很多刚入坑 SRC 的新手都会遇到的问题：

库库挖洞，熬夜提交一堆漏洞，结果：

❎直接被厂商驳回

❎定级极低只有象征性奖励。

入行这几年我踩过不少坑，同样类型的漏洞，在 A 厂能定级中危拿激励，放到 B 厂直接判定不算漏洞。本质原因就是不了解各家 SRC 的收录标准。

* * *

⚠️重要提醒：本文所有内容仅用于正规厂商公开 SRC 平台授权下的安全研究学习，任何未经网站所有者书面授权、私自扫描、渗透测试第三方网站都涉嫌违法，切勿私自实操非授权站点。

* * *

花费几天整理了头部互联网大厂 SRC 的审核侧重点，梳理出 4 类厂商普遍愿意收录的漏洞方向。

# 一、三大头部厂商 SRC 收录偏好拆解

# 1、腾讯 SRC：业务逻辑漏洞为王

腾讯系产品覆盖社交、支付、小程序等海量用户，审核团队最看重能影响用户账号、zi金、社交数据的逻辑漏洞。

高分漏洞：越权访问用户数据、绕过支付校验、权限绕过、小程序业务逻辑缺陷，这类漏洞很容易定级中高危；

低分 ：孤立型存储 XSS、无业务影响的页面报错、静态资源文件泄露，大多直接忽略或仅算低危。

新手做腾讯 SRC，优先从会员权益、订单、个人信息相关业务入手，远比漫无目的扫页面效率高。

# 2、阿里 SRC：高危漏洞权重拉满，细微漏洞审核严苛

阿里旗下电商、金容业务属性强，安全审核偏向数据与zi金风险。

高分漏洞：SQL 注入、命令执行、可批量获取用户隐私数据的漏洞，是平台重点收录项，定级普遍偏高；

低分：普通反射 XSS、局部页面小 bug，很多无法触发实际业务风险，审核基本不予计分。

# 3、字节 SRC：批量风险＞单点漏洞

字节产品线多、用户基数庞大，审核逻辑优先考量漏洞影响范围。

高分漏洞：一旦漏洞可以批量泄露用户手机号、用户资料，哪怕漏洞利用门槛略高，也极易拿到高定级；

低分：只能影响单个普通账号的零散漏洞、非核心子站无关 bug，大概率被判定影响有限驳回。

# 二、全平台通用：4 类全大厂通过率偏高的漏洞

业务越权漏洞：全平台通吃，几乎所有厂商 SRC 都认可，不用深厚代码功底，重点查看用户 ID、订单 ID 传参处，是新手入门最优赛道；

敏感信息泄露：接口不慎返回手机号、身份证、订单明细等隐私数据，只要涉及批量数据，各平台收录率极高；

权限绕过类缺陷：绕过登录校验、绕过付费限制，触碰产品核心业务规则，厂商审核优先级很高；

配置失误导致的文件泄露：网站配置不当暴露配置文件、密钥等关键内容，只要能拿到核心配置，基本稳过初审。

# 三、3 个提交小技巧，提升漏洞审核通过率

描述写清影响范围：提交漏洞时不要只写漏洞现象，标注清楚漏洞能影响多少用户、关联什么业务，审核人员一眼判定价值；

配图精简有效：截图只保留漏洞触发关键步骤，多余无关截图会拉长审核周期；

区分子站权重：优先主攻厂商主业务域名，小众废弃子域名即便挖到漏洞，大多厂商不再收录计分。

结尾

SRC 白帽是正规的网络安全研究路径，但收益从来没有标准化，有人深耕多年稳定有收获，也有很多新人连续数月没有有效收录。摸清厂商规则只是少走弯路，最终落地还是需要日积月累的实操沉淀。

盘点主流大厂SRC规则