2026-03-03 07:03:48 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档是一份面向SRC入门新人的综合性指南，系统介绍了安全响应中心（SRC）的概念、不同类型（企业SRC、公益SRC、教育SRC、CNVD）的平台特点与收录范围，并重点阐述了合法渗透测试的法律边界与安全须知。核心内容包括获取CNVD原创漏洞证书的硬性条件、各平台漏洞提交规则，以及通过实际案例（如SQL注入）演示了漏洞报告的规范编写方法。文档旨在引导新人合规、安全地参与漏洞挖掘与提交，避免法律风险。 综合评分： 75 文章分类： 安全培训,SRC活动,安全意识,WEB安全,渗透测试

cover_image

SRC入门新人须知

web安全小白 web安全小白

web安全小白

2026年2月24日 00:51 贵州

SRC

SRC是 Security Response Center 的缩写，标准中文名称为安全响应中心。它被定义为企业或其产品线中负责接收、审核、处理及回应外部第三方（如独立安全研究员、白帽黑客、学术机构）所提交安全漏洞与威胁情报的官方、常设机构或平台。简单来说，它是企业为了集中接收、处理和回应外部安全专家（白帽黑客）、安全团队或独立研究者提交的安全漏洞或安全威胁而设立的官方渠道或平台。

企业SRC

企业SRC是由大型互联网公司或科技企业自主建立和运营的官方漏洞响应平台。它作为企业安全防御体系的重要组成部分，旨在通过“白帽众包”模式，广泛吸纳全球安全研究者的力量，在黑客恶意利用之前主动发现并修复涉及自身产品、服务及业务系统的安全漏洞。企业通过SRC平台接收漏洞报告，经审核确认后，根据漏洞危害等级向提交者发放现金奖励、荣誉积分及官方致谢，从而实现企业安全能力与外部安全社区智慧的协同联动。

代表平台：腾讯SRC、阿里巴巴SRC、字节跳动SRC、百度SRC、小米SRC等。

小米SRC：https://sec.xiaomi.com/#/

公益SRC

全称：公益安全响应中心 / 公益漏洞响应项目公益SRC通常由第三方安全平台发起，是一项面向非营利性组织的免费安全测试服务项目。其核心目标是帮助缺乏安全预算的公益组织（如政府机构、学校、医院、社会团体等）提升网络安全防护能力。通过公益SRC，这些组织可以将其公开资产纳入测试范围，借助广大白帽黑客的力量进行安全检测。对于提交漏洞的研究者，公益SRC主要以荣誉证书、感谢信、积分排名等形式予以表彰，为其提供合法、合规的实战演练环境，兼具社会公益价值与人才培养价值。

代表平台：补天平台公益SRC、漏洞盒子公益SRC等。

补天：https://www.butian.net/

漏洞盒子：https://www.vulbox.com

教育SRC

教育SRC是专注于全国教育行业（特别是教育网EDU.CN域下）高校及教育机构资产的垂直领域漏洞响应平台。它集中收集、处置面向高等院校、科研院所及相关教育信息系统的安全漏洞，旨在系统性提升国家教育系统的整体网络安全防护水平。教育SRC的参与者以学生安全研究员和爱好者为主，通过提交漏洞获取积分（Rank值）、排名荣誉及相关奖励。该平台既是保障教育网络资产安全的关键防线，也是安全人才从入门走向实战的重要成长阶梯。

代表平台：教育漏洞报告平台。

教育漏洞报告平台：https://src.sjtu.edu.cn/

CNVD

全称：国家信息安全漏洞共享平台CNVD是由国家计算机网络应急技术处理协调中心（CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商及软件开发商共同建立的国家级信息安全漏洞数据共享平台。作为国家网络安全应急体系的重要组成部分，CNVD致力于实现信息安全漏洞的集中收录、统一编号、协同处置与权威发布。平台重点收录通用型软硬件产品漏洞，并对收录的漏洞进行分级、分析与预警，为国家关键信息基础设施安全保驾护航。对于发现并提交高危通用漏洞或做出突出贡献的研究者，CNVD会颁发“原创漏洞证书”，该证书在行业内具有极高的权威性与认可度。

