漏洞盒子公益挖洞方法： 1、手工尋找，進(jìn)入網(wǎng)站的一個(gè)子網(wǎng)站，熟悉的php，尋找漏洞點(diǎn)。 2、在手工找不到可能存在的漏洞點(diǎn)，嘗試工具掃描。使用工具（AWVS）進(jìn)行站點(diǎn)掃描。 3、滲透測試XSS語句，知道漏洞點(diǎn)漏洞原理后，找到漏洞點(diǎn)。 斗象科技旗下品牌漏洞盒子是全國領(lǐng)先的漏洞平臺與白帽社區(qū)，國家漏洞管理相關(guān)標(biāo)準(zhǔn)的主力制定方，在漏洞生命周期管理與漏洞運(yùn)營方面沉淀了豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。平臺在助力國家信息安全漏洞庫建設(shè)的同時(shí)，也為客戶提供最專業(yè)的滲透測試、漏洞情報(bào)、安全運(yùn)營、漏洞管理等服務(wù)。

首先完善自己的支付信息，即可申請?zhí)岈F(xiàn)，在申請后的下個(gè)月10日-15日，將以銀行轉(zhuǎn)賬形式發(fā)放獎(jiǎng)勵(lì)。 登陸賬號后點(diǎn)擊“管理中心”，即可找到“提現(xiàn)”按鈕，點(diǎn)擊即可進(jìn)行提現(xiàn)。 漏洞盒子為企業(yè)用戶免費(fèi)建立SRC漏洞懸賞平臺，企業(yè)可自助實(shí)現(xiàn)漏洞接收與獎(jiǎng)勵(lì)計(jì)劃。 設(shè)置漏洞接收范圍、定義漏洞評級、并通過漏洞賞金池的形式進(jìn)行SRC全程管理。 經(jīng)客戶授權(quán)，采用可控制、非破壞性質(zhì)的方法和手段，完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。

漏洞盒子注冊的地方就在官網(wǎng)右上角，點(diǎn)擊進(jìn)入后綁定手機(jī)號和郵箱即可。 漏洞盒子為企業(yè)用戶免費(fèi)建立SRC漏洞懸賞平臺，企業(yè)可自助實(shí)現(xiàn)漏洞接收與獎(jiǎng)勵(lì)計(jì)劃。 設(shè)置漏洞接收范圍、定義漏洞評級、并通過漏洞賞金池的形式進(jìn)行SRC全程管理。 經(jīng)客戶授權(quán)，采用可控制、非破壞性質(zhì)的方法和手段，完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。 斗象科技創(chuàng)立于2014年，是國內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全數(shù)據(jù)智能與安全運(yùn)營提供商，旗下業(yè)務(wù)品牌包括：網(wǎng)絡(luò)安全行業(yè)門戶“FreeBuf”，網(wǎng)絡(luò)安全眾測服務(wù)平臺“漏洞盒子”，網(wǎng)絡(luò)安全數(shù)據(jù)智能與攻防運(yùn)營產(chǎn)品體系“斗象智能安全”。

漏洞盒子公益src是白帽子工作的平臺。 漏洞盒子是一個(gè)專業(yè)的企業(yè)級互聯(lián)網(wǎng)安全測試平臺，隸屬于上海斗象信息科技有限公司，也是國內(nèi)最知名的互聯(lián)網(wǎng)安全網(wǎng)站FreeBuf黑客與極客（FreeBuf.COM）的兄弟產(chǎn)品。 漏洞盒子相信，通過在漏洞盒子中融入契約精神、有效溝通以及資源的合理配置，可以為企業(yè)提供優(yōu)質(zhì)的互聯(lián)網(wǎng)安全服務(wù)。 漏洞盒子互聯(lián)網(wǎng)安全服務(wù)承諾：全球頂尖的技術(shù)與服務(wù)體驗(yàn)、高私密性與風(fēng)險(xiǎn)管控、按需按服務(wù)效果計(jì)費(fèi)、企業(yè)與安全專家的合作橋梁。

