漏洞挖掘宝典：国内SRC平台与安全测试资源全收录（建议收藏）

文章全面汇总了国内各类安全漏洞挖掘平台，包括众测平台、前沿漏洞研究奖励计划、行业SRC和企业应急响应中心，覆盖互联网、金融、科技等多个行业。同时详细介绍了挖漏洞所需的基础知识，包括计算机理论、编程语言、漏洞类型、工具使用等，并提供了挖掘SRC的注意事项和建议，是网络安全人员学习和实践的重要资源参考。

---

一、众测平台(国内)

名称	网址
漏洞盒子	https://www.vulbox.com/
火线安全平台	https://www.huoxian.cn/
漏洞银行	https://www.bugbank.cn/
360漏洞众包响应平台	https://src.360.net/
补天平台（奇安信）	https://www.butian.net/
春秋云测	https://zhongce.ichunqiu.com/
雷神众测（可信众测，安恒）	https://www.bountyteam.com/
云众可信（启明星辰）	https://www.cloudcrowd.com.cn/
ALLSEC	https://i.allsec.cn/#/
360众测	https://zhongce.360.cn/
看雪众测（专注物联网）	https://ce.kanxue.com/
CNVD众测平台	https://zc.cnvd.org.cn/
工控互联网安全测试平台	https://test.ics-cert.org.cn/
慢雾（区块链安全）	https://slowmist.io/bug-bounty.html
平安汇聚	http://isrc.pingan.com/homePage/index

二、前沿漏洞研究奖励计划

名称	网址
360bugcloud	https://bugcloud.360.cn/
知道创宇-女娲0day奖励	https://nvwa.org/
微步0day奖励	https://x.threatbook.cn/v5/vulReward
华为产品	https://bugbounty.huawei.com/#/program/list

三、行业SRC

名称	网址
关键基础设施	https://www.ics-cert.org.cn/portal/index.html
教育行业SRC	https://src.sjtu.edu.cn/

四、企业应急响应中心-SRC-汇总

1、互联网企业

名称	网址
阿里	https://asrc.alibaba.com/#/
腾讯	https://security.tencent.com/
百度	https://bsrc.baidu.com/v2/#/home
美团	https://security.meituan.com/#/home
360	https://security.360.cn/
网易	https://aq.163.com/
字节跳动	https://security.bytedance.com/
京东	https://security.jd.com/#/
新浪	http://sec.sina.com.cn/
微博	https://wsrc.weibo.com/
搜狗	http://sec.sogou.com/
金山办公	https://security.wps.cn/
有赞	https://src.youzan.com/

2、生活服务、住宿、购物相关企业

名称	网址
智联招聘	https://src.zhaopin.com/#/
猎聘网	https://security.liepin.com
BOSS直聘	https://src.zhipin.com
饿了么(阿里本地生活)	https://security.ele.me/
58同城	https://security.58.com/接收赶集网、安居客、转转网等资产
千米(拉卡拉)	http://security.qianmi.com/
wifi万能钥匙	https://sec.wifi.com/
途虎养车	https://security.tuhu.cn/
瓜子车	https://security.guazi.com/home
猪八戒	https://security.zbj.com/
斗米	https://security.doumi.com/
本木医疗	https://security.benmu-health.com/src/
贝壳	https://security.ke.com/
华住	https://sec.huazhu.com/
自如	https://zrsecurity.ziroom.com/
苏宁	https://security.suning.com/
得物	https://security.dewu.com/
唯品会	https://sec.vip.com/
美丽联合（蘑菇街）	https://security.mogu.com/#/
敦煌网	http://dhsrc.dhgate.com/
贝贝	https://src.beibei.com.cn/
DHgate	http://dhsrc.dhgate.com/

3、物流、出行、旅游

名称	网址
菜鸟	https://sec.cainiao.com/
顺丰	http://sfsrc.sf-express.com/index
中通	https://sec.zto.com/home
货拉拉	https://llsrc.huolala.cn/#/home
上汽安吉物流	http://security.anji-plus.com/
银基汽车	公众号：银基汽车网络安全应急响应中心
理想汽车	https://security.lixiang.com/index
极氪汽车	https://security.zeekrlife.com/
东方航空	https://src.ceair.com/#/index
滴滴出行	http://sec.didichuxing.com/
享道出行	https://src.saicmobility.com/
T3出行	https://security.t3go.cn/#/home
携程旅游	https://sec.ctrip.com/
同程旅游	https://sec.ly.com/
去哪儿	http://security.qunar.com/
途牛	http://sec.tuniu.com/
马蜂窝	https://security.mafengwo.cn/

