
| 名称 | 说明 |
|---|---|
| 好未来 | 教育培训 |
| VIPKID | 在线教育 |
| 知乎 | 问答社区 |
| 知识星球 | 知识付费社群 |
| 名称 | 说明 |
|---|---|
| 华为 | 通信设备及云服务 |
| 小米 | 智能硬件及 IoT |
| oppo | 智能手机 |
| vivo | 智能手机 |
| 荣耀 | 智能手机 |
| 大疆 | 无人机及影像 |
| 海康威视 | 安防监控 |
| 优刻得 UCLOUD | 云计算服务 |
| 科大讯飞 | 人工智能 |
| 名称 | 说明 |
|---|---|
| 奇安信 | 网络安全厂商 |
| 深信服 | 安全与云服务 |
| 安恒 | 安全服务 |
| 天融信 | 网络安全厂商 |
| 名称 | 说明 |
|---|---|
| 企查查 | 企业信息查询 |
| 法大大 | 电子签约 |
| 合合信息 | OCR 及识别技术 |
在参与漏洞挖掘之前,必须明确法律边界和操作规范,确保行为合法合规。
所有测试行为必须在平台规定的范围内进行。严禁对未授权的资产进行测试。未经授权的黑客行为可能触犯《中华人民共和国刑法》第二百八十五条、第二百八十六条关于非法侵入计算机信息系统罪、破坏计算机信息系统罪的规定。
每个 SRC 都有明确的 Scope(范围)。通常包括:
在测试过程中获取的用户数据、代码片段等敏感信息,严禁私自保存、传播或利用。发现涉及个人隐私的数据泄露时,应立即停止测试并上报。
不同平台的奖励机制不同,通常分为现金奖励、积分奖励、荣誉认证等。部分平台设有排行榜,排名靠前者可获得额外奖金。建议关注各平台官方公告以获取最新政策。
网络安全众测是白帽子实现技术价值与经济回报的重要途径。通过上述平台,研究人员可以接触到真实的业务场景,提升实战能力。同时,遵守法律法规、尊重知识产权、保护用户隐私是每个安全从业者的底线。希望本文整理的列表能为您的安全研究之路提供帮助。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online
