1. 项目概述从零开始理解补天平台与漏洞赏金如果你对网络安全感兴趣或者听说过“挖漏洞能赚钱”那么“补天平台”这个名字你大概率不会陌生。简单来说它是一个连接安全研究人员白帽子与企业厂商的桥梁。白帽子在这里提交自己发现的、存在于厂商产品或服务中的安全漏洞厂商审核确认后会根据漏洞的严重程度和自身设定的规则向白帽子支付一笔奖金。这听起来像是一个双赢的游戏企业用相对较低的成本发现了潜在的安全风险白帽子则用自己的技术获得了认可和报酬。我最初接触这个领域时也是从“听说能赚钱”开始的但真正深入后才发现这远不止是“找BUG换钱”它更是一个需要严谨态度、持续学习和规范流程的技术活。很多人尤其是新手会被“奖金”两个字吸引然后一头扎进去结果往往是在平台规则、漏洞报告撰写、沟通技巧上栽跟头导致辛苦发现的漏洞被忽略、被驳回甚至产生纠纷。这篇内容就是把我自己从零开始在补天平台提交了数十个有效漏洞从被拒到被采纳从小额奖金到获得可观回报的整个过程中的经验、教训和具体操作步骤毫无保留地分享出来。我们的目标很明确让你避开我踩过的所有坑系统地掌握从漏洞挖掘、验证、报告到最终获得奖金的完整闭环。无论你是完全零基础的在校学生还是有一定安全基础但从未接触过SRC安全应急响应中心的开发者看这一篇就够了。2. 补天平台核心机制与规则深度解析在动手之前我们必须像了解游戏规则一样彻底吃透补天平台的运作机制。这决定了你努力的方向是否正确以及你的劳动成果能否被公平对待。2.1 平台角色与漏洞生命周期补天平台主要涉及三方平台方补天、厂商漏洞所属公司、白帽子你。平台提供技术支撑和流程管理厂商发布漏洞收集范围漏洞盒子并设定奖金规则白帽子进行测试和提交。一个漏洞从发现到结案通常经历以下生命周期提交白帽子填写漏洞报告。审核平台初审员进行格式和基础验证审核。转交通过初审后报告转交给对应厂商的安全团队。厂商审核厂商安全工程师复现漏洞评估风险等级和影响。处理厂商修复漏洞。定级与发放厂商根据漏洞定级规则确定奖金数额并安排发放。结案漏洞状态关闭奖金到账可能需要白帽子确认。这里有一个至关重要的细节最终定级和发奖的决定权在厂商手中。平台虽有通用定级指南但不同厂商对同一类型漏洞的风险评估可能差异巨大。例如一个信息泄露漏洞在A公司可能被定为“高危”而在B公司可能只是“低危”或“忽略”。因此在提交前务必仔细阅读该厂商的“漏洞收录范围”和“评分标准”这是你的行动纲领。2.2 漏洞定级与奖金计算逻辑奖金不是拍脑袋决定的它通常与漏洞的“危害等级”和“厂商设定的奖金系数”挂钩。通用危害等级分为严重可直接获取服务器权限、严重数据泄露、重大业务逻辑缺陷导致资金损失等。高危可获取敏感数据、进行严重影响业务的操作如任意用户登录、重要信息篡改。中危获取一般性数据、进行有限制的操作如跨站脚本XSS、越权访问非核心数据。低危轻微信息泄露、对安全影响较小的异常如路径信息泄露、无关紧要的报错信息。无风险/忽略无实际安全威胁的瑕疵。奖金 基础奖金 × 等级系数。例如某厂商规定严重漏洞基础奖金5000元高危2000元中危500元低危100元。那么一个被评定为“高危”的漏洞奖金就是2000元。有些厂商还会对“首个发现者”、“高质量报告”给予额外奖励。你需要管理好自己的预期一个常见的XSS漏洞在大型互联网公司可能只有中危或低危的奖励。2.3 必须遵守的“行规”与法律边界这是红线绝对不能碰。补天平台以及所有正规SRC都遵循“负责任的安全披露”原则。具体包括仅测试规定范围只测试厂商在“漏洞收录范围”中明确列出的域名、IP、应用。严禁对未授权的系统进行测试。最小化测试原则证明漏洞存在即可严禁进行拖库、删库、篡改大量数据、利用漏洞进行盈利或破坏等操作。例如发现一个SQL注入点证明可以执行select version()或select user()即可绝对不要尝试drop table或导出全部用户数据。保密原则在漏洞被厂商确认并修复之前严禁在任何公开渠道包括个人博客、社交媒体、技术论坛披露漏洞细节。所有沟通应在平台内进行。禁止对漏洞利用程序进行传播你提交的是漏洞报告不是攻击工具。 违反以上任何一条轻则漏洞被拒绝、账号被封禁重则可能面临法律责任。记住我们是“白帽子”不是“黑客”。我们的目标是帮助提升安全性而不是破坏它。3. 零基础入门漏洞挖掘前的必备技能与工具准备很多人以为挖漏洞就是拿着扫描器乱扫这大错特错。没有基础的“乱扫”效率极低且极易触发防护规则被拉黑。下面是我总结的新手入门必备路径。3.1 核心安全知识体系构建你不需要一开始就成为所有领域的大师但以下基础知识必须牢固Web基础彻底理解HTTP/HTTPS协议、Cookie/Session机制、URL结构、请求方法GET/POST等。这是看懂浏览器开发者工具F12中网络请求的基础。常见漏洞原理这是你的“武器库”。初期重点掌握3-5种最普遍、最容易发现的漏洞原理和利用方式。SQL注入理解数据库查询逻辑如何通过构造参数改变原意。跨站脚本XSS理解反射型、存储型、DOM型的区别如何构造弹窗scriptalert(1)/script证明漏洞。跨站请求伪造CSRF理解用户登录态下如何诱导用户执行非本意的操作。文件上传漏洞了解服务器如何校验文件前端JS校验、MIME类型、文件头、扩展名、内容检测以及常见的绕过方法如双写扩展名、大小写、.php5、.phtml、图片马结合文件包含。