挖到华为的高危漏洞啦，3000奖励真不错_华为 src 漏洞

前言

大家好，我是在网安行业已经深耕十二年的老许哥~

有位小伙伴开心地分享自己挖到了华为的一个漏洞，得到3000大洋的奖励：

这个漏洞的存在原因是容器环境没有做好有效的网络隔离，使用户能够未经允许地访问华为云的meta-server，这个元数据服务器虽然没有绑定角色，但它里面存放着用户数据，其中还有个k8s证书。

证书的关键作用就不用多讲了，所以这个漏洞直接被定为“高危”，被华为给予了3k的奖励。

华为的一个高危漏洞只有3000元奖金，大家可能都有点诧异，怎么说都该上万吧……

事实上，高危漏洞也分常规和核心，如果涉及核心架构，奖金就会更高一些。另外，开放漏洞奖励计划的大厂们，通常会阶段性地举行一些活动，在活动期间提交漏洞，奖金会高很多。

作为头部大厂，华为肯定是把安全问题放在头等重要的位置，除了构建自己的网络安全团队外，也会通过SRC机制（软件漏洞报告计划/安全应急响应中心），来接收广大白帽子的安全审查与成果提交。

说白了，它可以被看作是一个“资源置换平台”，白帽子们可以用自己的技术合法地向企业提交漏洞，而企业则给予相应的赏金。所以大家都把挖这种漏洞称作为挖src。

华为的这一体系相当的完善和细分，比如有华为鲲鹏计算平台安全漏洞奖励计划、华为终端IoT产品安全漏洞奖励计划、华为云漏洞奖励计划等等多个赏金机制。

其中奖金最高的是华为终端安全漏洞奖励计划，被定义为严重级别的漏洞最高奖励150w。

鲲鹏计算平台的漏洞奖金也是相当的可观，被定义为严重级别的漏洞中，硬件最高50w，固件最高15w，软件最高10w。

这个严重的定义是指系统/平台安全整体受到威胁，例如：

• 可永久植入能绕过内建检测和安全防护的恶意程序，能访问华为核心机密资产；
• 平台安全启动功能被绕过，可永久修改固件；
• 未经授权访问高权限的平台组件的调试功能等等。

相对而言，华为云漏洞奖励就比较一般，低、中、高、严重四个级别的漏洞奖励在200-3w元之间。

话说回来，虽然奖励不怎么的，但是云产品很适合网安新手测试学习，因为云漏洞的挖掘相对而言较为简单，云产品通常具有统一的架构和标准化的接口，而且接口大多置于明面，使得漏洞的测试和挖掘过程更加简单直接。

总的来说，漏洞挖掘还是一件比较有意思的事情，对于喜欢挑战和探索的同学来说，在挖掘漏洞的过程中需要不断地思考、尝试和突破，遇到各种问题还得边碰边学，不知不觉中就会把自己的知识面拓得很宽。

↑ 在我关于漏洞分享的一则视频中，有位同学就表示漏洞比写程序有意思。如果有喜欢挖漏洞的小伙伴，也欢迎在下方留言区交流分享。

一个人走的再快，不如一群人走的更远。一起学习，酣畅淋漓。🤜🤛！

为了帮助大家更好的学习网络安全，我给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂这些资料！

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

由于篇幅有限，各位直接点击嚯取哦：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

黑客&网络安全如何学习？

今天只要你给我的文章点赞，我自己多年整理的282G 网安学习资料免费共享给你们，网络安全学习传送门，可点击直达获取哦！

由于篇幅有限，各位直接点击嚯取哦：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了282G视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

由于篇幅有限，各位直接点击嚯取哦：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

由于篇幅有限，各位直接点击嚯取哦：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

由于篇幅有限，各位直接点击嚯取哦：CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

更多内容为防止和谐，可以扫描获取哦~

本文转自 https://blog.csdn.net/SpringJavaMyBatis/article/details/140550759?spm=1001.2014.3001.5502，如有侵权，请联系删除。