前言：宅在家里刷微博，刷到yuange和微博借钱的瓜，顺手在微博挖了一个短信遍历和重放的洞，并提交到了WSRC(微博安全应急响应中心)，结果发现奖金就10元！！！！

1.事情经过

13号提的漏洞，17号审核成功，期间WSRC大概因为格式乱审核没过，我又重新新帮忙编辑了下文档才让过的。

奖金只有20金币（大概价值10块钱），20金币究竟能干啥？如下图所示可以在兑换商城能换一条运动毛巾！！！（准备换来当洗脚布，警示自己）

本来就没过国内的SRC报太大的希望，但是没想到竟然还可以突破这样的下限。

2.国内廉价SRC何时休

国内的SRC相较于国外的SRC奖金低廉，搞安全的或多或少都有了解。两者之间奖励机制的差距简直是云泥之别。

2.1创立SRC的初衷是啥？

这次10块钱事件发生后，我就在想国内SRC创立的初衷是啥？

是为了更好更快地找到漏洞，降低企业风险？

还是为了应付领导，设立个SRC表示我今年有安全产出？

或是其他大厂有，我们也得有？

国内有SRC的甲方大部分都是大型甲方，我想大型厂商一定不缺钱吧？创立SRC向上报的预算肯定也不低吧？那为何会出现出现这样的状况呢？

是不敢给多，怕领导责问安全部门都是干啥吃的，为啥还这么多漏洞？

还是其他不知名的原因？真是百思不得其姐！！！干脆不想了。

2.2国内SRC的评判标准是什么？

现在国内SRC的评判标准往往都是基于数据安全的角度上的，很少多维度的考虑。下面举三个例子来说明一下。

2.2.1微博短信重放+遍历（价值10元）

首先我们来说一下短信重放能造成多大的危害？

1.浪费短信资源，即使买了短信套餐，0.03元每条。只要用burp进行24小时单线程跑短信，一天至少可以跑掉五位数的短信费。

2.骚扰客户，因为没有发送60S间隔。可以在同一时间给一个用户发至少5条短信，对所有号码进行遍历。就可以造成批量骚扰客户，降低企业形象的效果。

为什么这个漏洞在国内就值10块钱呢？因为没对系统和数据造成危害。这个评判标准明显是不合理的。

2.2.2BILIBILI客服系统存在任意文件上传（不解析忽略漏洞）

同样我们先来说下漏洞危害:

1.因为可以上传任意文件，图片和TXT是可以显示的。如果上传反动，颠覆国家政权的图片或者文字，企业是否还会忽略这样的漏洞？

2.钓鱼攻击，因为可以上传任意文件，EXE和APK等文件虽然不解析，但是可以成功上传到服务器，只要一访问就能下载，从而进行钓鱼攻击或者进行诈骗。

3.因为上传的东西任意用户都可以访问，所以把客服服务器用来做木马的控制端也是可以的。

2.2.3腾讯存储新self-xss到钓鱼攻击（400块钱）

URL：https://mp.weixin.qq.com/s/45pP2QLY6eXp7P3q58UcAg

这个漏洞虽然奖金相较于其他平台不低，但是SRC的评审们有没有想过我们挖漏洞的过程是有多艰辛？这个漏洞我挖了足足两个星期，期间的各种绕过和漏洞拼接。这种漏洞勉强也算是0DAY。利用起来危害也不低吧？

为什么这种漏洞的奖励没有那些已公布exp的RCE的奖金高呢？那些RCE只要全网扫一扫就有了，一点技术含量都没。这种漏洞需要耐心去挖掘的，为什么这种漏洞的奖金就不能高一丢丢呢？

3.因为热爱，所以坚持

很多人在问为啥国内奖金这么低，还有那么多老哥依旧在坚持刷SRC。排除那些刷名气的和职业刷奖金的。剩下的可能就是热爱吧，搞安全大部分人本就是兴趣使然，挖掘漏洞还能换点奖金何乐而不为？虽然奖金不多，但是能为国内网络安全事业添砖加瓦，圆自己一个黑客梦也是挺不错的，但是10块钱事件让我深深感到国内SRC的恶意。在这里只能希望国内SRC体系越来越健全，奖金也越来越高。营造一个好的安全圈氛围，圆大家一个白帽子梦！！！

前有裸聊勒索诈骗套路，后APP敲诈搞下线

内鬼删库！企业损失巨大市值蒸发8亿

90%手机应用无需授权即可监听用户语音