信息泄露这是一个大类包括源代码泄露如.git、.svn目录、配置文件泄露、备份文件泄露、错误信息泄露、接口文档未授权访问如Swagger UI、敏感文件未授权访问如Nacos控制台等。很多热词如“swagger api 未授权访问漏洞”、“nacos namespaces未授权访问漏洞”就属于此类。漏洞复现环境搭建在本地或虚拟机搭建靶场如DVWA、bWAPP、WebGoat、74cms靶场进行练习。“永恒之蓝”、“永恒之黑”这类漏洞复现主要针对内网和系统层与Web漏洞挖掘路径不同初学者可暂缓。靶场练习的目的是将理论转化为肌肉记忆知道一个漏洞点“长什么样”以及如何安全地验证它。3.2 高效工具链配置工欲善其事必先利其器。推荐一套新手友好的工具组合浏览器与插件Chrome或Firefox是标配。必装插件Hack-Tools集合多种Payload、Wappalyzer识别网站技术栈、EditThisCookie管理Cookie。代理抓包工具这是你的“眼睛”。Burp Suite Community Edition免费版是绝对的核心。你需要学会配置浏览器代理、使用Proxy模块拦截和修改HTTP/S请求、使用Repeater模块重放请求、使用Intruder模块进行模糊测试爆破、遍历。它的熟练程度直接决定你的挖掘深度。信息收集工具子域名枚举OneForAll、subfinder、amass。了解目标有多少个入口点。目录/文件扫描dirsearch、ffuf、gobuster。用于发现隐藏的路径、备份文件、管理后台等。扫描时务必注意频率避免对目标造成压力。端口与服务探测nmap。了解目标服务器开放了哪些端口运行着什么服务如Redis、MySQL未授权访问。漏洞扫描器谨慎使用如AWVS、Nessus的社区版或开源替代品nuclei。切记扫描器只是辅助会产生大量误报和噪音。高手用它来查漏补缺或批量筛选潜在点新手绝不能依赖扫描器报告直接提交。你需要对扫描器报告的每个“漏洞”进行手动验证。注意所有工具的使用必须在授权范围内。在补天平台你只能对厂商收录范围内的资产使用这些工具进行“最小化验证性测试”。3.3 目标选择与信息收集策略不要一上来就盯着阿里、腾讯、百度这些巨头。它们的防护体系非常完善对新手极不友好。我的建议是从中小型厂商、新兴互联网公司、或传统企业的线上业务开始。这些目标可能安全意识相对薄弱存在“低垂果实”的概率更大。在补天平台筛选目标使用平台的搜索和筛选功能找那些“响应速度快”、“评级规范”、“奖金发放及时”的厂商。查看厂商的历史漏洞公示了解他们常出现什么类型的漏洞。深度信息收集确定一个目标后进行立体化信息收集域名资产主域、子域名、关联母公司或子公司的域名。技术架构用的什么Web服务器Nginx/Apache/IIS、什么开发框架Spring Boot, Django, ThinkPHP、什么前端库Vue, React。历史漏洞在补天或其他SRC平台搜索该厂商是否曾被曝过漏洞是什么类型。这能揭示其薄弱环节。业务逻辑这是一个高级但收益巨大的方向。注册账号完整走一遍核心业务流程如注册、登录、支付、订单修改、个人信息编辑。思考每个环节是否存在逻辑缺陷例如修改收货地址时能否通过修改用户ID参数修改他人的地址这就是越权漏洞。4. 漏洞挖掘实战从原理到发现的完整流程有了知识和工具我们进入实战环节。这里以几个热词中提到的漏洞类型为例拆解完整的挖掘思路。4.1 信息泄露类漏洞挖掘实战这类漏洞往往不需要复杂的利用发现即成果是新手非常好的起点。案例Swagger API未授权访问原理Swagger是一个流行的API文档生成工具。开发人员如果配置不当可能会将生产环境的Swagger UI页面直接暴露在公网且未设置访问权限。攻击者通过该页面可以查看所有API接口的详细说明、参数甚至直接调用接口。挖掘方法信息收集阶段对目标域名进行目录扫描关键词包括/swagger-ui.html,/swagger/index.html,/api/swagger-ui.html,/v2/api-docs,/swagger-resources。访问发现的Swagger UI页面如果能直接看到完整的API列表和调试界面即可确认漏洞。验证与影响证明在报告中你需要截图展示能访问的Swagger UI页面全貌。可以尝试选择一个看起来是“查询用户信息”或“删除数据”的GET/POST接口在页面内点击“Try it out”如果接口能成功调用并返回数据尤其是敏感数据这就是高危漏洞的有力证据。如果只是文档展示无法实际调用则可能定为中危或低危。实操心得这种漏洞的发现非常依赖目录扫描的字典质量。可以自己维护一个包含常见路径的字典。发现后要快速浏览API寻找包含user、admin、delete、password等关键词的接口优先测试这些来证明危害。案例Sourcemap文件泄露原理前端JavaScript代码在部署时有时会连同Sourcemap文件.js.map一起发布。这个文件包含了源码压缩前的映射关系通过工具可以还原出近乎完整的源代码。源码中可能包含硬编码的API密钥、数据库连接信息、内部接口地址、未公开的业务逻辑等敏感信息。挖掘方法在浏览器开发者工具的“网络Network”选项卡中刷新页面查看加载的所有.js文件。在.js文件内容的末尾或开头寻找类似//# sourceMappingURLmain.js.map的注释。这就是Sourcemap文件的地址。直接访问这个.map文件地址如果能下载则漏洞存在。