1. 项目概述从“挖洞”到“挖SRC”的实战演进“挖SRC”这个在网络安全圈子里流传已久的行话对于圈外人听起来可能一头雾水但对于我们这些常年混迹于安全一线的从业者而言它几乎等同于“安全研究员的日常”。SRC即Security Response Center安全应急响应中心通常由各大互联网公司、金融机构、政府机构等设立旨在鼓励外部安全研究员白帽子向其提交自身产品或服务中存在的安全漏洞。而“挖”形象地描绘了安全研究员们像矿工一样在浩如烟海的代码、接口和业务逻辑中寻找那些可能被忽视的“安全金矿”——也就是漏洞的过程。我从事安全研究超过十年从早期的“脚本小子”式盲打盲撞到如今形成一套系统化的“挖SRC”方法论期间踩过的坑、熬过的夜、提交过的报告不计其数。今天我不打算讲那些高深莫测的零日漏洞利用而是想回归本质和大家系统地聊聊一个合格的、能持续产出成果的“挖SRC”实战体系究竟是如何构建和运作的。这不仅仅是技术点的堆砌更是一种思维模式、工作流程和风险意识的综合体现。无论你是刚入行的安全新人还是希望提升漏洞挖掘效率的老手相信这套从目标选定到报告撰写的完整心法都能给你带来实实在在的启发。2. 核心思路与目标规划告别盲目扫描很多人一提到“挖SRC”第一反应就是打开扫描器对着目标域名一顿狂扫。这种做法在十年前或许还能有些收获但在如今WAFWeb应用防火墙、RASP运行时应用自保护和各种安全基线日益完善的背景下纯靠自动化工具“撞大运”的成功率已经极低且极易因大量扫描请求被对方封禁IP得不偿失。高效的“挖SRC”始于清晰的战略规划。2.1 目标筛选与情报收集选择比努力更重要这句话在漏洞挖掘领域同样适用。我的目标筛选主要遵循以下几个原则政策友好度优先优先选择那些拥有公开、清晰、奖励制度明确的SRC平台的公司。这些平台的漏洞处理流程规范对白帽子的权益保护相对到位避免了后续可能出现的纠纷。我会仔细阅读平台的《漏洞评级标准》、《漏洞处理流程》和《用户协议》特别注意其中关于测试范围、禁止使用的攻击手法如DDoS、社工、破坏性测试等以及漏洞归属权的条款。业务熟悉度加权我会倾向于选择我日常使用较多、或者其业务逻辑我比较熟悉的公司。比如如果你是一名电商产品经理那么去挖掘电商平台的业务逻辑漏洞如平行越权、订单金额篡改就会比挖掘一个你不熟悉的云存储服务的内存溢出漏洞容易得多。理解业务才能发现业务设计上的缺陷。技术新颖性考量关注那些正在积极拓展新业务线、上线新功能或进行重大技术重构的公司。新代码、新接口、新交互往往伴随着更高的安全风险因为开发周期紧张安全测试可能不够充分。通过订阅目标公司的技术博客、产品更新日志甚至招聘信息招聘某新业务线的开发人员可以捕捉到这些动向。选定目标后深入的情报收集就开始了。这不仅仅是收集子域名和IP更是绘制一张目标的“数字资产地图”资产发现使用subfinder、amass、OneForAll等工具进行子域名枚举并结合证书透明度日志CT Log、DNS历史记录等进行补充。同时不要忽略移动端资产Android/iOS APP、小程序、微信公众号/小程序、API网关域名等。技术栈指纹识别使用Wappalyzer、WhatWeb、nmap脚本等识别目标使用的Web框架如Spring Boot, Django、前端框架如React, Vue、中间件如Nginx, Apache Tomcat、数据库以及具体的版本信息。老旧的、存在公开漏洞的组件版本是重点突破口。目录与接口探测使用dirsearch、gobuster、ffuf等工具进行目录和文件爆破寻找后台登录入口、备份文件、配置文件、API文档如/swagger-ui.html,/api-docs等。