bounty-targets-data数据格式详解：如何有效利用JSON和TXT文件

bounty-targets-data数据格式详解：如何有效利用JSON和TXT文件

【免费下载链接】bounty-targets-dataThis repo contains hourly-updated data dumps of bug bounty platform scopes (like Hackerone/Bugcrowd/Intigriti/etc) that are eligible for reports项目地址: https://gitcode.com/gh_mirrors/bo/bounty-targets-data

bounty-targets-data是一个每小时更新的开源项目，提供来自HackerOne、Bugcrowd等漏洞赏金平台的范围数据，包含JSON和TXT格式的文件。本文将详细解析这些数据文件的结构和使用方法，帮助安全研究者和开发者高效利用这些资源。

核心数据文件概览 📂

项目的核心数据存储在data目录下，包含以下主要文件：

• JSON格式：bugcrowd_data.json、federacy_data.json、hackerone_data.json、intigriti_data.json、yeswehack_data.json
• TXT格式：domains.txt、wildcards.txt

这些文件覆盖了主流漏洞赏金平台的目标范围信息，每小时自动更新，确保数据时效性。

JSON文件深度解析 🔍

JSON文件采用结构化格式存储平台项目信息，以hackerone_data.json为例，其核心结构包括：

项目基本信息

每个项目包含平台唯一标识、名称、响应效率等元数据：

{ "handle": "tbs-sct", "name": "Treasury Board of Canada Secretariat", "average_time_to_first_program_response": 27.0, "response_efficiency_percentage": 100, "submission_state": "open" }

目标范围定义

通过targets字段区分范围内（in_scope）和范围外（out_of_scope）资产：

"targets": { "in_scope": [ { "asset_identifier": "*.cds-snc.ca", "asset_type": "WILDCARD", "eligible_for_submission": true, "max_severity": "critical" }, { "asset_identifier": "api.signin-connexion.canada.ca", "asset_type": "URL", "eligible_for_bounty": false } ], "out_of_scope": [ { "asset_identifier": "blawx.cdssandbox.xyz", "eligible_for_submission": false } ] }

关键字段说明

• asset_type：支持WILDCARD（通配符域名）、URL（具体网址）、CIDR（IP段）等类型
• eligible_for_bounty：标记该资产是否可获得赏金
• max_severity：允许报告的最高漏洞等级

TXT文件实用指南 📄

domains.txt：域名列表

纯文本格式存储所有目标域名，每行一个条目，适合快速导入工具或批量处理：

data-api.coindesk.com tools-api.cryptocompare.com acorns.com apps.apple.com graphql.acorns.com

可直接用于域名枚举、资产发现等场景，例如结合amass或assetfinder进行子域名爆破。

wildcards.txt：通配符规则

存储平台定义的通配符范围，如*.example.com，可用于配置扫描工具的作用域，避免越权测试。

实用应用场景 💡

1. 自动化资产收集

使用Python快速解析JSON提取目标：

import json with open('data/hackerone_data.json') as f: data = json.load(f) # 提取所有范围内域名 domains = [] for program in data: for target in program['targets']['in_scope']: if target['asset_type'] == 'URL': domains.append(target['asset_identifier']) print('\n'.join(domains))

2. 漏洞赏金范围管理

通过比较不同平台的in_scope和out_of_scope字段，生成跨平台目标清单，避免重复工作。

3. 安全工具集成

将domains.txt导入Nessus、Burp Suite等工具，快速配置扫描范围，提高测试效率。

数据更新与维护 🔄

项目每小时自动同步各平台数据，确保信息最新。可通过以下命令克隆仓库获取最新数据：

git clone https://gitcode.com/gh_mirrors/bo/bounty-targets-data

建议定期执行git pull更新本地数据，或使用脚本监控文件变化自动触发后续处理流程。

总结

bounty-targets-data通过标准化的JSON和TXT格式，为安全研究者提供了高效的漏洞赏金目标数据资源。掌握这些文件的结构和使用方法，能显著提升资产发现和漏洞测试的效率。无论是自动化脚本开发还是手动测试，这些数据都是不可或缺的宝贵资源。

【免费下载链接】bounty-targets-dataThis repo contains hourly-updated data dumps of bug bounty platform scopes (like Hackerone/Bugcrowd/Intigriti/etc) that are eligible for reports项目地址: https://gitcode.com/gh_mirrors/bo/bounty-targets-data