使用开源工具如sourcemap-extractor或在线网站将.map文件与.js文件结合还原出源代码。验证与影响证明在报告中提供.map文件可访问的截图。然后展示从还原的源代码中发现的敏感信息例如const apiKey sk_live_xxxxx;、const databaseUrl mongodb://admin:passwordinternal-host:27017/;。用高亮标记出这些关键信息。这是典型的高危信息泄露。4.2 常见Web漏洞挖掘与绕过技巧案例文件上传漏洞的绕过方式原理网站允许用户上传文件但服务端校验不完整导致可以上传包含恶意代码如Webshell的文件并执行。通用测试流程寻找上传点用户头像、附件上传、内容编辑器的图片上传等。探测校验规则前端JS校验直接禁用浏览器JS或使用Burp拦截修改请求即可绕过。MIME类型校验抓包将Content-Type: image/jpeg改为application/php。文件扩展名校验黑名单绕过尝试.php5,.phtml,.phps,.php7。大小写绕过.PHP,.Php。双写绕过.pphphp假设过滤php字符串。点号空格绕过shell.php.或shell.phpWindows环境下可能被自动去除。.htaccess文件攻击上传一个包含AddType application/x-httpd-php .jpg的.htaccess文件然后上传.jpg格式的Webshell。文件内容校验图片马使用copy命令Windows或cat命令Linux将一句话木马追加到正常图片后面copy normal.jpg /b shell.php /a webshell.jpg。然后利用文件包含漏洞来执行图片中的PHP代码。验证利用上传成功后尝试访问上传的文件路径。如果返回了非图片的错误如500错误或者直接执行了代码如用?php phpinfo();?测试则漏洞存在。实操心得文件上传常与文件包含、解析漏洞IIS、Nginx的特定配置缺陷组合利用。单独一个无法执行的上传点危害有限。在报告中要清晰描述你绕过了哪一层校验并成功上传了可执行文件。绝对不要在报告中写入真实的、功能强大的Webshell代码用phpinfo()或echo ‘test’;证明即可。案例XSS漏洞的发现与利用证明原理攻击者将恶意脚本注入到网页中当其他用户浏览时触发。挖掘方法寻找输入点所有用户可控的输入都是怀疑对象搜索框、评论框、个人信息昵称、签名、URL参数、HTTP请求头如User-Agent, Referer。测试Payload先使用无害的探测Payload如scriptalert(document.domain)/script或‘“img srcx onerroralert(1)。在Burp的Repeater中发送观察响应是否原样返回或被过滤。判断上下文输入点出现在HTML标签内属性、标签之间、JavaScript代码中还是CSS中不同上下文需要不同的Payload构造技巧。验证与影响证明对于反射型XSS截图展示弹窗即可。对于存储型XSS需要证明它被存储并会影响其他用户例如在个人昵称中注入然后让另一个账号查看你的资料页触发。在报告中要说明触发的条件是否需要登录、哪个页面而不仅仅是扔一个Payload截图。4.3 业务逻辑漏洞挖掘思路这是体现技术深度的领域往往奖金也更高。它没有通用扫描器能发现全靠你对业务的理解。常见类型越权访问垂直越权普通用户访问管理员功能、水平越权用户A访问用户B的数据。测试方法登录两个不同权限/不同数据的账号用Burp抓取A账号访问某个功能的请求将请求中的身份标识如Cookie、用户ID参数替换成B账号的重放请求看是否能成功操作。业务流程缺陷例如支付环节在客户端校验金额攻击者可以修改提交的金额为0.01元而实际订单金额为100元。或者优惠券领取无次数限制可以无限刷取。验证码绕过验证码在客户端生成和校验、验证码可重复使用、验证码与手机号/邮箱不绑定等。挖掘思路把自己想象成产品经理和攻击者。问自己“这个功能的设计初衷是什么它信任了用户的哪些输入如果我不按常理出牌会发生什么” 多步骤操作时尝试跳过中间步骤直接访问最终步骤的接口。5. 漏洞报告撰写决定奖金高低的关键一步一份糟糕的报告可能让一个高危漏洞被定为低危甚至忽略。报告是你的“产品说明书”必须专业、清晰、无可辩驳。5.1 报告核心要素与写作模板一份优秀的漏洞报告应包含以下部分你可以将其作为模板漏洞标题精炼概括。格式[厂商名] [漏洞类型] [漏洞位置]。例如[XX公司] 后台Swagger接口未授权访问漏洞 api.xxx.com。漏洞等级根据你的判断建议一个等级如高危。但最终以厂商评级为准。漏洞类型下拉选择如“未授权访问/权限绕过”、“信息泄露”、“SQL注入”等。漏洞URL/影响范围提供完整的漏洞URL。如果是多个列出主要的一个其余在详情中说明。漏洞描述背景简要说明发现该漏洞的功能模块或页面。原理用一两句话说明漏洞产生的技术原因。现状当前存在什么问题。漏洞证明PoC这是报告的灵魂必须详尽步骤用编号列表清晰列出复现步骤。例如1. 访问http://target.com/swagger-ui.html2. 点击“用户管理”API分组3. 找到GET /api/user/{id}接口4. 点击“Try it out”在id参数框输入1点击Execute5. 观察返回结果。截图/视频每一步都要有截图关键步骤如请求、响应的截图需要包含浏览器地址栏、Burp的请求响应包。