漏洞赏金计划：零基础入门与实战指南

什么是漏洞赏金计划

漏洞赏金计划（Bug Bounty Program）是组织或个人通过悬赏方式邀请外部安全研究人员发现并报告其系统、软件或服务中安全漏洞的机制。这种“众包安全”模式让企业与全球白帽黑客建立合作，以高效、经济的方式提升产品安全性。

该模式的本质是将攻击性思维转化为防御力量——企业主动开放测试范围，安全研究人员在约定规则下寻找漏洞，企业根据漏洞危害等级支付赏金。相比传统渗透测试，赏金计划具有持续性、覆盖面广、成本可控等优势。

漏洞赏金的核心价值

• 对企业：弥补内部安全团队盲区，利用社区多样性发现复杂漏洞；降低合规和应急响应成本。
• 对研究人员：合法挖掘漏洞并获得经济回报，积累实战经验，建立行业声誉。
• 对行业：构建负责任披露文化，提升整体网络安全水位。

漏洞赏金平台与计划类型

主流众测平台

计划模式分类

• 公开计划：对所有人开放，竞争激烈，但无门槛限制。
• 私有计划：仅邀请制，根据历史表现、专业领域邀请，赏金更高，环境更友好。
• 漏洞披露计划（VDP）：无赏金或很低，仅鼓励负责任披露，适合积累报告经验。
• 时间限定竞赛：如Live Hacking Event，现场比拼，奖励丰厚。

新手如何上手漏洞赏金

第一步：掌握网络安全基础

1. 网络原理：HTTP/HTTPS、DNS、同源策略、Cookie/Session机制。
2. Web安全核心：OWASP Top 10（注入、XSS、CSRF、认证缺陷等）。
3. 基础工具使用：
   • Burp Suite：拦截和修改HTTP请求的核心代理工具。
   • 浏览器开发者工具（F12）：审查元素、调试JavaScript。
   • 端口扫描：Nmap、Masscan。
4. 学习资源：
   • PortSwigger Web Security Academy（免费交互实验）
   • OWASP Testing Guide
   • 漏洞编写报告训练：HackerOne Hacktivity公开报告。

第二步：选择目标与建立实验环境

• 初选目标：公开VDP或低赏金项目（如非营利组织、开源项目）。这类项目容忍度高，竞争小。
• 本地靶场练习：使用 Damn Vulnerable Web Application (DVWA)、OWASP Juice Shop、PortSwigger Labs 在本地复现漏洞。
• 阅读已公开报告：HackerOne Hacktivity、Bugcrowd的CrowdStream、国内补天/漏洞盒子公开报告，理解漏洞是如何被发现的。

第三步：熟悉计划规则与范围

务必在测试前仔细阅读计划政策页，通常包括：

• 测试范围：允许测试的域名、API端点、移动应用包名等。
• 排除项：明确禁止测试的功能（如拒绝服务攻击、社会工程）。
• 合规要求：IP归属地限制、不得泄露数据、保密协议。
• 赏金等级表：根据漏洞严重性（Critical/High/Medium/Low）支付金额。

漏洞挖掘方法论

信息收集与侦察

花70%时间在侦查阶段可大幅提升有效率。

• 子域名枚举：利用Amass、Subfinder、证书透明度（crt.sh）。
• 目录爆破：Dirsearch、ffuf，重点寻找备份文件、管理后台、API文档。
• 技术指纹识别：Wappalyzer、WhatWeb，确定Web框架、CDN、WAF。
• JavaScript审计：从JS文件中提取隐藏端点、云存储密钥、API Token。
• 历史数据：Wayback Machine（web.archive.org）、URLScan.io。

常见漏洞快速识别

1. SQL注入（SQLi）

• 检测：在参数后加单引号 ' 或 "，观察错误；使用 ' OR '1'='1 等payload。
• 自动化：SQLMap（谨慎使用，需获得授权）。手动测试更可靠。
• 高级技巧：二次注入、Out-of-Band注入（配合Burp Collaborator）。

2. 跨站脚本（XSS）

• 三种类型：反射型、存储型、DOM型。
• 基础Payload：<img src=x onerror=alert(1)>、"><svg/onload=alert(1)>
• 绕过WAF：大小写混写、标签混淆、编码（HTML实体、URL编码）。
• 盲测XSS：使用 eval() 或 fetch() 扣取外部资源（需自建回调服务器）。

3. 访问控制缺陷（IDOR）

• 修改URL中的数字ID（如 ?user=123 改为 124），尝试访问他人数据。
• 注意参数可能隐藏在POST请求、Referer头或JSON体。
• 批量遍历时使用Burp Intruder或自定义脚本。

4. 服务端请求伪造（SSRF）

• 寻找接受URL作为输入的功能（如导入图片、Webhook）。
• 尝试读取内部元数据服务：http://169.254.169.254/latest/meta-data/（AWS等）。
• 利用协议走私：file:///etc/passwd、gopher:// 探测内网端口。

5. 业务逻辑漏洞

• 越权操作：负数金额、无限试用、竞态条件（多线程并发）。
• 支付逻辑：修改价格参数、重复提交订单、扣款与到账不一致。

自动化辅助与人工深度分析

• 被动扫描：使用Burp被动扫描器、ZAP Baseline Scan发现浅层漏洞。
• 主动扫描：Nikto（Web服务器）、Nuclei（模板化漏洞扫描），但需注意避免产生大量垃圾流量。
• 自定义脚本：用Python/Bash编写针对特定功能点的自动化测试，如特定端点参数模糊测试。

有效报告撰写指南

高质量报告是获得赏金与声誉的关键。

报告结构模板

漏洞标题：[简明扼要，如“XX端点存在存储型XSS”]
严重性：Critical/High/Medium/Low
CWE ID（若适用）

摘要：用一两句概括影响。

复现步骤：
1. 登录账户，导航至https://target.com/profile
2. 在“关于我”字段输入Payload：<img src=x onerror=alert(document.cookie)>
3. 保存后刷新页面，弹窗出现。

影响：攻击者可完全控制受害者会话，窃取敏感信息。

修复建议：对用户输入进行HTML实体编码，实施内容安全策略（CSP）。

附件：概念验证视频/GIF、PoC代码、请求/相应原始数据包。

加分技巧

• 提供清晰的视频PoC，使用ScreenToGif等工具录制。
• 说明实际攻击场景，而不仅是“弹窗”。
• 如果漏洞可链式利用（如XSS→CSRF→账户接管），详细展示攻击链。
• 遵循平台报告格式要求，不重复提交已知问题。

常见错误与避坑

• 超出范围测试：未授权的子域名或第三方集成。务必反复确认范围。
• 破坏性测试：不要使用可导致删除数据的Payload，如 '; DROP TABLE...。
• 隐私侵犯：发现漏洞时，不得访问或下载真实用户数据。立即停止并报告。
• 未保留证据：测试过程中随时截图录屏，防止漏洞被修复无法验证。
• 攻击厂商设备：有些目标明确禁止使用自动化工具，先读政策。

持续提升的路径

• 参加CTF：Hack The Box、TryHackMe、CTFtime上练习。
• 阅读内部披露：许多公司有自己的安全致谢页，分析总结模式。
• 建立笔记库：记录每种漏洞的测试思路、特殊场景，慢慢形成个人方法体系。
• 参与社区：HackerOne Discord、本地安全会议，与同行交流思路。

漏洞赏金是一场没有终点的修行，重在坚持与横向思维。每一次报告都是向专家迈进的台阶。