4、金融相关企业

名称	网址
蚂蚁金服（支付宝、网商银行等）	https://security.alipay.com/
银联	https://security.unionpay.com/
平安	https://security.pingan.com/
东方财富	https://security.eastmoney.com/
微众银行	https://security.webank.com/
众安保险	https://security.zhongan.com/#/
老虎证券	https://security.itiger.com/
度小满	https://security.duxiaoman.com/views/main/index.html#home
同程数科（原同程金服）	https://securitytcjf.com/
360数科	https://security.360shuke.com
融360	https://security.rong360.com/#/
宜信	https://security.creditease.cn/
富友	https://fsrc.fuiou.com/
恒昌	http://src.credithc.com/
小赢科技	https://security.xiaoying.com/
你我贷	http://www.niwodai.com/sec/index.do
挖财	https://sec.wacai.com/
易极付	https://www.yiji.com/website/securityresponse.html
甜橙金融	https://linghou.bestpay.com.cn/

5、视频·游戏·直播·社交·娱乐

名称	网址
快手	https://security.kuaishou.com/#/
哔哩哔哩	https://security.bilibili.com/
爱奇艺	https://security.iqiyi.com/
完美世界	http://security.wanmei.com/
竞技世界	https://security.jj.cn/
龙渊	http://security.dragonest.com/
斗鱼	https://security.eastmoney.com/
YY	https://security.yy.com/
虎牙	https://security.huya.com/
陌陌	https://security.immomo.com/ 接收探探资产
Soul	https://security.soulapp.cn/
世纪佳缘	https://src.jiayuan.com/
百合网	https://src.baihe.com/
快看漫画	https://www.kuaikanmanhua.com/webs/securityBounty

6、教育、问答、知识付费

名称	网址
好未来	https://src.100tal.com/
VIPKID	https://security.vipkid.com.cn/
掌门教育	https://security.zhangmen.com/#/
平安好学	https://sec.pahx.com/
一起教育	https://security.17zuoye.com/
知识星球	https://security.zsxq.com/
知乎	https://www.zhihu.com/term/info-sec

7、泛科技·通讯·物联网·云服务

名称	网址
华为	https://bugbounty.huawei.com/#/home
小米	https://sec.xiaomi.com
oppo	https://security.oppo.com/cn/
vivo	https://security.vivo.com.cn/#/home
一加	https://security.oneplus.cn/
荣耀	https://security.hihonor.com/src/#/home
大疆	https://security.dji.com/
魅族	https://sec.meizu.com/
萤石	https://ysrc.ys7.com/#/home
联想(漏洞盒子)	https://lsrc.vulbox.com/
涂鸦智能	https://src.tuya.com/
中兴	https://www.zte.com.cn/china/cybersecurity/ztepsirt.html
海康威视	https://www.hikvision.com/cn/support/CybersecurityCenter/
优刻得UCLOUD	https://sec.ucloud.cn/
金山云(漏洞盒子)	https://kysrc.vulbox.com/
科大讯飞	https://security.iflytek.com/index.php
263云通信	https://www.263.net/263/helpcenter/security/
统信	https://src.uniontech.com/
多点	https://src.dmall.com/

8、安全企业

名称	网址
奇安信	https://qianxin.butian.net/
深信服	https://security.sangfor.com.cn/
安全狗	http://security.safedog.cn/index.html
安恒	https://security.dbappsecurity.com.cn
天融信	https://src.topsec.com.cn/

9、其他

名称	网址
焦点科技	https://security.focuschina.com/
伍林堂	https://www.wulintang.net/index.php?m=&c=index&a=index
法大大	https://sec.fadada.com/
上上签	https://src.bestsign.cn/
合合信息	https://security.intsig.com/
企查查	https://www.qcc.com/web/cms/cm_146516
水滴	https://security.shuidihuzhu.com/
bigo	https://security.bigo.sg/
微软	https://www.microsoft.com/en-us/msrc?rtc=1

挖漏洞需要掌握的基础知识

首先说说基础理论知识:

1.计算机组成原理、计算机网络、计算机体系结构、计算机操作系统，密码学,多媒体技术等等。这些都需要掌握总之一句话就是大学计算机的基础课程。

2.编程: HTML、CSS、JavaScript、 PHP、 Java、 Python、 sql、 C、C++、 shell，汇编、nosql. powershell等等常见的语言基础都需要掌握，至少要熟练使用Python和sq|,这些语言都要学习两周到两三个月吧!

