关于补天漏洞的审核，大家有什么好的建议！送送送_360社区
绑定手机号
应国家法规对于账号实名的要求，请您在进行下一步操作前，需要先完成手机绑定 (若绑定失败，请重新登录绑定)。
不绑定绑定手机号
应国家法规对于账号实名的要求，如不绑定手机号，则只能浏览论坛，无法进行发帖、评论、回复、点赞等相关操作 (若绑定失败，请重新登录绑定)。
确定绑定手机号
反馈360产品问题，
本帖最后由 w_sec 于
20:35 编辑
各位亲爱的白帽子,补天的社区开版了~~~作为审核，我最关心平台白帽子的想法，你有什么好的想法关于漏洞的审核，比如审核的流程，漏洞的奖励.....
我是来抢沙发的。。。
漏洞（事件）审核能不能不要跳着审啊？&&有的几个星期没审有的秒审心塞啊
付费厂商的能不能和别的分开审啊?&&毕竟厂商不是傻子 迟了厂商就修复了啊
新加入付费厂商能不能对所有白帽子同时公开啊？&&有的洞就是比手速啊
最重要的是有没有随身wifi啊？ 免费的东西我最喜欢了
LV1.上等兵
快、高、准
衰大丶 发表于
我是来抢沙发的。。。
你好快呀，想必挖洞也是1666~~
w_sec 发表于
你好快呀，想必挖洞也是1666~~
自己预估功能啊
站在白帽子的立场上来说,两个方面:速度,定价
对于速度来说,很简单的例子,对于大厂商来说很多都有内部的安全监控,或许白帽很辛苦的挖掘了个大厂的洞,然后由于审核的速度原因被厂商修复,然后漏洞无法复现,自然白帽的辛苦是徒劳的.很大的打击白帽的积极性.而且,审核速度快,白帽挖洞也有动力.
对于定价来说,很多白帽觉得定价很低,尤其是新手白帽,自己辛辛苦苦找到了个漏洞,却定价1KB0积分,在这方面也会很大打击白帽的积极性,所以,定价也是白帽子挖洞积极性之一.
由此.速度+定价=速度
(码了这么多,外加沙发你不应该给我个随身WIFI嘛?)
来自360社区WAP端
<font color="#safesd 发表于
自己预估功能啊
详细说说，好的建议采纳后有礼品哦
来自360社区WAP端
好老的残废 发表于
漏洞（事件）审核能不能不要跳着审啊？&&有的几个星期没审有的秒审心塞啊
付费厂商的能不能和别的分开审啊 ...
如果可以附带上好的解决方案那就太好了~
无效楼层，该帖已经被删除
来自360社区WAP端
本帖最后由 biubiuday 于
22:38 编辑
衰大丶 发表于
站在白帽子的立场上来说,两个方面:速度,定价
对于速度来说,很简单的例子,对于大厂商来说很多都有内部的安 ...
你说的很中肯，很感谢你的建议
w_sec 发表于
你说的很中肯，明天你的漏洞秒审，我会私聊你的。很感谢你的建议
不客气哦,不过貌似我的公式有问题
积分定价参考很模糊，而且目前有没有很好的反馈渠道。
很多时候包括洞主在内都有一个：XX万数据怎么没有钱，而XX数据只有X万就有钱的疑问。
有时候洞主本人直接就在群里声讨开了，貌似遇到这种问题目前唯一的解决通道就是私信或直接在群里喊。建议酌情增加一个定价参考的功能（直接在漏洞评论就行），对于可能有争议的审核顺手打上或者备选上：没有重要数据、权重低等等的选项。
w_sec 发表于
如果可以附带上好的解决方案那就太好了~
是否会跳着审核是你们能直接控制的啊
付费厂商分开审核可以在漏洞类型（通用、事件）里额外添加一个类别啊
新加入付费厂商只有补天web端一个通知渠道就可以了啊（如能自动给所有白帽子私信就更好了）
第四点就更简单了&&直接给我wifi就好了啊
来自360社区WAP端
DarkSys 发表于
积分定价参考很模糊，而且目前有没有很好的反馈渠道。
很多时候包括洞主在内都有一个：XX万数据怎么没有钱 ...
