“我如何通过挖掘被忽视的漏洞月入千刀” | 作者：Aman Sharma | 2025年9月 | 信息安全技术分享

让我给你描绘一个场景。凌晨2点，Discord服务器里又有猎人在炫耀他们发现的疯狂RCE漏洞链。你叹了口气，感觉自己永远找不到重大漏洞。听起来熟悉吗？

我曾经也这样觉得。直到我停止追逐热门漏洞，开始从那些被其他人忽视的漏洞中获利。我指的是那些无聊、不起眼的漏洞：信息泄露。

当所有人都在主应用上寻找SQL注入时，我悄悄通过暴露的源代码、被遗忘的开发人员文件和配置错误的服务器获得赏金。这就是我的非秘密攻略。

思维转变：停止寻找漏洞，开始寻找秘密

目标不是在代码中寻找漏洞，而是寻找能导致漏洞的信息。这是数字侦察。一个泄露的API密钥不是漏洞，而是通往王国的钥匙。

我在探查一家金融科技公司的资产时，发现他们的主应用固若金汤。但我找到了staging.customer.fintech.com。它返回了一个空白页面。大多数人会离开，但我运行了一个简单的curl命令：

（以下内容需要注册会员才能阅读完整故事）

作者将此故事设置为仅限Medium会员阅读。如果你是Medium新用户，可以创建新账户免费阅读此故事。

在应用中继续阅读 或 在移动网页端继续

使用Google注册使用Facebook注册使用邮箱注册已有账户？登录

发表于InfoSec Write-ups 7万粉丝·最后发布1天前 一系列来自世界顶尖黑客的技术分享，内容涵盖漏洞赏金、CTF、vulnhub机器、硬件挑战和真实案例。订阅我们的周刊获取最酷的信息安全更新：https://weekly.infosecwriteups.com/