国家信息安全漏洞共享平台：https://www.cnvd.org.cn/

各平台收录范围

企业SRC

只收录自己企业，业务存在的漏洞。

教育SRC

收录教育行政部门，教育部门管理的各级单位，学校，各级人社部门以及所管理的各级学校。

学校

网站明确标识学校名称或域名结尾为edu.cn的，例如：www.tsinghua.edu.cn

人社部门概述人社部门是指人力资源与社会保障部、人力资源与社会保障厅、人力资源与社会保障局等机构，通常简称为人社部、人社厅、人社局。

人社部门管理的学校人社部门管理的学校通常为技工学校、技师学院。判断某所学校是否属于人社部门管理，可以通过搜索引擎查询“学校名称隶属于”来获取相关参考信息，如搜索结果中显示某学校隶属于人社部门，即可确认其为收录范围内的学校。

CNVD

一、证书获取的核心硬性条件

要获得CNVD原创漏洞证书，所提交的漏洞必须同时满足以下三个维度的要求：

二、两种漏洞类型的证书获取标准

CNVD将漏洞分为两类，其证书获取标准有所不同：

1. 通用型漏洞证书（主流渠道）

这是大多数安全研究员获取证书的主要方式，指影响某一类通用软件、系统或设备的漏洞。

发证标准：漏洞等级：中危及以上（CVSS评分≥4.0）

案例要求：需提供至少10个受影响的案例站点/系统

其中至少3-5个需提供详细复现步骤、截图及POC代码
其余案例可仅附上URL或IP，建议最少填写15个，因为审核周期较长，审核时容易出现站点关闭等情况。

厂商要求：开发该系统的公司实缴资金≥5000万元

若实缴资金2000万以上但不足5000万，需补充”行业影响力证明”（如上市公司、国企子公司），通过率会提高
漏洞证明：所有案例必须属于同一建站厂商且存在相同类型漏洞

适用目标示例：泛微OA、致远OA、用友NC、主流CMS系统、网络设备等

实缴查询：https://aiqicha.baidu.com/

2. 事件型漏洞证书（特殊渠道）

指影响特定重要网站的漏洞，不要求多个案例。

发证标准：

必须满足以下条件之一：

电信行业单位：中国移动、中国联通、中国电信及中国铁塔公司的高危漏洞
中央部委级别：中央部委及其直属单位的高危漏洞
重要企事业单位：党政机关、重要行业单位、科研院所、中央国有大型企业等的高危漏洞

等级要求：仅限高危漏洞发证，中危事件型漏洞一般不颁发证书
案例要求：无需多个案例，单个有效漏洞即可

三、常见被拒原因及规避

公益SRC

漏洞盒子：什么漏洞都收录。

补天：主要收录 网站权重 ≥ 1（以爱站网 百度权重 或 移动权重 为准，满足一点即可），例外情况，补天会不定期开放不限权重的活动，此时所有有效漏洞均被收录。

权重查询：https://rank.aizhan.com

安全须知

没有经过目标单位书面授权的渗透测试，无论初衷多么善意，在法律上都可能被认定为“非法侵入”或“破坏计算机信息系统”。

1. 法律依据

未授权渗透测试主要违反以下法律法规，并根据情节严重程度，承担从行政处罚到刑事处罚的不同责任。

（1）《中华人民共和国网络安全法》（行政责任）

这是判定网络安全行为是否违法的基本法。

关键条款：第二十七条明确规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。

处罚后果：违反该规定，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

（2）《中华人民共和国刑法》（刑事责任）

如果行为情节严重，将触犯刑法，面临刑事处罚。主要涉及以下罪名：

非法获取计算机信息系统数据、非法控制计算机信息系统罪

构成要件：违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的行为。

入罪标准（“情节严重”）：根据司法解释，具有下列情形之一的，即可定罪：

获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息（如账号、密码）10组以上的；
获取上述以外的身份认证信息（如普通网站账号）500组以上的；
非法控制计算机信息系统20台以上的；
违法所得5000元以上或者造成经济损失1万元以上的。

刑罚：处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

破坏计算机信息系统罪

构成要件：如果测试行为造成系统不能正常运行，或者对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作，后果严重的，构成此罪。