偷偷告诉你，这个我们已经在处理中，相信不久后会解决
本帖最后由 biubiuday 于
22:38 编辑
w_sec 发表于
偷偷告诉你，这个我们已经在处理中，相信不久后会解决
，不要酱紫，你应该恍然大悟。然后说送我随身wifi。
来自360社区WAP端
礼品的话，我会随后整理一些好的意见和建议发放，不要急
来自360社区WAP端
如果可以支付库币，查看其他白帽子提交的漏洞细节，这样应该能学到更多。希望补天是漏洞响应平台，还可以是白帽子学习的平台。
1.公开漏洞定价细节，定价的依据是什么，具体一些，可以让我们交漏洞的时候知道要注意些什么，哪里要提现什么东西之类的，怎么写报告审核快；2.通用的漏洞审核流程，往往遇到漏洞等了一周后，审核回了一句，不收这个程序，这个收不收这个程序可以早点返回给白帽子，白帽子就能知道是不是能继续挖这个程序漏洞，或者这个程序漏洞到底值不值了，解决方案就是如果不收这个程序，审核大概喵到就早点退回吧。
LV1.上等兵
本帖最后由 term_2015 于
23:24 编辑
1.审核速度需要加进,说好的事件3天内,通用10天内,拖了那么久都没审核,白帽子挖洞的积极性严重下降,重要的一点,厂商修复后审核再来的时候已经不能复现了,2.定价和打款,事件定价可否定个时间,要不然白帽子一直在等,还在群里催审核定价,通用的问题,一批批的来还是不错,不过说好的一周打款一次呢？3.偶尔来次活动,比如1酷币抽奖,月度奖励很不错,但是要给那些刷低质量的漏洞的人一个机会,比如我！积极性才能上来！
建议呢：严格审核时间,不要跳着审,如果是那些PHPCMS,CmsEasy,ShopEx这样的大厂商,白帽子一发上来审核大大们就秒审我们白帽子是没有任何意见的,凡事得有个先来后到是吧,人家后提交的都审核了,我先提交的还在处理,这时候有些白帽子就会很不满了。定价的话就是 初审通过后 几天内定价 打款的话呢 大多数白帽子还是希望一周一次,这样钱来的快,白帽子们也挖洞挖的多,积极性嘛你说是不是呀,还有啊,据我所知,补天全职审核只有5位,周六周末放假,这两天会积压很多漏洞,审核还是很累的,建议两个审核大大审核事件,两个审核大大审核通用,还有,不能跳着审哦,还有一个审核呢,咦,不是周末加班吗？好吧好吧,那就给你个特权,事件和通用都可以审,好了说了这么多！wifi什么的我就不需要了,毕竟在补天兑换过了,请我吃盒月饼就行啦！
来自360社区WAP端
Bur_p 发表于
<font color="#.公开漏洞定价细节，定价的依据是什么，具体一些，可以让我们交漏洞的时候知道要注意些什么，哪里要提现什 ...
你的反馈已收到，我们会根据平台的实际情况，做出最快的反应方案，感谢
来自360社区WAP端
term_2015 发表于
<font color="#.审核速度需要加进,说好的事件3天内,通用10天内,拖了那么久都没审核,白帽子挖洞的积极性严重下降,重要的一 ...
最近各位审核大大确实工作量不少，我们也在马不停蹄的审核，为了保证漏洞的审核质量，各位大大也是蛮拼的。你的意见我会认真记录下来，尽快落实到解决方案，感谢反馈
来自360社区WAP端
CNSA色豹 发表于
如果可以支付库币，查看其他白帽子提交的漏洞细节，这样应该能学到更多。希望补天是漏洞响应平台，还可以是 ...
目前漏洞的学习大家可以到360播报平台，或者也可以在社区大家讨论学习
来自360社区WAP端
w_sec 发表于
最近各位审核大大确实工作量不少，我们也在马不停蹄的审核，为了保证漏洞的审核质量，各位大大也是蛮拼的 ...
意见如果采纳的话有月饼送吗
来自360社区WAP端
本帖最后由 biubiuday 于
22:41 编辑
termblog 发表于
意见如果采纳的话有月饼送吗
有随身wifi，月饼还得自己挖洞哈
来自360社区WAP端
本帖最后由 biubiuday 于
22:42 编辑
w_sec 发表于
有随身wifi和秒审套餐，月饼还得自己挖洞哈
好 那先给我一个月前的洞给秒审了
LV1.上等兵
除了定期组织系统的培训外，是不是还可以搭建一些靶机以供初学白帽子课后练习。。
露西ka 发表于
除了定期组织系统的培训外，是不是还可以搭建一些靶机以供初学白帽子课后练习。。 ...
