漏洞赏金入门指南：从注册到报告提交全流程解析

基础与思维方式

需要掌握的知识

开始前需要理解以下内容：

• HTTP基础、cookie、会话和头部
• TLS和身份验证
• JavaScript基础和SPA概念
• ORM、SQL查询和输入清理
• OWASP Top 10作为主要风险地图

猎人思维方式

每个步骤都有输入、处理和输出：

• 输入：目标和范围
• 处理：侦察 → 测试 → 验证 → 文档记录
• 输出：可验证的道德报告

通用原则：

• 始终从被动步骤开始
• 记录发现来源和时间
• 避免激进扫描
• 自动化重复任务但仍需手动审查

侦察与映射

目标：安全高效地理解整个攻击面

通用流程

1. 收集主域名
2. 从crt.sh、GitHub、Wayback进行被动侦察
3. 通过amass、subfinder查找子域名
4. 使用httprobe测试存活
5. 通过waybackurls和JS文件爬取获取端点
6. 分析参数和输入
7. 优先处理重要目标

安全命令示例

1
2
3
4
5

amass enum -d target.example.com -o amass.txt
subfinder -d target.example.com -o subfinder.txt
cat amass.txt subfinder.txt | sort -u > hosts.txt
cat hosts.txt | httprobe -c 50 > live.txt
waybackurls target.example.com | tee wayback.txt

在nmap中使用-T3以保持性能和道德

寻找内容

• 证书透明性中的子域名
• Wayback中的旧端点
• JS文件中的隐藏API
• .env或开放配置文件
• HTTP头部和TLS用于技术识别

输出

以JSON或CSV格式保存结果。示例：

1
2
3
4
5

{
  "host": "api.target.com",
  "endpoints": [{"path": "/v1/users", "method": "GET"}],
  "priority": 8.5
}

利用与安全概念验证

主要原则

• 使用测试账户
• 不要更改生产数据
• 从证据中删除敏感信息
• 在每个证据中添加时间戳

清晰的概念验证格式

请求：

1

curl -i -H "Authorization: Bearer <TOKEN>" "https://target.com/api?id=123"

响应：

1
2

HTTP/1.1 200 OK
{ "id":123, "email":"[REDACTED]" }

截图：poc_20251012.png 影响：无需授权即可访问其他用户数据

链式技术（组合小发现）

示例：小XSS + 宽松CORS + 管理员cookie = 敏感数据访问。概念性描述链条，而非完整利用。

快速调试

使用Burp Repeater测试轻量payload，查看服务器日志中的4xx/5xx，并匹配关联ID。仅进行分析；不要暴力破解。

快速被接受的报告

报告目标：让分类团队无需再次询问即可验证

理想结构

• 简短清晰的标题
• 严重性 + CVSS
• 一句话业务影响
• 技术细节和复现步骤
• 证据（截图、原始请求）
• 原因分析
• 实际缓解措施

简洁示例：

标题：GET /api/invoice中的IDOR 严重性：高（CVSS 7.5） 影响：可查看其他用户的账单数据 步骤：curl -i -b session=abc /api/invoice?id=102 缓解：在服务器验证所有权

可直接实施的缓解措施

• IDOR：在服务器验证用户
• XSS：输出编码 + CSP
• SSRF：白名单出站 + 阻止元数据
• SQLi：使用预处理语句
• 身份验证：HttpOnly cookie + SameSite + 令牌轮换

声誉与职业

少量高质量报告 > 垃圾小漏洞 快速响应分类可提高声誉分数 记录响应时间和接受率 加入私有项目以获得更大奖励机会

一年学习计划

• 0-3个月：OWASP Top 10、基础侦察、Burp
• 3-6个月：专业报告、CVSS、分类
• 6-12个月：高级链式、可选Web3、Medium作品集

提交前检查清单

使用此清单确保不遗漏重要点：

• 目标在项目的正式范围内
• 概念验证可复现≤3步且非破坏性
• 证据（截图、原始HTTP）清晰且有时间戳
• 证据中无敏感数据（PII、凭据）
• 影响以非技术方式解释且易于理解
• 严重性有理由或CVSS分数
• 包含缓解建议且开发团队可执行
• 报告格式符合平台指南（HackerOne、Bugcrowd等）
• 报告语言整洁、专业且不含危险利用

漏洞赏金是终身学习过程。专注于道德、报告质量和良好沟通。由此产生声誉、私有项目邀请和更广泛的职业机会。

道德、法律和披露政策

• 仅测试范围内的资产
• 避免DoS、暴力破解、大规模爬取和数据泄露
• 遵循每个项目的负责任披露政策
• 如果发现PII/凭据：停止探索，私下报告，并编辑证据
• 保存审计轨迹：测试时间、IP、用户代理和概念验证证据

披露文本示例： “漏洞在范围内资产上测试，未更改生产数据。证据已清理。我准备帮助验证补丁。”

平台选择指南

• HackerOne：企业项目，生态系统大
• Bugcrowd：托管分类，许多私有项目
• Intigriti：专注欧洲，现代UI
• Immunefi：Web3/智能合约赏金 早期建议：先选一个平台，建立声誉，再扩展

报告模板（完整版）

标题：[类型] 在 [主机] — [一行摘要] 严重性：[低/中/高/严重]（CVSS v3.1：[向量]） 一行影响：[简洁业务影响] 环境：

• URL/端点：[https://…]
• 时间（UTC）：[YYYY-MM-DD HH:MM:SS]
• 账户/角色：[低权限用户]
• 用户代理/IP（可选） 复现步骤：

1. …
2. …
3. … 证据：

• 原始请求/响应（已清理）
• 截图/HAR 根本原因分析：
• [配置错误/验证/逻辑缺陷] 缓解（优先级 → 技术步骤）：

1. …
2. …
3. …

• 无敏感数据公开
• 准备帮助验证补丁

常见错误与快速修复

• 概念验证不可复现 → 重写为≤3步，包含原始HTTP
• 报告过于技术化无业务背景 → 添加一行影响
• 垃圾小发现 → 专注于有影响的漏洞和链式
• 未建议缓解措施 → 提供可执行的技术步骤

常见问题解答

问：需要认证吗？ 答：不强制。被接受的报告作品集比证书更有力。

问：可以使用自动扫描器吗？ 答：如果项目允许则可以。仍优先手动分析。

问：如果供应商要求额外细节怎么办？ 答：快速回复并提供清理后的证据，按要求复现概念验证。

术语表

• IDOR：在服务器上无所有权验证的对象访问
• SSRF：服务器向攻击者控制的位置发起请求
• CSP：内容安全策略，用于缓解XSS
• CVSS：漏洞严重性标准评分

来源

• OWASP Top 10
• 官方平台文档（HackerOne、Bugcrowd、Intigriti、Immunefi）
• 渗透测试技术博客和漏洞赏金记录