截图要清晰关键信息如URL、参数、返回的敏感数据用红框标出。对于复杂交互漏洞可以录制GIF或短视频。请求与响应在报告中粘贴关键的HTTP请求和响应原始数据尤其是包含Payload和成功回显的部分。这便于审核人员快速验证。修复建议给出具体、可操作的修复方案。这体现了你的专业性。例如对于未授权访问建议“增加身份认证和权限校验中间件”对于SQL注入建议“使用参数化查询Prepared Statement或ORM框架”对于XSS建议“对用户输入进行严格的过滤和转义根据输出上下文使用合适的编码函数”。其他信息如测试使用的浏览器版本、工具等。5.2 高质量PoC概念验证制作指南PoC的目标是让一个完全不懂的安全工程师能按照你的步骤在5分钟内100%复现这个漏洞。截图技巧使用浏览器的“整页截图”功能或滚动截图工具确保信息完整。Burp截图要包含Raw视图展示完整的请求头和请求体。在敏感信息如Token、真实手机号上打马赛克但漏洞相关的参数如id1要清晰展示。视频/GIF制作对于逻辑漏洞或需要多步交互的漏洞视频比图文更直观。可以使用ScreenToGif、LICEcap等工具录制。视频不宜过长聚焦关键操作。数据脱敏证明漏洞时如果返回了真实的用户数据如手机号、邮箱在截图中务必进行脱敏处理如显示为138****0000这是职业道德和法律要求。5.3 报告提交后的沟通与跟进提交报告不等于结束。平台状态会变化待审核-已确认/已忽略-修复中-待验收-已完成。及时响应关注平台通知和邮件。如果审核人员或厂商需要你补充信息务必在24小时内清晰、友好地回复。理性沟通如果你的漏洞被定为“忽略”或等级比你预期低先仔细阅读厂商的回复。如果确实有误判可以在平台内有理有据地申诉提供更详细的证明。避免情绪化争吵。验收环节当厂商标记为“已修复”或“待验收”时你需要去验证漏洞是否真的被修复了。如果修复了在平台确认如果修复不彻底例如只在前端做了校验可以补充提交。这是一个展示你责任心的好机会。6. 从入门到精通进阶路径与长期发展掌握了基本流程后如何从“能提交”到“精通”获得更高额的奖金6.1 关注新兴漏洞与深度利用安全领域日新月异。你需要保持学习跟进最新漏洞关注国内外安全社区如Seebug、Exploit-DB、厂商安全公告如微软、Apache、Spring。像“Diffie-Hellman密钥协商协议资源管理错误漏洞(CVE-2002-20001)”这类老漏洞的复现更多是用于理解原理和在内网渗透测试中的利用在补天这类以Web漏洞为主的平台相对少见但了解它们能拓宽你的知识面。漏洞组合利用单一漏洞危害有限组合起来可能产生“质变”。例如一个信息泄露漏洞如源码泄露暴露了后台地址和硬编码密码结合一个弱口令或未授权访问就能直接进入后台。在报告中如果能展示这种组合利用链漏洞等级和奖金通常会大幅提升。挖掘逻辑漏洞的“深水区”研究复杂的业务场景如金融系统的交易对冲、社交网络的关系链遍历、OAuth授权流程中的缺陷等。这需要你对业务有非常深的理解。6.2 建立个人知识库与工作流记录与复盘为每一个提交的漏洞无论是否被采纳建立档案。记录目标、测试过程、使用的Payload、报告内容、厂商反馈和最终结果。定期复盘分析成功和失败的原因。打造专属工具集将常用的Payload、扫描字典、信息收集脚本整理成自己的工具包。编写一些小脚本自动化重复劳动比如自动筛选子域名中存活且开放80/443端口的资产。参与社区在合规的前提下在技术论坛、博客上分享你的挖掘思路和技巧注意隐藏敏感信息。与他人交流能碰撞出新的火花。6.3 心态管理与风险规避保持平常心漏洞挖掘有运气成分可能一周毫无收获也可能一天发现多个。不要因为被拒稿或评级低而气馁把它看作学习过程。那个“领导八万六的沙发是我的奖金”的梗听听就好别当成普遍预期。时间投入这需要大量时间。不要指望用业余时间随便扫扫就能赚大钱。把它当成一项需要持续投入的技能来修炼。法律风险意识再强调始终恪守“授权测试、最小影响、保密原则”。不清楚能不能测的发邮件问厂商或平台客服。永远不要越过红线。漏洞挖掘与提交是一条充满挑战但也极具成就感的路径。它不仅能带来物质回报更能极大地提升你的技术视野、问题分析能力和工程化思维。从今天起选择一个合适的靶场或一个友好的SRC厂商按照本文的步骤开始你的第一次实践吧。记住第一个漏洞总是最难的但一旦你亲手完成从发现到提交并获得认可的全过程后面的一切都会变得清晰起来。
1. 项目概述从零开始理解补天平台与漏洞赏金如果你对网络安全感兴趣或者听说过“挖漏洞能赚钱”那么“补天平台”这个名字你大概率不会陌生。简单来说它是一个连接安全研究人员白帽子与企业厂商的桥梁。白帽子在这里提交自己发现的、存在于厂商产品或服务中的安全漏洞厂商审核确认后会根据漏洞的严重程度和自身设定的规则向白帽子支付一笔奖金。这听起来像是一个双赢的游戏企业用相对较低的成本发现了潜在的安全风险白帽子则用自己的技术获得了认可和报酬。我最初接触这个领域时也是从“听说能赚钱”开始的但真正深入后才发现这远不止是“找BUG换钱”它更是一个需要严谨态度、持续学习和规范流程的技术活。很多人尤其是新手会被“奖金”两个字吸引然后一头扎进去结果往往是在平台规则、漏洞报告撰写、沟通技巧上栽跟头导致辛苦发现的漏洞被忽略、被驳回甚至产生纠纷。这篇内容就是把我自己从零开始在补天平台提交了数十个有效漏洞从被拒到被采纳从小额奖金到获得可观回报的整个过程中的经验、教训和具体操作步骤毫无保留地分享出来。