其实网上有好多靶机镜像，你可以下载到虚拟机试试
热门推荐最新主帖
360社区客户端下载嘿咻的精品抽奖漏洞秘密分享-北京抢抢族-大众点评社区
嘿咻的精品抽奖漏洞秘密分享
嘿咻的精品抽奖漏洞秘密分享
来了几天了每天都以找漏洞刷礼品开心着快乐着。。现在为了广大的抢抢们
尽量把自己的心得发给大家
由于趣玩的漏洞刷起来很复杂就不告诉大家了
现在分享精品网的抽奖漏洞。。。
这个活动需要人来顶楼每20层送3次抽奖机会 60层为限能送9次抽奖机会
但是顶楼的事情自己就可以完成 现在方法如下
注册一个号发布祝福，然后退出你注册完的号 把所有网页关掉 然后选择
工具-选项-删除COOKIe
再把IE的工具-选项-隐私 调制为阻止所有COOKIe 然后用你的无ID身份
开始顶自己的祝福帖子 是不是就不限制了 记得刷好60楼后 再把隐私调回原有状态（中）
发祝福技巧 复制祝福语 然后到点击发布那个按钮的时候点击一下 记住一下
然后按IE上面的刷新 就不用切页面回复了 回复次数还是增长的
本人基本两分钟一次
这样才能登陆抽奖 &我抽到了护肤品120元的 你们都抽到什么了
不会的可以加我Q 我远程帮你们弄
可以拿你们全家的身份证注册 没抽中奖的身份证可以再注册号
但是一个身份证抽中奖了就不能再抽了 领奖的时候可以一个人去领只要拿着全家的身份证就可以
全部回帖（88）
没人顶吗？ 我好不容分享的
不错，我抽了一堆
都觉得不咋地
以下是引用 [高三] 于09-12-14 23:21 的发言
好用的话回来 顶我的帖子啊 我要刷分去换物区发帖子
是不是得重启阿
不是的 你要以无ID身份 选到阻止所有COOKIe 然后开始发祝福
以下是引用 [五年级] 于09-12-14 23:25 的发言
不是的 你要以无ID身份 选到阻止所有COOKIe 然后开始发祝福
我是这么做的
你注册完的号发完祝福后 把所有网页关掉 然后选择 工具-选项-删除COOKIe 后 然后打开活动页面 再按上面的步骤 选择一次 阻止所有COOKIe开始顶祝福
你QQ给我 我给你远程
以下是引用 [高三] 于09-12-14 23:27 的发言
以下是引用 [五年级] 于09-12-14 23:25 的发言
不是的 你要以无ID身份 选到阻止所有COOKIe 然后开始发祝福
我是这么做的
以下是引用 [五年级] 于09-12-14 23:17 的发言
&活动地址 来了几天了每天都以找漏洞刷礼品开心着快乐着。。现在为了广大的抢抢们
尽量把自己的心得发给大家 由于趣玩的漏洞刷起来很复杂就不告诉大家了 现在分享精品网的抽奖漏洞。。。 这个活动需要人来顶楼每20层送3次抽奖机会 60层为限能送9次抽奖机会 但是顶楼的事情自己就可以完成 现在方法如下 注册一个号发布祝福，然后退出以无ID身份登入准备发祝福 发祝福前需要把IE的工具-选项-隐私 调制为阻止所有COOKIe 然后用你的无ID身份 开始顶自己的祝福帖子 是不是就不限制了 记得刷好60楼后 再把隐私调回原有状态（中） 本人基本两分钟一次 这样才能登陆抽奖 &我抽到了护肤品120元的 你们都抽到什么了
可是每个账号只能中一次奖吧？
以下是引用 [高三] 于09-12-14 23:28 的发言
以下是引用 [五年级] 于09-12-14 23:17 的发言
&活动地址 来了几天了每天都以找漏洞刷礼品开心着快乐着。。现在为了广大的抢抢们