3.漏洞方面，漏洞分很多种，根据不同的标准也会有交叉，黑客要掌握大部分漏洞的形成原理，检测方法，利用方法，修复方法，常见的网站漏洞有sq|注入，XSS, 文件包含，目录遍历，文件上传，信息泄露，CSRF, 账号爆破，各种越权等等，常见的二进制漏洞有缓冲区溢出，堆溢出，整形溢出，格式化字符串等等，分析的时候还要绕过操作系统的保护机制。

协议的话也是存在漏洞的，比如TCP、UDP什么的拒绝服务，DNS劫持，ARP欺骗等等, 现在工控、物联网、AI什么的也都有各种各样的漏洞。

4.需要掌握的工具，工具太多, 基本上目前主流的客工具都要熟练使用，应该有几十种吧。上文已经详细阐述，这里就不赘述了。

5.还有网站和通讯协议吧，客户端和服务器，用户输入网址点击访问到服务器返回网页这其中涉及的知识，如JavaScript, http请求， web服务器，数据库服务器，系统架构，负载均衡,DNS,等等是要熟练掌握的，然后说说主流的网站开发框架，其中Java的SSH三大框架要了解有什么漏洞啥的PHP的主流框架和CMS要了解，最好上面的框架都会掌握，如织梦，thinkPHP等等,另外主流的数据库服务器要了解如MySQL，sql server等。

如果要做漏洞利用的话涉及到TCP等编程，要会TCP编程， 如果为了通讯安全,要掌握当前主流的加密算法，如AES, RSA, 3DES等等各种加密算法,如果要对端口进行暴力破解，要掌握端口的爆破技术，比如字典的选择使用。

还有要了解软件运行的时候在操作系统里怎么运行的，从计算机磁盘文件加载到内存,怎么布局的，代码段，数据段，堆栈段什么的，代码的参数在堆栈布局，内存地址什么的，另外还要了解系统的保护机制如代码执行保护等等。

当然挖漏洞需要学习的东西还有很多，很都东西都很关键。能走多远，就看你的执行力和兴趣了。

挖漏洞的注意事项

挖SRC一定要细，慢慢的去分析，不能着急往往越着急越挖不倒，这里可以给大家一些建议，在挖掘SRC期间

1. 不要着急出洞，先去慢慢摸索厂商的各种信息，了解每个功能点（做好信息搜集）

2. 去分析每一个数据包，知道每个数据包对应的功能点在哪儿，去知道数据包对应鉴权的地方在哪一块

3. 多去关注厂商的活动，一般新上线的项目或者活动漏洞比较好挖一些

4. 关注厂商信息，比如一些活动期间奖励翻倍等信息

5. 千万要记住去看人家厂商的漏洞收录范围，不看范围挖漏洞=白干

6. SRC漏洞挖掘需要遵守法律规定，避免侵犯网站安全和用户隐私，同时需要遵循公司或组织的安全政策。

7. 在进行SRC漏洞挖掘时需要注意保护漏洞信息和利用手法的安全性，不应该泄露给未经授权的人员。

SRC逻辑漏洞一般产出比较高的漏洞就在于逻辑漏洞，别的漏洞也有但是相比起来逻辑漏洞的价值更高

互动话题：如果你对网络攻防技术感兴趣，想学习更多网安方面的知识和工具，可以看看以下题外话！

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

1、知识库价值

深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。

实战性： 知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

2、 部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

内容组织紧密结合攻防场景，辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合，是你学习过程中好帮手。

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

3、适合学习的人群

‌一、基础适配人群‌

1. ‌零基础转型者‌：适合计算机零基础但愿意系统学习的人群，资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌；
2. ‌开发/运维人员‌：具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能，实现职业方向拓展‌或者转行就业；
3. ‌应届毕业生‌：计算机相关专业学生可通过资料构建完整的网络安全知识体系，缩短企业用人适应期‌；

‌二、能力提升适配‌

1、‌技术爱好者‌：适合对攻防技术有强烈兴趣，希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌；

2、安全从业者‌：帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌；

3、‌合规需求者‌：包含等保规范、安全策略制定等内容，适合需要应对合规审计的企业人员‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源