我们的目标很明确让你避开我踩过的所有坑系统地掌握从漏洞挖掘、验证、报告到最终获得奖金的完整闭环。无论你是完全零基础的在校学生还是有一定安全基础但从未接触过SRC安全应急响应中心的开发者看这一篇就够了。2. 补天平台核心机制与规则深度解析在动手之前我们必须像了解游戏规则一样彻底吃透补天平台的运作机制。这决定了你努力的方向是否正确以及你的劳动成果能否被公平对待。2.1 平台角色与漏洞生命周期补天平台主要涉及三方平台方补天、厂商漏洞所属公司、白帽子你。平台提供技术支撑和流程管理厂商发布漏洞收集范围漏洞盒子并设定奖金规则白帽子进行测试和提交。一个漏洞从发现到结案通常经历以下生命周期提交白帽子填写漏洞报告。审核平台初审员进行格式和基础验证审核。转交通过初审后报告转交给对应厂商的安全团队。厂商审核厂商安全工程师复现漏洞评估风险等级和影响。处理厂商修复漏洞。定级与发放厂商根据漏洞定级规则确定奖金数额并安排发放。结案漏洞状态关闭奖金到账可能需要白帽子确认。这里有一个至关重要的细节最终定级和发奖的决定权在厂商手中。平台虽有通用定级指南但不同厂商对同一类型漏洞的风险评估可能差异巨大。例如一个信息泄露漏洞在A公司可能被定为“高危”而在B公司可能只是“低危”或“忽略”。因此在提交前务必仔细阅读该厂商的“漏洞收录范围”和“评分标准”这是你的行动纲领。2.2 漏洞定级与奖金计算逻辑奖金不是拍脑袋决定的它通常与漏洞的“危害等级”和“厂商设定的奖金系数”挂钩。通用危害等级分为严重可直接获取服务器权限、严重数据泄露、重大业务逻辑缺陷导致资金损失等。高危可获取敏感数据、进行严重影响业务的操作如任意用户登录、重要信息篡改。中危获取一般性数据、进行有限制的操作如跨站脚本XSS、越权访问非核心数据。低危轻微信息泄露、对安全影响较小的异常如路径信息泄露、无关紧要的报错信息。无风险/忽略无实际安全威胁的瑕疵。奖金 基础奖金 × 等级系数。例如某厂商规定严重漏洞基础奖金5000元高危2000元中危500元低危100元。那么一个被评定为“高危”的漏洞奖金就是2000元。有些厂商还会对“首个发现者”、“高质量报告”给予额外奖励。你需要管理好自己的预期一个常见的XSS漏洞在大型互联网公司可能只有中危或低危的奖励。2.3 必须遵守的“行规”与法律边界这是红线绝对不能碰。补天平台以及所有正规SRC都遵循“负责任的安全披露”原则。具体包括仅测试规定范围只测试厂商在“漏洞收录范围”中明确列出的域名、IP、应用。严禁对未授权的系统进行测试。最小化测试原则证明漏洞存在即可严禁进行拖库、删库、篡改大量数据、利用漏洞进行盈利或破坏等操作。例如发现一个SQL注入点证明可以执行select version()或select user()即可绝对不要尝试drop table或导出全部用户数据。保密原则在漏洞被厂商确认并修复之前严禁在任何公开渠道包括个人博客、社交媒体、技术论坛披露漏洞细节。所有沟通应在平台内进行。禁止对漏洞利用程序进行传播你提交的是漏洞报告不是攻击工具。 违反以上任何一条轻则漏洞被拒绝、账号被封禁重则可能面临法律责任。记住我们是“白帽子”不是“黑客”。我们的目标是帮助提升安全性而不是破坏它。3. 零基础入门漏洞挖掘前的必备技能与工具准备很多人以为挖漏洞就是拿着扫描器乱扫这大错特错。没有基础的“乱扫”效率极低且极易触发防护规则被拉黑。下面是我总结的新手入门必备路径。3.1 核心安全知识体系构建你不需要一开始就成为所有领域的大师但以下基础知识必须牢固Web基础彻底理解HTTP/HTTPS协议、Cookie/Session机制、URL结构、请求方法GET/POST等。这是看懂浏览器开发者工具F12中网络请求的基础。常见漏洞原理这是你的“武器库”。初期重点掌握3-5种最普遍、最容易发现的漏洞原理和利用方式。SQL注入理解数据库查询逻辑如何通过构造参数改变原意。跨站脚本XSS理解反射型、存储型、DOM型的区别如何构造弹窗scriptalert(1)/script证明漏洞。跨站请求伪造CSRF理解用户登录态下如何诱导用户执行非本意的操作。文件上传漏洞了解服务器如何校验文件前端JS校验、MIME类型、文件头、扩展名、内容检测以及常见的绕过方法如双写扩展名、大小写、.php5、.phtml、图片马结合文件包含。信息泄露这是一个大类包括源代码泄露如.git、.svn目录、配置文件泄露、备份文件泄露、错误信息泄露、接口文档未授权访问如Swagger UI、敏感文件未授权访问如Nacos控制台等。很多热词如“swagger api 未授权访问漏洞”、“nacos namespaces未授权访问漏洞”就属于此类。漏洞复现环境搭建在本地或虚拟机搭建靶场如DVWA、bWAPP、WebGoat、74cms靶场进行练习。“永恒之蓝”、“永恒之黑”这类漏洞复现主要针对内网和系统层与Web漏洞挖掘路径不同初学者可暂缓。靶场练习的目的是将理论转化为肌肉记忆知道一个漏洞点“长什么样”以及如何安全地验证它。3.2 高效工具链配置工欲善其事必先利其器。推荐一套新手友好的工具组合浏览器与插件Chrome或Firefox是标配。必装插件Hack-Tools集合多种Payload、Wappalyzer识别网站技术栈、EditThisCookie管理Cookie。代理抓包工具这是你的“眼睛”。Burp Suite Community Edition免费版是绝对的核心。