漏洞盒子提交的方法： 注冊成為漏洞盒子“白帽子”，進(jìn)入主頁點(diǎn)擊“提交”，即可看到“提交漏洞”選項(xiàng)，點(diǎn)擊進(jìn)入，按要求填寫即可提交。 漏洞盒子（Vulbox）是國內(nèi)首家鏈接全球安全專家資源與自有團(tuán)隊(duì)，通過再現(xiàn)真實(shí)環(huán)境進(jìn)行漏洞挖掘，為企業(yè)用戶提供高效、透明的互聯(lián)網(wǎng)安全服務(wù)平臺。 斗象科技旗下品牌漏洞盒子是全國領(lǐng)先的漏洞平臺與白帽社區(qū)，國家漏洞管理相關(guān)標(biāo)準(zhǔn)的主力制定方，在漏洞生命周期管理與漏洞運(yùn)營方面沉淀了豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。平臺在助力國家信息安全漏洞庫建設(shè)的同時(shí)，也為客戶提供最專業(yè)的滲透測試、漏洞情報(bào)、安全運(yùn)營、漏洞管理等服務(wù)。

互聯(lián)網(wǎng)漏洞和項(xiàng)目漏洞的審核流程有區(qū)別，審核時(shí)間也不同。 互聯(lián)網(wǎng)漏洞提交后專家團(tuán)隊(duì)會確認(rèn)漏洞是否有效，如果有效我們會通過各方渠道積極與廠商取得聯(lián)系，因此在“審核”完成后通常需要1-10天的時(shí)間等待廠商認(rèn)領(lǐng)及處理。當(dāng)有廠商認(rèn)領(lǐng)處理漏洞后，通常1-2個(gè)工作日內(nèi)我們就會確認(rèn)該漏洞。如果10以內(nèi)沒有廠商認(rèn)領(lǐng)漏洞，10天之后1個(gè)工作日內(nèi)我們就會確認(rèn)該漏洞。 項(xiàng)目漏洞提交后是由廠商來審核的，根據(jù)廠商反饋的快慢確認(rèn)速度也不同，但是廠商確認(rèn)漏洞后的1個(gè)工作日內(nèi)盒子就會完成漏洞審核。

會，漏洞盒子安全測試項(xiàng)目流程如下： 廠商通過漏洞盒子進(jìn)行高級測試可分為項(xiàng)目發(fā)布，項(xiàng)目進(jìn)行，項(xiàng)目關(guān)閉三個(gè)階段，以下對每個(gè)階段進(jìn)行說明： 1、項(xiàng)目發(fā)布 廠商可直接通過漏洞盒子首頁的“發(fā)布項(xiàng)目”進(jìn)行測試項(xiàng)目的發(fā)布。廠商在發(fā)布項(xiàng)目時(shí)，需要明確漏洞測試范圍（指定的域名或產(chǎn)品），有效的漏洞類型，不推薦的測試手段（如拒絕服務(wù)攻擊），是否給予有效漏洞的提交者服務(wù)獎(jiǎng)勵(lì)（服務(wù)獎(jiǎng)勵(lì)可提高測試人員的積極性及提交漏洞的質(zhì)量），若提供服務(wù)獎(jiǎng)勵(lì)需要注明不同風(fēng)險(xiǎn)級別的漏洞對應(yīng)的獎(jiǎng)金范圍。在項(xiàng)目類型處廠商可選擇“普通項(xiàng)目”、“高級項(xiàng)目”。“高級項(xiàng)目”需要滿足一定條件的高級測試人員及漏洞盒子官方認(rèn)證的專家才能查看項(xiàng)目詳情并且參與項(xiàng)目測試，且私密性和風(fēng)險(xiǎn)保護(hù)程度更高；“普通項(xiàng)目”向所有測試人員開放，適用于大多互聯(lián)網(wǎng)測試項(xiàng)目。 測試項(xiàng)目信息填寫完整后可進(jìn)行“提交”，我們的工作人員會在一個(gè)工作日內(nèi)通過您所提供的聯(lián)系方式與您聯(lián)系，溝通相關(guān)細(xì)節(jié)，簽訂保密協(xié)議，待確認(rèn)無誤后會為您開通廠商帳號，您可以使用該帳號登錄并管理您所發(fā)布的項(xiàng)目及其他事項(xiàng)，此時(shí)進(jìn)入“項(xiàng)目進(jìn)行”狀態(tài)。 2、項(xiàng)目進(jìn)行 該階段測試人員可以根據(jù)廠商的項(xiàng)目要求提交漏洞，廠商可以在后臺查看漏洞細(xì)節(jié)，評估漏洞風(fēng)險(xiǎn)，修改漏洞狀態(tài)。 3、項(xiàng)目關(guān)閉 在到達(dá)項(xiàng)目指定的結(jié)束時(shí)間，或廠商由于其他原因主動申請關(guān)閉，項(xiàng)目將被關(guān)閉，之后測試人員將無法向該項(xiàng)目提交漏洞。項(xiàng)目關(guān)閉后，測試人員在項(xiàng)目關(guān)閉前提交的且未處理的漏洞依然有效。