对于API我会使用katana、gospider等爬虫工具结合自定义字典尽可能多地收集请求端点Endpoint和参数。注意在情报收集阶段务必控制请求频率模拟正常用户行为避免触发目标的风控警报。可以设置较长的延迟时间并使用随机User-Agent。2.2 漏洞类型优先级判定不是所有漏洞都值得投入同等精力。根据漏洞的危害性、挖掘难度和SRC平台的奖励标准我通常会建立自己的漏洞挖掘优先级矩阵漏洞类型危害等级挖掘难度奖励期望备注远程代码执行严重高高核心目标多出现在未授权接口、反序列化、模板注入、命令注入场景。严重逻辑漏洞严重中高如支付绕过、任意账号密码重置、核心业务越权。需要深度理解业务。SQL注入高中中高在参数化查询普及的今天多见于老旧接口或错误配置需耐心FUZZ。跨站脚本中低低中反射型XSS价值较低存储型XSS在可盗取敏感信息或结合其他漏洞时有价值。信息泄露低-中低低如源码泄露、配置文件泄露、目录遍历。常作为进一步渗透的跳板。CSRF中低低通常需要结合其他漏洞才能产生较大危害单独提交可能评级不高。我的策略是用中低难度的漏洞如信息泄露、简单的越权进行“投石问路”一方面熟悉目标系统的响应特征和防护规则另一方面也能快速建立与SRC平台的信任关系。之后再集中火力攻坚高价值漏洞。3. 核心挖掘流程与工具链实战有了清晰的目标和规划接下来就是具体的挖掘过程。我将其分为被动信息收集、主动交互探测、深度漏洞验证三个循环阶段。3.1 被动信息收集与自动化初筛这个阶段的目标是“广撒网”尽可能多地收集潜在的攻击面而不直接与目标交互。GitHub/GitLab监控使用GitHub Dorks或工具如gitrob、truffleHog搜索目标公司员工可能误上传的代码仓库其中包含的API密钥、数据库密码、内部访问凭证等都是致命漏洞。搜索语法如org:companyname password,companyname.com api_key。搜索引擎语法利用通过Google、Shodan、FoFa、ZoomEye等网络空间测绘引擎使用高级语法发现被忽略的资产。例如在FoFa中搜索title目标公司 countryCN 或body内部管理系统 ip目标IP段。证书与子域名监控利用crt.sh等证书透明度查询网站监控目标新签发的域名证书这往往是新业务上线的信号。使用monitor之类的脚本自动化这一过程一旦发现新资产立即加入扫描队列。历史漏洞关联查询目标公司在各大SRC平台的历史漏洞公开报告如果平台有公开的话分析其漏洞类型分布、常出问题的业务模块和技术栈这能极大提高挖掘的针对性。这个阶段我会将收集到的所有资产URL、域名、IP整理成一个清单并导入到自动化扫描流水线中进行初筛。3.2 主动交互探测与手工测试自动化工具扫出的“疑似”漏洞99%都是误报。真正的价值来源于手工测试。我的手工测试流程遵循“由外到内由浅入深”的原则。第一步入口点分析对每一个独特的入口点如登录框、注册接口、文件上传点、查询搜索框、API接口我都会问自己几个问题它接受哪些参数GET/POST/JSON/XML后端可能如何处理这些参数查询数据库、读写文件、调用系统命令、渲染模板有哪些常见的防护措施WAF规则、输入过滤、输出编码如何绕过这些防护编码混淆、参数污染、HTTP参数拆分、多部分请求第二步参数FUZZ与变异这是手工测试的核心。我不会使用现成的攻击载荷字典盲目喷射而是基于对入口点的分析构造针对性的测试用例。针对可能执行命令的参数我会测试命令注入;,,|,$()、反引号、以及利用环境变量和通配符的绕过技巧。针对可能查询数据库的参数测试各种SQL注入类型布尔盲注、时间盲注、报错注入并尝试使用注释符、内联注释、特殊编码绕过过滤。