你需要学会配置浏览器代理、使用Proxy模块拦截和修改HTTP/S请求、使用Repeater模块重放请求、使用Intruder模块进行模糊测试爆破、遍历。它的熟练程度直接决定你的挖掘深度。信息收集工具子域名枚举OneForAll、subfinder、amass。了解目标有多少个入口点。目录/文件扫描dirsearch、ffuf、gobuster。用于发现隐藏的路径、备份文件、管理后台等。扫描时务必注意频率避免对目标造成压力。端口与服务探测nmap。了解目标服务器开放了哪些端口运行着什么服务如Redis、MySQL未授权访问。漏洞扫描器谨慎使用如AWVS、Nessus的社区版或开源替代品nuclei。切记扫描器只是辅助会产生大量误报和噪音。高手用它来查漏补缺或批量筛选潜在点新手绝不能依赖扫描器报告直接提交。你需要对扫描器报告的每个“漏洞”进行手动验证。注意所有工具的使用必须在授权范围内。在补天平台你只能对厂商收录范围内的资产使用这些工具进行“最小化验证性测试”。3.3 目标选择与信息收集策略不要一上来就盯着阿里、腾讯、百度这些巨头。它们的防护体系非常完善对新手极不友好。我的建议是从中小型厂商、新兴互联网公司、或传统企业的线上业务开始。这些目标可能安全意识相对薄弱存在“低垂果实”的概率更大。在补天平台筛选目标使用平台的搜索和筛选功能找那些“响应速度快”、“评级规范”、“奖金发放及时”的厂商。查看厂商的历史漏洞公示了解他们常出现什么类型的漏洞。深度信息收集确定一个目标后进行立体化信息收集域名资产主域、子域名、关联母公司或子公司的域名。技术架构用的什么Web服务器Nginx/Apache/IIS、什么开发框架Spring Boot, Django, ThinkPHP、什么前端库Vue, React。历史漏洞在补天或其他SRC平台搜索该厂商是否曾被曝过漏洞是什么类型。这能揭示其薄弱环节。业务逻辑这是一个高级但收益巨大的方向。注册账号完整走一遍核心业务流程如注册、登录、支付、订单修改、个人信息编辑。思考每个环节是否存在逻辑缺陷例如修改收货地址时能否通过修改用户ID参数修改他人的地址这就是越权漏洞。4. 漏洞挖掘实战从原理到发现的完整流程有了知识和工具我们进入实战环节。这里以几个热词中提到的漏洞类型为例拆解完整的挖掘思路。4.1 信息泄露类漏洞挖掘实战这类漏洞往往不需要复杂的利用发现即成果是新手非常好的起点。案例Swagger API未授权访问原理Swagger是一个流行的API文档生成工具。开发人员如果配置不当可能会将生产环境的Swagger UI页面直接暴露在公网且未设置访问权限。攻击者通过该页面可以查看所有API接口的详细说明、参数甚至直接调用接口。挖掘方法信息收集阶段对目标域名进行目录扫描关键词包括/swagger-ui.html,/swagger/index.html,/api/swagger-ui.html,/v2/api-docs,/swagger-resources。访问发现的Swagger UI页面如果能直接看到完整的API列表和调试界面即可确认漏洞。验证与影响证明在报告中你需要截图展示能访问的Swagger UI页面全貌。可以尝试选择一个看起来是“查询用户信息”或“删除数据”的GET/POST接口在页面内点击“Try it out”如果接口能成功调用并返回数据尤其是敏感数据这就是高危漏洞的有力证据。如果只是文档展示无法实际调用则可能定为中危或低危。实操心得这种漏洞的发现非常依赖目录扫描的字典质量。可以自己维护一个包含常见路径的字典。发现后要快速浏览API寻找包含user、admin、delete、password等关键词的接口优先测试这些来证明危害。案例Sourcemap文件泄露原理前端JavaScript代码在部署时有时会连同Sourcemap文件.js.map一起发布。这个文件包含了源码压缩前的映射关系通过工具可以还原出近乎完整的源代码。源码中可能包含硬编码的API密钥、数据库连接信息、内部接口地址、未公开的业务逻辑等敏感信息。挖掘方法在浏览器开发者工具的“网络Network”选项卡中刷新页面查看加载的所有.js文件。在.js文件内容的末尾或开头寻找类似//# sourceMappingURLmain.js.map的注释。这就是Sourcemap文件的地址。直接访问这个.map文件地址如果能下载则漏洞存在。使用开源工具如sourcemap-extractor或在线网站将.map文件与.js文件结合还原出源代码。验证与影响证明在报告中提供.map文件可访问的截图。然后展示从还原的源代码中发现的敏感信息例如const apiKey sk_live_xxxxx;、const databaseUrl mongodb://admin:passwordinternal-host:27017/;。用高亮标记出这些关键信息。这是典型的高危信息泄露。4.2 常见Web漏洞挖掘与绕过技巧案例文件上传漏洞的绕过方式原理网站允许用户上传文件但服务端校验不完整导致可以上传包含恶意代码如Webshell的文件并执行。通用测试流程寻找上传点用户头像、附件上传、内容编辑器的图片上传等。探测校验规则前端JS校验直接禁用浏览器JS或使用Burp拦截修改请求即可绕过。MIME类型校验抓包将Content-Type: image/jpeg改为application/php。