尽量把自己的心得发给大家 由于趣玩的漏洞刷起来很复杂就不告诉大家了 现在分享精品网的抽奖漏洞。。。 这个活动需要人来顶楼每20层送3次抽奖机会 60层为限能送9次抽奖机会 但是顶楼的事情自己就可以完成 现在方法如下 注册一个号发布祝福，然后退出以无ID身份登入准备发祝福 发祝福前需要把IE的工具-选项-隐私 调制为阻止所有COOKIe 然后用你的无ID身份 开始顶自己的祝福帖子 是不是就不限制了 记得刷好60楼后 再把隐私调回原有状态（中） 本人基本两分钟一次 这样才能登陆抽奖 &我抽到了护肤品120元的 你们都抽到什么了
可是每个账号只能中一次奖吧？
你可以 把全家的身份证取来注册抽奖 我已经问了 只要有身份证一个人去可以全部带领
以下是引用ceciliavan[高三]于09-12-14 23:19的发言
不错，我抽了一堆都觉得不咋地
那岂不白忙活了
我都关了再试一次哈
haha ~~~~~~
貌似成了！！！！！！
登陆再看是不是就有了，现在数字没变呢
(C) dianping.com, All Rights Reserved. 本站发布的所有内容，未经许可，不得转载，详见 。扫二维码下载作业帮
拍照搜题，秒出答案，一键查看所有搜题记录
下载作业帮安装包
扫二维码下载作业帮
拍照搜题，秒出答案，一键查看所有搜题记录
抽奖概率问题某家具城举办抽奖活动,有一堆小球,上面标注1%~25%不等的折扣,每1000元的订单可以抽奖一次.某顾客花费了15000元,请问从概率角度考虑怎样抽奖更划算?不好意思啦，我重新补充：一共有100个球，1%的球有80个，2%的球有12个，3%的球有7个，25%的球有1个我再多加5分
作业帮用户
扫二维码下载作业帮
拍照搜题，秒出答案，一键查看所有搜题记录
你说的规则不够清楚.比如小球的比例问题等.一千一次这种方法抽吧,抽的次数越多越有利.
为您推荐：
其他类似问题
从概率的角度讲应该一样啊吧
扫描下载二维码男子路上捡抽奖卡刮出 30 万大奖， 兑奖发现套路太深了 -ZAKER新闻
" 中大奖 " 是很多人梦寐以求的事这等好事偏偏被广东的莫先生 " 碰个正着 "近日，莫先生在广东东莞珊美大道南附近捡到了一个装有四张抽奖卡的透明卡袋，竟意外获得二等奖——一张价值 30 万元的支票。然而，还没来得及向亲友报喜，莫先生就在兑奖的过程中发现原来这是一场精心布好的骗局。怎么回事？莫先生捡到的透明卡袋天掉馅饼：意外抽到价值三十万支票近日，在珊美大道南工作的莫先生如常上班，当他将车停在单位附近的停车位后发现，地上有一个装有红彤彤卡片的透明卡袋。带着好奇，莫先生拿起仔细一看，里面装有四张连在一起的抽奖卡和一张粉色的出库单。莫先生捡到透明卡袋的地点莫先生向记者展示了这几张抽奖卡，抽奖卡上的题头注明 " 辽宁某泰科技发展有限公司为了回馈客户，回赠社会特此举办大型公益福利抽奖活动 "，落款就是辽宁某泰科技发展有限公司，抽奖卡中间印着 " 开心购物，幸运有您 "，右下角是刮奖区和密码区。抽奖卡背面则是奖票说明和兑奖说明，一至五等奖的奖品依次为一辆宝马车辆、一张价值 30 万元的支票、一台苹果电脑、一辆自行车、一份纪念品，最后附上二维码、兑奖热线、验证平台和公司网址等。抽奖卡出库单" 回到办公室我做得第一件事就是将抽奖卡一张张刮开，发现第一、二、四张的刮奖区均写着‘祝君好运’，而第三张却刮出了四颗红色的星星。翻过抽奖卡背面一兑，四颗星是二等奖 -- 一张价值 30 万元的支票。" 莫先生说，一开始令他对自己获奖深信不疑的是夹在抽奖卡中间的出库单，上面标明共计购买电瓶、车载充气泵等货 23 万余元，并在备注上写着 " 金额满 5 万元以上，可享受抽奖活动 "，按道理凭票的确可以领取四张抽奖卡。" 重点是出单日期是 2018 年 4 月 6 日，离得比较近，而且也没有标明一定要购买者本人领取，猜测应该是有人弄丢了并被自己捡到，一下子觉得赚到了！"