漏洞盒子提交漏洞合法。 漏洞盒子為企業(yè)用戶免費(fèi)建立SRC漏洞懸賞平臺，企業(yè)可自助實(shí)現(xiàn)漏洞接收與獎(jiǎng)勵(lì)計(jì)劃。 設(shè)置漏洞接收范圍、定義漏洞評級、并通過漏洞賞金池的形式進(jìn)行SRC全程管理。 經(jīng)客戶授權(quán)，采用可控制、非破壞性質(zhì)的方法和手段，完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。 斗象科技創(chuàng)立于2014年，是國內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全數(shù)據(jù)智能與安全運(yùn)營提供商，旗下業(yè)務(wù)品牌包括：網(wǎng)絡(luò)安全行業(yè)門戶“FreeBuf”，網(wǎng)絡(luò)安全眾測服務(wù)平臺“漏洞盒子”，網(wǎng)絡(luò)安全數(shù)據(jù)智能與攻防運(yùn)營產(chǎn)品體系“斗象智能安全”。

漏洞盒子教程： 1、 在菜單欄中點(diǎn)擊【提交】在下拉菜單中選擇【提交漏洞】，在彈出的提交頁面根據(jù)要求填寫完整漏洞信息即可提交。 2、 在【管理中心】中打開左側(cè)菜單欄中的【我的項(xiàng)目】，在已加入的項(xiàng)目列表中點(diǎn)擊要提交漏洞的項(xiàng)目，在項(xiàng)目中點(diǎn)擊【提交漏洞】。 （1）漏洞標(biāo)題 標(biāo)題描述：標(biāo)題可簡明扼要說明問題，描述語言規(guī)范化。如“testasp.vulnweb.com站showforum.asp請求存在SQL注入漏洞”“testasp.vulnweb.com站查看訂單處存在越權(quán)漏洞” （2）基本信息 漏洞類型：填寫信息準(zhǔn)確無誤 漏洞等級：填寫信息準(zhǔn)確無誤 廠商信息：填寫信息準(zhǔn)確無誤 （3）漏洞描述 漏洞簡述：包含漏洞概述，漏洞危害 （4）漏洞正文 漏洞復(fù)現(xiàn)過程：復(fù)現(xiàn)過程完整，無需二次溝通或補(bǔ)充數(shù)據(jù) 分步驟圖文描述：有詳細(xì)的漏洞復(fù)現(xiàn)步驟、測試步驟，并每個(gè)步驟配有圖文描述。平臺、廠商可根據(jù)描述一次性完成漏洞復(fù)測 漏洞危害證明：漏洞危害證明完整，無誤 URL及重要參數(shù)：URL及重要參數(shù)完整，無誤 格式排版、專業(yè)術(shù)語：格式排版規(guī)范；無病句錯(cuò)別字；描述用語專業(yè)化，規(guī)范化 （5）修復(fù)建議 漏洞修復(fù)建議：修復(fù)建議對開發(fā)有較大實(shí)用性，如修復(fù)思路，修復(fù)代碼樣式，偽代碼等

漏洞盒子提交教程： 1、注冊認(rèn)證為漏洞盒子白帽子。 2、 登錄后點(diǎn)擊導(dǎo)航條右上角的“提交”-->“提交漏洞”，根據(jù)提示內(nèi)容填寫提交即可。 公益SRC漏洞提交規(guī)范： 漏洞標(biāo)題：XXX企業(yè)（或公司）存在XXX漏洞（例如：甲企業(yè)存在信息泄露漏洞；）對于直接填寫sql漏洞//存在問題等標(biāo)題，該類報(bào)告一律忽略處理。 漏洞類型：請正確填寫漏洞類型，寫錯(cuò)或者不寫的會被做忽略處理。 廠商信息：請正確填寫漏洞網(wǎng)站對應(yīng)的廠商信息，對于寫錯(cuò)或是不寫的會被做忽略處理。 漏洞url：（文字，非截圖）請?jiān)趫?bào)告中提供文字URL。 復(fù)現(xiàn)過程：請?zhí)峁┎僮鞑襟E及對應(yīng)的截圖證明。對于無利用截圖 // 提交附件（或無詳細(xì)過程）的報(bào)告會做忽略處理。 漏洞payload：請盡量提供漏洞利用所用到的payload。 修復(fù)建議：請根據(jù)報(bào)告危害填寫準(zhǔn)確適當(dāng)?shù)男迯?fù)建議。對于無效修復(fù)建議可能會被做忽略處理。