典型行为：在测试中上传恶意文件及木马、执行删除写入命令、进行拒绝服务（DoS）攻击导致系统瘫痪等。

提供侵入、非法控制计算机信息系统的程序、工具罪

构成要件：提供专门用于侵入、非法控制计算机信息系统的程序、工具（如木马、扫描器），或者明知他人实施侵入行为而为其提供程序、工具的。

2. 法律如何定义“非法侵入”？

“侵入”的定义在法律实践中非常关键。它不仅包括使用技术手段暴力破解防火墙，也包括以下情形：

未取得授权：完全没有任何权利，通过技术手段进入系统。
超出授权范围：即使拥有合法账号（如你是某公司的员工或合作方），但擅自超出工作需要查看、下载非授权范围内的数据，也属于“侵入”。司法实践中，最高检指导案例（检例第36号）明确将“内外勾结擅自登录公司内部系统下载超出权限的数据”认定为非法侵入。

3. 为什么合法SRC的测试不违法？

合法SRC平台之所以能成为例外，是因为它完成了“授权”这一核心法律动作。

书面授权：SRC平台（无论是企业SRC、教育SRC还是公益SRC）发布的《白帽子用户协议》或《测试规范》，实际上构成了平台/厂商与白帽子之间的法律授权合同。白帽子同意规则，厂商授权其在指定范围内进行测试。

行为红线：即使获得了SRC的授权，如果白帽子的行为超出了协议约定的范围（例如拖库、读取真实数据、植入后门、公开漏洞细节），授权即失效，行为将立即转化为违法甚至犯罪。

4. 典型的“越界”行为（禁区）

根据各大SRC平台的规范及法律规定，以下行为即使是在已授权的测试中也是严格禁止的，一旦发生即面临法律风险：

报告编写

漏洞标题

XXX公司前台存在SQL注入

资产证明

资产证明：可以从目标图标，网站标题，网站域名，网站备案号，目标ip等方式去证明是对方资产。

测试流程

漏洞发现

首页处点击–>公司新闻内的第二条新闻

漏洞地址：http://192.168.241.108:8001/shownews.asp?id=51

漏洞参数：id

测试payload：http://192.168.241.108:8001/shownews.asp?id=51′

漏洞验证

漏洞检测

sqlmap -u "http://192.168.241.108:8001/shownews.asp?id=51" -p id --batch --random-agent

查询数据库名

sqlmap -u "http://192.168.241.108:8001/shownews.asp?id=51" -p id --batch --random-agent --dbs

若非GET请求的，须贴出对应数据包。

漏洞验证存在即可，严禁超范围测试。

漏洞危害

数据泄露：攻击者可以通过SQL注入获取数据库中的敏感信息，例如用户的个人信息、密码、信用卡信息等。

数据篡改：攻击者可以修改数据库中的数据，导致数据的不一致性和不可靠性。例如，改变用户的权限、修改账户余额等。

数据删除：攻击者能够通过SQL注入删除数据库中的重要数据，造成数据丢失，影响应用程序的正常运行。

管理员权限获取：在某些情况下，攻击者可能获得数据库的管理权限，从而可以完全控制数据库系统。

远程代码执行：在一些配置不当的数据库系统中，SQL注入可能允许攻击者执行任意代码，进一步控制服务器。

服务拒绝：攻击者可能通过大量的恶意SQL查询导致数据库服务崩溃或变得不可用（DoS攻击）。

业务声誉受损：数据泄露或数据篡改可能导致用户信任下降，损害公司的声誉和品牌形象。

修复建议

使用预处理语句和参数化查询：使用数据库驱动程序提供的预处理语句功能，避免将用户输入直接拼接到SQL语句中。

输入验证：对用户输入进行严格的验证和过滤，只允许符合预期格式的输入。

使用最小权限原则：数据库用户应只授予其所需的最小权限，降低潜在风险。

定期安全审计：定期对代码和数据库进行安全审计，及时发现并修复安全漏洞。

错误处理：不向用户显示详细的数据库错误信息，以减少攻击者获得有关系统信息的机会。

使用Web应用防火墙（WAF）：部署WAF可以帮助检测和防护常见的Web攻击，包括SQL注入。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：web安全小白 web安全小白 web安全小白《SRC入门新人须知》