中奖奖卡险遭中招：抽奖卡和票据漏洞百出天降横财使莫先生处于极度兴奋的状态，他马上拿出手机出来扫描抽奖卡背后的二维码，想登录相关的领奖平台填写奖票密码等资料领取大奖。然而，弹出来的页面初露端倪：它不像是正规的领奖链接，而是出现地址、网站、手机号码等信息。通过二维码兑奖无果的莫先生再次仔细阅读抽奖卡背面上方的 " 奖票说明 "，上面写着领奖方式有两种，一种是将中奖卡正面和个人身份证正面一起拍照，通过彩信的方式发送至验证平台进行验证核实和中奖登记。另一种则是将中奖卡密码区的密码、姓名、地址、个人身份证号码等个人信息填好，发短信到验证平台。扫描二维码弹出画面兑奖涉及到个人隐私使莫先生开始提高了警惕，但是仍不死心的他上网输入 " 地上捡到抽奖卡和票据 "、" 科技公司回馈客户中奖 " 等关键字眼，弹出来的页面使他目瞪口呆：原来这是一场精心布好的骗局，全国各地很多人之前也遇到过类似的桥段，有的人还因此上当受骗，这时他才恍然大悟。平下心来后，莫先生拿出抽奖卡和出库单认真一看，发现它们漏洞百出：抽奖卡上没有序列号，字典上也不存在该公司名称中的某个字，更别说可以在工商系统查询得到；出库单上面的两个印章不是用章盖的，而是电脑打印出来的；单上的收货单位没有标明抬头。" 为了引人注意，作案者特意将抽奖卡放在透明卡袋里，让受骗者产生有人不小心弄丢的错觉，然后在卡袋里夹入一张出库单，用其作为‘烟幕’增加这件事的真实性。" 回想起这件险遭中招的事情，莫先生被吓出一身冷汗，十分庆幸自己没有被下套。警方提醒：最好立即撕烂销毁防止他人上当为了防止更多人上当受骗，莫先生将这些抽奖卡和出库单拍照发到各大微信群，分享了自己的这场经历，并立刻引起不少群友热议。他们纷纷表示，之前自己以及身边的朋友也曾遇到过类似的骗局。其中一位群友回复说，这种骗局自己几年前已经见过了，希望大家以后不管碰到何种形式的诈骗，也发出来跟大家分享，让更多人知晓。之前有媒体做过类似的报道实际上，从 2013 年开始这类诈骗在全国各地就有发生，从不同网友发布的图片分析，这些抽奖卡的款式、大小几乎一模一样，甚至连出库单上的货品、价格、合计数额等信息都雷同，只是公司名字各不相同，而这些公司在工商系统均查询不到。警方提醒，这些所谓的公司和抽奖活动其实是子虚乌有，如果消费者落入圈套，就会被一步步诱导，要求往指定的银行账户汇入手续费、所得税款等。因此，市民捡到这类奖票，要增强自我防范意识，切勿相信 " 天上掉馅饼 "，除了不要泄露个人身份证、银行卡等信息，最好立刻撕烂销毁，以免他人再次上当受骗。来源 南方都市报
相关标签：
原网页已经由 ZAKER 转码排版
爱合肥昨天
快快南京8分钟前
南昌头条9分钟前
深圳热点10分钟前
资讯贵阳5小时前
快快南京7小时前
天津9小时前
桂林10小时前
掌上保定昨天
快快南京12分钟前
爱合肥43分钟前
快快南京1小时前
长沙1小时前
资讯贵阳12小时前分享参加抽奖
登录用户成功分享后可获得3次抽奖机会，每次抽奖可获得1个奖品
微信分享后可直接参与抽奖，其他分享方式需待分享被其他用户访问后，才能参与抽奖
登录分享并抽奖
点此参与抽奖
漏洞银行账号绑定
[退出登录]
幸运观众领奖
参与抽奖活动可免费获得金币与礼物哦
参与聊天与提问，请先
漏洞银行直播间
分享参与抽奖活动
登陆后分享直播，即可参与抽奖活动。
微信分享可立即参与抽奖，QQ、微博等其他方式分享则有成功访问的用户才能参与抽奖
分享后请刷新分享次数，每次直播抽奖有3次机会。
活动最终解释归漏洞银行所有。
观众红包福利
今晚漏洞银行“元宵喜乐会”直播
将掉落3次【支付宝口令现金红包】
眼疾手快就看你~
抢红包的同时也别忘记为表演者点个赞哦！
关注公众号接收直播消息}