补天漏洞响应平台

补天插件操作指南

发布时间:2018-07-03 15:12:25

我还是等待你

像风吹了八万里

不问归期


补天收插件的风声放出已有多日,《什么?补天来收插件啦!》,我们不仅等到了白帽子的积极提交,更等来了大家踊跃的建议留言。

为此,补天推出一篇面向所有白帽子的插件入门文章,让更多的白帽子能够参与其中,乐享其中。






疑问1


补天又要搞什么?

为什么开始收集插件和指纹了呢?



其实,我们已经考虑了很久。补天作为国内大型漏洞响应平台,越来越多的企事业单位选择入驻补天平台,期望补天的白帽子们能够“众人拾柴火焰高”,帮助加快企业的安全建设,为保障和我们切身利益相关的个人信息安全乃至国家安全贡献一份力量。


那么问题来了,很多企业也建立了很多的内部系统,如OA系统、邮件系统、财务系统、ERP系统等等和企业业务密切相关的业务系统,这些业务系统因为不对互联网开放,我们很难一睹他们的芳容。


然而,安全是不分内往外网的,内网系统一样存在安全问题,而且安全问题一旦出现,可能导致的安全危害更大!因此,为了能够帮助企业对内网、外网的协同防御,我们可爱的白帽子们更要发挥贡献精神,向“蜘蛛侠”学习。







疑问2


插件是什么?我应该如何提交?


插件可以协助企业自动的定位其自身业务系统是否有漏洞。和传统的漏洞扫描器类似,插件是定向靶向潜在安全漏洞的子弹,命中了则表示漏洞存在。


白帽子在补天平台上提交插件的路径如下:

打开补天官网(http://butian.360.cn),以白帽子身份登录后,在首页右上角就可以看到提交入口了。

插件1.jpg



点击提交插件按钮,打开提交页面。在这个页面我们非常贴心的把很多小技巧都透露出来了,指导我们的白帽子更快更准的进行编写和提交。


  • 插件编写在线帮助

  • 插件编写助手(自动生成插件)

  • 编写注意事项

插件2.jpg



在插件编写在线帮助页,我们不仅让大家了解到如何使用补天封装的mycurl的python库以及SDK函数的用法,还提供了插件的具体例子,希望可以帮助大家如虎添翼。

插件3.jpg






疑问3


插件如何提交?奖励规则什么样?


补天平台提供了丰富的辅助手段和工具,包括插件验证SDK、插件编写指导以及插件编写助手。其中最好用的莫过于插件编写助手了,请看这里:


插件4.jpg


在插件提交页面我们有详细的奖励规则,如果大家针对插件奖励规则有不同的看法和建议,欢迎积极反馈。奖励规则请点击这里


插件5.jpg


从现在开始,赶紧尝试提交第一个插件吧~