针对可能渲染HTML的参数测试XSS不仅用scriptalert(1)/script更会测试事件处理器、SVG标签、javascript:伪协议、以及针对富文本编辑器的内容安全策略绕过。针对业务逻辑参数这是最体现功力的地方。例如在修改收货地址的功能中我会尝试将请求中的用户ID参数改为其他用户的ID越权测试在支付环节尝试修改前端传回的金额或订单号业务逻辑绕过。我常用的工具组合是Burp Suite Professional 自定义插件/扩展。Burp的Repeater和Intruder模块是手工FUZZ的利器。我会为不同的测试场景配置不同的Intruder载荷集Payload Sets和攻击类型Sniper, Battering ram, Pitchfork, Cluster bomb。实操心得不要完全依赖工具的“主动扫描”功能。它的作用更像一个“提示器”告诉你哪里可能有坑但坑里到底有什么必须自己亲手去挖。我习惯将Burp的代理流量同时导入到sqlmap、XSStrike等专用工具进行深度检测但任何工具的阳性结果都必须手工复现一遍理解漏洞触发的原理和上下文这是撰写高质量报告的基础。3.3 深度漏洞链构造与权限提升发现一个孤立的中低危漏洞如一个反射型XSS并不意味着结束。高段位的安全研究员擅长“漏洞链”思维。案例分享我曾在一个目标上先通过信息泄露漏洞.git目录暴露下载了部分源码从中发现了一个未授权的API接口该接口存在SQL注入。通过SQL注入我导出了后台管理员的用户名和密码哈希值。分析源码发现其密码哈希算法较弱且未加盐我通过彩虹表成功破解。随后我利用破解的密码登录了另一个内部员工系统密码复用在该系统里发现了一个文件上传功能通过绕过文件类型检查上传了Webshell最终获得了服务器权限。这一系列操作将最初的一个“低危信息泄露”升级为了“高危远程代码执行”。这个案例说明了什么要有“连点成线”的能力。每一个发现都可能是一把钥匙或者一张地图碎片。你需要不断思考这个漏洞能让我获取什么信息如源码、配置、数据这些信息是否能帮助我找到另一个更深入的入口我能否组合多个低危漏洞实现高危的破坏效果这种思维模式是区别普通测试者和资深研究员的关键。4. 漏洞报告撰写与提交的艺术挖到漏洞只成功了50%另外50%在于如何清晰、专业、高效地报告它。一份糟糕的报告可能导致漏洞被误判、延期处理甚至被拒绝。4.1 报告的核心要素一份优秀的漏洞报告通常包括以下部分我将其总结为“八股文”式结构但非常有效漏洞标题简明扼要如“[目标域名] 在[功能点]处存在[漏洞类型]导致[影响]”。漏洞等级根据目标SRC的定级标准自评如严重、高危、中危、低危。建议就高不就低但要有理有据。漏洞发现时间精确到小时。漏洞概述用一两句话描述漏洞的本质及其潜在影响。受影响URL/功能提供完整的URL和触发漏洞的功能描述。复现步骤这是报告的灵魂。必须做到任何安全工程师都能按照步骤100%复现。步骤编号1 2 3...操作描述清晰说明每一步在浏览器或工具中做了什么。请求详情附上原始的HTTP请求和响应数据Burp中右键-Copy as curl command 或 View in Browser功能很好用。对于敏感信息如Cookie、Token可用[REDACTED]替换但需说明替换了哪部分。截图/录像关键步骤必须附上截图。对于复杂的交互流程建议录制屏幕录像GIF或MP4并上传到第三方图床后在报告中引用链接。漏洞原理分析简要说明漏洞产生的原因是输入未过滤权限校验缺失业务逻辑错误这体现了你的专业深度。修复建议提供切实可行的修复方案。