文章总结： 文档汇总了2026年国内100多个SRC漏洞提交平台，按难度与收益分类推荐。建议新手从EduSRC等起步，高手关注车企金融SRC。强调挖掘前确认测试范围、报告规范及避免违规拖库等实操要点，推荐深耕特定平台以提高挖掘成功率。 综合评分： 72 文章分类： SRC活动,渗透测试,实战经验,漏洞分析

2026最新SRC漏洞提交平台推荐，共100+个

原创

小智 小智

智榜样网络安全学习中心

2026年2月15日 14:01 中国香港

很多刚入行的白帽子，对着一堆 SRC 平台往往很懵：大厂挖不动，小厂不给钱，众测又嫌太卷。

其实，挖洞得讲究“选品”。为了帮大家少走弯路，我已经把国内的 100 多个 SRC 平台做了一个汇总，并按照挖掘难度和收益回报分了类。建议各位先收藏，总会有用到的时候。

一、 平台如何挑选？

别上来就死磕阿里腾讯，除非你手里有 0day 或者渗透的底子特别好。

• 新手练习： 建议去补天、漏洞盒子或 EduSRC。资产多，虽然单价可能不高，但胜在容易出洞，能帮你快速建立信心。
• 冲奖金： 盯着字节、美团、拼多多这种业务迭代极快的公司。新功能上线快，逻辑漏洞自然多，而且大厂的“双倍积分”活动非常多，性价比极高。
• 避开红海： 现在的车企 SRC（极氪、蔚来、广汽等）和金融类 SRC 是不错的选择。这些地方竞争比互联网大厂小，且往往涉及车机、物联网协议，单洞的含金量很高。

二、 国内 SRC 平台

我把这些平台打乱并重新整合了，前面的几个是综合类，后面是具体的厂商。

1. 综合/监管/众测类（必看）

资产覆盖最全，适合通用漏洞或刷证书。

| 平台名称 | 官方链接 | 备注 | | — | — | — | | CNVD | https://www.cnvd.org.cn | 通用型漏洞首选，国家级漏洞证明 | | EduSRC | https://src.sjtu.edu.cn | 全国高校资产，新手刷排名的宝地 | | 补天 | https://www.butian.net | 厂商极多，适合挖掘中小型企业资产 | | 漏洞盒子 | https://www.vulbox.com | 经常有一些高报酬的“私有众测”项目 | | 火线安全 | https://www.huoxian.cn | 比较看重白帽子社区建设，有很多实战工具分享 |

2. 互联网 & 垂直行业厂商

这些是具体的“主战场”，大家按需选择。

| 平台名称 | 官方链接 | 领域 | | — | — | — | | 字节跳动SRC | https://security.bytedance.com/ | 抖音/TikTok/飞书 | | 华为SRC | https://bugbounty.huawei.com | 手机/通信/云 | | 极氪 SRC | https://security.zeekrlife.com/ | 汽车/车联网 | | 腾讯SRC | https://security.tencent.com/ | 社交/游戏/云 | | 哔哩哔哩SRC | https://security.bilibili.com/ | 视频/二次元 | | 顺丰SRC | http://sfsrc.sf-express.com | 快递/物流/供应链 | | 美团SRC | https://security.meituan.com/ | 外卖/到店业务 | | 百度SRC | http://sec.baidu.com/ | 搜索/网盘/AI | | 联想 SRC | https://security.lenovo.com/ | 硬件/PC端 | | 小红书 SRC | https://security.xiaohongshu.com/ | 社交/社区 | | 阿里巴巴SRC | https://security.alibaba.com | 淘宝/天猫/阿里云 | | 中兴 SRC | https://security.zte.com.cn/ | 通信/网关设备 | | 携程SRC | https://sec.ctrip.com/ | 旅游/酒店订购 | | 大疆SRC | https://security.dji.com/ | 无人机/物联网 | | 奇安信 SRC | https://security.qianxin.com/ | 安全厂商/B端业务 | | 京东SRC | https://security.jd.com/ | 电商/金融/物流 | | OPPO SRC | https://security.oppo.com | 移动终端/ColorOS | | 滴滴出行SRC | http://sec.didichuxing.com/ | 出行/地图 | | 网易SRC | https://aq.163.com/ | 游戏/邮箱 |

❝

提示： 篇幅有限，剩下的 80 多家平台（如：自如、深信服、快看、斗鱼、Soul 等）已整理成表格，大家可以关注公众号后，回复【SRC列表】获取完整的src平台清单，共100+个

image-20260211184956934

三、 ⚠️ 几个实操建议

1. 先看 Scope（范围）！

   这是最关键的。很多白帽子辛辛苦苦撸了一个域名，提交上去才发现是“三方合作站点”或者“不在收录范围”。提交前一定要看清楚：是收核心业务，还是全部收录。

2. 漏洞报告要清晰

   Payload（攻击载荷）、复现步骤、PoC（漏洞证明）截图要截完整。别只截一个结果，要把过程写清楚。报告写得专业，审核人员对你的印象分就高，定漏洞等级的时候往往会更倾向你。

3. 不要乱拖数据

   挖到 SQL 注入，点到为止。查一下库名、用户就行，用user()，或者database()方法。严禁拖取大量数据库信息，这是违法的，不是挖洞。

4. 关注逻辑漏洞

   现在的WAF都难绕过，以前的SQL注入、XSS越来越难挖。你要多关注越权、重置密码逻辑绕过、短信轰炸、支付漏洞，越容易找你的业务，越容易拿分越容易得赏金。

四、 结尾

挖洞是个细致活，也是个体力活。建议大家选 2-3 个平台深耕，熟悉他们的代码风格和业务逻辑，这样出“大洞”的概率比你满大街扫漏洞要高得多。

五、🎁 互动与福利

分享本文到朋友圈，点赞+在看+关注，一键三联，可以凭截图找老师领取

上千学习资料+工具哦

22919c6e4ef945aa9a9cbf0f6df4f6ff

分享后扫码加我！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：智榜样网络安全学习中心 小智 小智《2026最新SRC漏洞提交平台推荐，共100+个》