Appearance
自动提交 SRC
本实验的核心目的是演示如何通过“谛听”平台的能力编排功能在完成配置后无人工干预的前提下自动拉取安全响应中心 (SRC) 的授权渗透测试范围,自动完成渗透测试,并将发现的漏洞自动提交回安全响应中心 (SRC),实现从资产发现到漏洞提交的全流程自动化闭环,大幅提升 SRC 漏洞挖掘的效率与持续性。SRC(Security Response Center,安全响应中心)是企业或高校设立的漏洞收集平台,鼓励白帽黑客提交发现的安全问题并给予奖励,是构建安全防御体系的重要组成部分。
登录系统后,从工作台主页面左侧导航栏找到并点击"能力编排"栏目,进入工作流编排界面。该界面将展示全部已配置的工作流,包括系统预置的工作流及用户自定义的工作流,右上角提供"+ 新建工作流"与"AI 生成"两个创建入口。
在界面右上角找到"AI 生成"按钮并点击,系统将弹出 AI 工作流生成对话框。在对话框中输入自然语言描述的工作流需求,例如
帮我创建一个自动化 SRC 漏洞挖掘工作流:每日自动拉取学校安全响应中心的授权测试范围,对新增资产执行全面漏洞扫描,将发现的漏洞整理后自动提交至 SRC 平台。此处需明确工作流的触发条件(如"每日定时执行")、测试对象(如"学校 SRC 授权范围")及产出要求(如"自动提交漏洞"),确保 AI 能准确解析需求并生成符合预期的工作流配置。按下回车键提交指令后,"谛听 AI"将自动解析需求,并生成完整的工作流配置,包括触发条件、执行节点及节点间的连接关系。生成的工作流通常包含以下核心节点:首先通过 API 请求拉取 SRC 平台的授权测试范围,获取资产列表及测试权限;然后对比历史记录识别新增资产,将其录入"目标管理"界面;接着针对新增资产启动自动化漏洞扫描任务;扫描完成后,提取发现的漏洞信息并按 SRC 平台要求的格式整理;最后通过 API 接口将漏洞详情自动提交至 SRC 平台,完成整个闭环流程。
工作流生成后,系统将自动展示工作流的可视化编排画布,用户可逐一检查每个节点的配置是否符合实际需求。例如,检查"拉取授权范围"节点中的 SRC 平台 API 地址是否正确、鉴权 Token 是否有效;检查"漏洞扫描"节点中的扫描深度、线程数等参数是否符合 SRC 平台的测试规范;检查"提交漏洞"节点中的漏洞格式化规则是否满足平台要求。若发现配置不符合预期,可点击节点进行手动调整,或在对话框中继续与 AI 交互,要求 AI 优化工作流配置,直至完全满足需求。
确认工作流配置无误后,点击画布右上角的"保存并启动"按钮,系统将保存工作流配置并立即启动自动化执行。启动后,工作流将按照设定的触发条件(如每日上午 8 点)自动运行,无需人工干预。用户可关闭窗口处理其他工作,平台将在工作流执行完成后,使用浏览器通知或电子邮件等方式通知用户本次执行结果,包括本次发现的新增资产数量、扫描发现的漏洞数量及成功提交至 SRC 平台的漏洞数量。
工作流启动后,可在"能力编排"界面的工作流列表中查看执行状态与历史记录。点击工作流卡片右上角的"更多"按钮,选择"查看日志",即可查看每一次执行的详细过程,包括每个节点的执行时间、输出结果及错误信息(如有)。例如,某次执行日志显示"拉取授权范围成功,新增资产 3 个""对资产 192.168.1.101 执行扫描,发现高危漏洞 2 个""漏洞提交成功,SRC 平台返回编号 SRC-2026-001"等,供用户追溯工作流的完整执行轨迹,确保自动化流程可视化、可审计。
工作流执行完成后,可前往"目标管理"界面查看本次新增的 SRC 授权资产,前往"漏洞分析"界面查看本次扫描发现的漏洞详情,或前往"报告中心"界面查看系统自动生成的渗透测试报告。同时,可登录 SRC 平台查看已提交的漏洞记录,确认系统是否成功将漏洞信息提交至平台并获得平台确认。建议用户定期检查工作流执行日志与 SRC 平台反馈,及时发现并解决工作流执行中的异常情况,例如 API 鉴权失效、网络连接中断等问题,确保自动化流程长期稳定运行。
此类自动化工作流适用于需要持续监控并响应 SRC 平台授权范围的场景,例如高校、企业等组织的白帽黑客团队,可通过配置该工作流实现 7×24 小时无人值守的 SRC 漏洞挖掘,极大提升漏洞发现效率与提交时效性,降低人工重复操作成本,使安全团队能够将精力聚焦于高价值漏洞的深度分析与利用验证,提升整体安全运营效能。