文件扩展名校验黑名单绕过尝试.php5,.phtml,.phps,.php7。大小写绕过.PHP,.Php。双写绕过.pphphp假设过滤php字符串。点号空格绕过shell.php.或shell.phpWindows环境下可能被自动去除。.htaccess文件攻击上传一个包含AddType application/x-httpd-php .jpg的.htaccess文件然后上传.jpg格式的Webshell。文件内容校验图片马使用copy命令Windows或cat命令Linux将一句话木马追加到正常图片后面copy normal.jpg /b shell.php /a webshell.jpg。然后利用文件包含漏洞来执行图片中的PHP代码。验证利用上传成功后尝试访问上传的文件路径。如果返回了非图片的错误如500错误或者直接执行了代码如用?php phpinfo();?测试则漏洞存在。实操心得文件上传常与文件包含、解析漏洞IIS、Nginx的特定配置缺陷组合利用。单独一个无法执行的上传点危害有限。在报告中要清晰描述你绕过了哪一层校验并成功上传了可执行文件。绝对不要在报告中写入真实的、功能强大的Webshell代码用phpinfo()或echo ‘test’;证明即可。案例XSS漏洞的发现与利用证明原理攻击者将恶意脚本注入到网页中当其他用户浏览时触发。挖掘方法寻找输入点所有用户可控的输入都是怀疑对象搜索框、评论框、个人信息昵称、签名、URL参数、HTTP请求头如User-Agent, Referer。测试Payload先使用无害的探测Payload如scriptalert(document.domain)/script或‘“img srcx onerroralert(1)。在Burp的Repeater中发送观察响应是否原样返回或被过滤。判断上下文输入点出现在HTML标签内属性、标签之间、JavaScript代码中还是CSS中不同上下文需要不同的Payload构造技巧。验证与影响证明对于反射型XSS截图展示弹窗即可。对于存储型XSS需要证明它被存储并会影响其他用户例如在个人昵称中注入然后让另一个账号查看你的资料页触发。在报告中要说明触发的条件是否需要登录、哪个页面而不仅仅是扔一个Payload截图。4.3 业务逻辑漏洞挖掘思路这是体现技术深度的领域往往奖金也更高。它没有通用扫描器能发现全靠你对业务的理解。常见类型越权访问垂直越权普通用户访问管理员功能、水平越权用户A访问用户B的数据。测试方法登录两个不同权限/不同数据的账号用Burp抓取A账号访问某个功能的请求将请求中的身份标识如Cookie、用户ID参数替换成B账号的重放请求看是否能成功操作。业务流程缺陷例如支付环节在客户端校验金额攻击者可以修改提交的金额为0.01元而实际订单金额为100元。或者优惠券领取无次数限制可以无限刷取。验证码绕过验证码在客户端生成和校验、验证码可重复使用、验证码与手机号/邮箱不绑定等。挖掘思路把自己想象成产品经理和攻击者。问自己“这个功能的设计初衷是什么它信任了用户的哪些输入如果我不按常理出牌会发生什么” 多步骤操作时尝试跳过中间步骤直接访问最终步骤的接口。5. 漏洞报告撰写决定奖金高低的关键一步一份糟糕的报告可能让一个高危漏洞被定为低危甚至忽略。报告是你的“产品说明书”必须专业、清晰、无可辩驳。5.1 报告核心要素与写作模板一份优秀的漏洞报告应包含以下部分你可以将其作为模板漏洞标题精炼概括。格式[厂商名] [漏洞类型] [漏洞位置]。例如[XX公司] 后台Swagger接口未授权访问漏洞 api.xxx.com。漏洞等级根据你的判断建议一个等级如高危。但最终以厂商评级为准。漏洞类型下拉选择如“未授权访问/权限绕过”、“信息泄露”、“SQL注入”等。漏洞URL/影响范围提供完整的漏洞URL。如果是多个列出主要的一个其余在详情中说明。漏洞描述背景简要说明发现该漏洞的功能模块或页面。原理用一两句话说明漏洞产生的技术原因。现状当前存在什么问题。漏洞证明PoC这是报告的灵魂必须详尽步骤用编号列表清晰列出复现步骤。例如1. 访问http://target.com/swagger-ui.html2. 点击“用户管理”API分组3. 找到GET /api/user/{id}接口4. 点击“Try it out”在id参数框输入1点击Execute5. 观察返回结果。截图/视频每一步都要有截图关键步骤如请求、响应的截图需要包含浏览器地址栏、Burp的请求响应包。截图要清晰关键信息如URL、参数、返回的敏感数据用红框标出。对于复杂交互漏洞可以录制GIF或短视频。请求与响应在报告中粘贴关键的HTTP请求和响应原始数据尤其是包含Payload和成功回显的部分。这便于审核人员快速验证。修复建议给出具体、可操作的修复方案。这体现了你的专业性。例如对于未授权访问建议“增加身份认证和权限校验中间件”对于SQL注入建议“使用参数化查询Prepared Statement或ORM框架”对于XSS建议“对用户输入进行严格的过滤和转义根据输出上下文使用合适的编码函数”。其他信息如测试使用的浏览器版本、工具等。5.2 高质量PoC概念验证制作指南PoC的目标是让一个完全不懂的安全工程师能按照你的步骤在5分钟内100%复现这个漏洞。截图技巧使用浏览器的“整页截图”功能或滚动截图工具确保信息完整。Burp截图要包含Raw视图展示完整的请求头和请求体。