对很多刚开始挖洞的小伙伴来说,漏洞盒子公益SRC绝对是一个不错的选择。盒子每个月都会按照白帽子师傅提交所获得的漏洞积分做一个排名,列表展示前五十位的师傅,这也就是盒子月榜。可能很多牛逼的师傅会觉得这个月榜很简单,没什么意思。但我想它的存在一定有它的意义,特别是对一些小白师傅们来说。
下面就分享一下我的一些上榜思路:
盒子的审核速度比起其它漏洞平台可能慢一点,所以把握好交洞的时机是重要的一环。一般来说盒子的审核大概在15天到20天左右,所以如果想冲月榜,最好在上一个月的后半段时间开始刷洞。
举个例子,比如我想冲击12月份月榜,那么在11月份的15号之后开始就可以陆续提交。等到审核结束差不多刚好到12月份的中旬,在这个期间上一波大分岂不是美滋滋。
其次,对于很多小白师傅来说,刚上手挖洞的时候也只能挖挖公益src,盒子一个公益中高危大概是2到4积分。而我观察了几个月的月榜,第五十位差不多都在30积分左右,一些比较卷的月份会到40积分,所以师傅们至少需要准备10到15个中高危漏洞基本能够满足上榜条件。
还有就是,师傅们在提交漏洞时最好不要一次性提交太多同一类型的漏洞,比如我一次性提交50个sql注入,这样很容易被审核判定为重复或者忽略,一般以20个洞为宜(当然如果师傅提交0day当我没说),各种类型的洞混着交,但是有一点,漏洞报告特别是归属一定要写明白,盒子很ex的一点就是如果只有一个ip地址的话他们是不收的。
但是盒子有一个很友好的地方在于,提交漏洞是没有验证码的,这也意味着我们可以实现自动化脚本批量提交。比如我们在挖到一个通用型漏洞之后,经过筛选,权重高的交到补天,学校的交到edusrc,政府的交到cnvd,剩下的就可以自动化通通交到盒子,到时候上分就犹如喝水一样简单。
基本上满足了上面所说的几点,冲击盒子月榜就变成了一件so easy的事情,能够上榜对于刚接触挖洞的小白师傅们来说确实是一件提升自信心的事,在有了挖洞经验之后再去冲击专属src赢得奖品和奖金。希望能给各位师傅带来一些思路和帮助。