例如对于SQL注入建议“使用参数化查询Prepared Statements替代字符串拼接”对于越权建议“在服务端对操作主体的身份进行二次校验”。其他信息测试使用的浏览器版本、工具、IP地址如有需要等。4.2 提升报告通过率的技巧一洞一报不要将多个不同位置、不同类型的漏洞混在一个报告里提交。这会给审核人员带来困扰影响处理效率。证据确凿你的复现步骤就是证据链。确保请求/响应数据完整截图清晰。模糊的表述如“我感觉这里有问题”是绝对要避免的。遵守规则严格在SRC规定的测试范围内进行测试绝不触碰敏感数据真实用户数据、交易数据等绝不进行破坏性测试。在报告中可以申明“测试过程中未读取/篡改/删除任何真实业务数据”。沟通态度报告用语专业、礼貌。如果审核人员对漏洞有疑问积极、耐心地补充信息。建立良好的沟通印象有助于未来漏洞的顺利处理。5. 常见问题、踩坑实录与进阶方向即使流程再规范实战中依然会遇到各种“坑”。这里记录几个我印象深刻的教训。5.1 典型问题与排查清单问题现象可能原因排查思路与解决方案提交的漏洞被判定为“重复”其他白帽子已先提交。1.加快响应速度关注目标新功能上线。2.挖掘深度不满足于表面漏洞尝试组合利用或深入挖掘衍生漏洞。3.关注边缘资产主业务线竞争激烈可以尝试挖掘子公司、收购项目、老旧系统。漏洞复现失败1. 环境差异如登录状态。2. 报告步骤描述不清。3. 漏洞已被临时修复。1. 在报告中详细说明测试环境如已登录用户A其UserID为123。2. 使用Burp的Engagement tools - Generate CSRF PoC功能生成一键复现的HTML页面附在报告中。3. 提交报告前再次确认漏洞是否存在。触发WAF/IP被封锁攻击载荷过于明显或请求频率过高。1.降低频率在Burp Intruder中设置最大请求延迟。2.载荷混淆对SQL注入或XSS载荷进行URL编码、HTML实体编码、大小写变换、插入冗余字符等。3.使用代理池对于重要目标可以考虑使用多个代理IP轮询请求。业务逻辑漏洞难以证明危害审核人员不理解漏洞的实际影响。1.构造最直观的攻击场景例如证明越权漏洞时直接展示能操作他人数据的截图。2.量化影响如果能估算可能影响的数据量或造成的经济损失。3.提供修复的紧迫性理由。漏洞修复方案被忽略开发团队更了解自身代码结构。提供修复建议是专业性的体现但心态要放平。我们的核心价值是发现问题修复方案是锦上添花。可以提出原则性建议如“增加服务端校验”而非具体的代码修改。5.2 心态与习惯养成“挖SRC”是一场持久战不是百米冲刺。保持以下心态和习惯至关重要保持好奇心与耐心最关键的漏洞往往藏在最不起眼的角落或者需要十几次、几十次的参数变异才能触发。没有好奇心你会错过入口没有耐心你会在成功前放弃。建立知识体系不要满足于复现别人的漏洞POC。每当学习一种新漏洞类型如SSTI、Prototype Pollution要深入理解其原理、利用条件和限制。建立自己的笔记和知识库如用Obsidian、Notion将案例、技巧、Payload分类归档。法律与道德底线这是红线绝不能逾越。只在授权范围内测试绝不触碰、泄露任何真实用户数据。你的目标是帮助厂商提升安全而非炫耀技术或牟取非法利益。拥抱社区多关注国内外优秀的安全团队博客、参加安全会议线上/线下、在GitHub上学习开源工具。与同行交流往往能打开新的思路。从我个人的经验来看“挖SRC”能力的提升是一个典型的“实践-总结-学习-再实践”的循环。它没有捷径每一次失败的测试和每一份被接受的报告都是通往更高水平的阶梯。这套方法论的背后是对技术的热爱、对细节的执着以及最重要的——一份希望通过自己技能让网络世界变得更安全一点的责任感。希望我的这些分享能成为你“挖矿”路上的一盏小灯。