在敏感信息如Token、真实手机号上打马赛克但漏洞相关的参数如id1要清晰展示。视频/GIF制作对于逻辑漏洞或需要多步交互的漏洞视频比图文更直观。可以使用ScreenToGif、LICEcap等工具录制。视频不宜过长聚焦关键操作。数据脱敏证明漏洞时如果返回了真实的用户数据如手机号、邮箱在截图中务必进行脱敏处理如显示为138****0000这是职业道德和法律要求。5.3 报告提交后的沟通与跟进提交报告不等于结束。平台状态会变化待审核-已确认/已忽略-修复中-待验收-已完成。及时响应关注平台通知和邮件。如果审核人员或厂商需要你补充信息务必在24小时内清晰、友好地回复。理性沟通如果你的漏洞被定为“忽略”或等级比你预期低先仔细阅读厂商的回复。如果确实有误判可以在平台内有理有据地申诉提供更详细的证明。避免情绪化争吵。验收环节当厂商标记为“已修复”或“待验收”时你需要去验证漏洞是否真的被修复了。如果修复了在平台确认如果修复不彻底例如只在前端做了校验可以补充提交。这是一个展示你责任心的好机会。6. 从入门到精通进阶路径与长期发展掌握了基本流程后如何从“能提交”到“精通”获得更高额的奖金6.1 关注新兴漏洞与深度利用安全领域日新月异。你需要保持学习跟进最新漏洞关注国内外安全社区如Seebug、Exploit-DB、厂商安全公告如微软、Apache、Spring。像“Diffie-Hellman密钥协商协议资源管理错误漏洞(CVE-2002-20001)”这类老漏洞的复现更多是用于理解原理和在内网渗透测试中的利用在补天这类以Web漏洞为主的平台相对少见但了解它们能拓宽你的知识面。漏洞组合利用单一漏洞危害有限组合起来可能产生“质变”。例如一个信息泄露漏洞如源码泄露暴露了后台地址和硬编码密码结合一个弱口令或未授权访问就能直接进入后台。在报告中如果能展示这种组合利用链漏洞等级和奖金通常会大幅提升。挖掘逻辑漏洞的“深水区”研究复杂的业务场景如金融系统的交易对冲、社交网络的关系链遍历、OAuth授权流程中的缺陷等。这需要你对业务有非常深的理解。6.2 建立个人知识库与工作流记录与复盘为每一个提交的漏洞无论是否被采纳建立档案。记录目标、测试过程、使用的Payload、报告内容、厂商反馈和最终结果。定期复盘分析成功和失败的原因。打造专属工具集将常用的Payload、扫描字典、信息收集脚本整理成自己的工具包。编写一些小脚本自动化重复劳动比如自动筛选子域名中存活且开放80/443端口的资产。参与社区在合规的前提下在技术论坛、博客上分享你的挖掘思路和技巧注意隐藏敏感信息。与他人交流能碰撞出新的火花。6.3 心态管理与风险规避保持平常心漏洞挖掘有运气成分可能一周毫无收获也可能一天发现多个。不要因为被拒稿或评级低而气馁把它看作学习过程。那个“领导八万六的沙发是我的奖金”的梗听听就好别当成普遍预期。时间投入这需要大量时间。不要指望用业余时间随便扫扫就能赚大钱。把它当成一项需要持续投入的技能来修炼。法律风险意识再强调始终恪守“授权测试、最小影响、保密原则”。不清楚能不能测的发邮件问厂商或平台客服。永远不要越过红线。漏洞挖掘与提交是一条充满挑战但也极具成就感的路径。它不仅能带来物质回报更能极大地提升你的技术视野、问题分析能力和工程化思维。从今天起选择一个合适的靶场或一个友好的SRC厂商按照本文的步骤开始你的第一次实践吧。记住第一个漏洞总是最难的但一旦你亲手完成从发现到提交并获得认可的全过程后面的一切都会变得清晰起来。
相关新闻
Appium+Python+pytest移动端自动化测试框架搭建与工程实践
2026/6/26 14:30:07
【2023虚拟机软件终极横评】:VMware、VirtualBox、Hyper-V、Parallels四大平台性能/兼容/安全实测数据全公开
2026/6/26 14:30:07?一文搞懂低代码平台的技术架构与核心价值)
什么是低代码(Low-Code)?一文搞懂低代码平台的技术架构与核心价值
2026/6/26 14:30:07最新新闻
3个高效技巧:掌握游戏资源编辑器的专业玩法
2026/6/26 15:40:30
二、Claude Code 核心配置详解:settings.json 与三层记忆体系
2026/6/26 15:40:30
如何永久保存微信聊天记录?这款开源神器让你的对话永不丢失
2026/6/26 15:40:30)
TVA在物理AI领域的决定性意义(3)
2026/6/26 15:40:30
照着用就行:盘点2026年冠绝行业的的AI论文工具
2026/6/26 15:40:30
3分钟快速上手Qwerty Learner:打字与英语学习的完美结合指南
2026/6/26 15:38:29日新闻
如何在PC上免费畅玩Nintendo Switch游戏:Ryujinx模拟器终极指南
2026/6/26 0:00:57
【Netty源码解读和权威指南】第54篇:Netty在Elasticsearch中的应用——分布式搜索引擎的网络通信
2026/6/26 0:00:57
Qwen2.5-Turbo百万上下文实战指南:百炼平台长文本处理全解析
2026/6/26 0:00:57周新闻
深入解析P89LPC932A1 CCU模块:输入捕获与PWM实战指南
2026/6/24 21:14:48
进化博弈论解析AI代理欺骗行为与风险管控
2026/6/24 8:25:30