漏洞赏金101：2025年入门最佳课程

漏洞赏金在技术领域已经火热多年，许多公司现在支付的赏金是过去的十倍。漏洞赏金计划帮助组织识别和修复应用程序中的漏洞，吸引了众多黑客参与挖掘。随着公司持续在安全领域大量投入，漏洞赏金的热度短期内不会减退。快速浏览任何活跃计划，你会发现公司提供的报酬非常有竞争力，根据报告漏洞的严重程度，从100美元到5000美元不等。

到2025年，许多初创公司甚至政府都在推出自己的漏洞赏金计划，而不仅仅依赖内部安全团队。这种方法实际上帮助他们发现了自己团队遗漏的漏洞。

这些计划最好的部分是你不需要学位就能开始。如果你愿意学习并理解网络背后的工作原理，那么你就准备好了；你只需要一台笔记本电脑和网络连接。

在本文中，我们将回顾2025年你可能想报名参加的热门漏洞赏金课程，以加深你的知识并增加获得奖励的机会。

什么是漏洞赏金计划

你可以把漏洞赏金计划看作是邀请黑客测试公司产品潜在漏洞的正式邀请。每个公司都有自己的计划，通常包括：

• 范围：公司列出的用于测试漏洞的域名、子域名或任何其他形式的目标描述
• 参与规则：定义了允许进行哪种测试以及哪些是禁止的
• 奖励结构：告诉你一个有效漏洞能获得多少报酬

一旦理解了政策，真正的狩猎就开始了。你可以在HackerOne、Bugcrowd、Intigriti、YesWeHack等平台上找到你的目标和活跃计划。我们将在另一篇文章中讨论这些平台。

如果你在这些平台上发现了一个漏洞，你应该撰写详细报告并生成概念验证，解释漏洞及其复现方法。公司随后会审查你的报告，并根据严重程度给予奖励。如果是重复报告或不符合标准，可能会被拒绝，这没关系；我们都经历过，这都是学习过程的一部分。

黑客因什么获得报酬

你发现的大多数漏洞都属于OWASP Top 10类别，这些漏洞的严重程度也基于此列表进行分级。这个列表包含了几乎所有可能的漏洞，从访问控制失效到SSRF。如果你发现了一个影响较小的漏洞，预计能获得50-100美元，但如果你发现了更关键的漏洞，比如完全接管账户或访问敏感数据，那么你可能获得1000到5000美元，有时甚至更多。

真实案例：Coinbase史上最大漏洞赏金

想象你要进行交易，但不是从钱包中花费SHIB，而是出售你实际并不拥有的BTC。这就像拥有无限资金！这是因为Coinbase API中缺少验证检查——平台无法验证加密货币是否与用户账户匹配。因此有人可以轻易欺骗系统，使其认为他们拥有比特币，而实际上并没有，但仍然可以进行真实交易。

这个漏洞由安全研究员Tree of Alpha在2022年2月报告，获得了25万美元的赏金，这是Coinbase有史以来支付的最大金额。

如果你对这类API漏洞的工作原理感到好奇，你应该查看下面主要关注API安全的课程。

技能、工具和平台

在开始之前，我们需要打好基础。在参加任何漏洞赏金课程之前，你需要具备一些先决条件。你可以从以下内容开始：

• 理解HTTP请求的工作原理
• 网络基础，包括TCP/IP和OSI模型
• DNS工作原理
• Linux命令行

这些技能足够吗？不。

编码和脚本

漏洞赏金中最常见的争论之一是你是否需要懂编程。答案是肯定的——在搜索漏洞时，至少对一种编程语言有基本了解总是有帮助的。例如，许多应用程序是用HTML/CSS构建的，当然还有JavaScript。因此，在学习如何利用弱点之前，理解这些是如何构建的重要的。

那么脚本呢？你会经常看到这个词。它真的必要吗？在你刚开始时不是。当你想自动化日常任务或构建自己的工具时，脚本很有用，但对初学者来说，大部分所需内容已经可用。最后，学习这些语言将是你最好的选择。

• Web开发：HTML/CSS、JavaScript
• 应用程序开发：Bash、Python和GoLang

黑客工具

有很多可用工具，但在针对真实系统之前掌握每个工具可能需要数年时间。相反，你可以从快速学习应用程序安全或漏洞狩猎中最常用的一些工具开始。

一个好的开始方式是熟悉Kali Linux。学习其命令行可以节省大量时间。它预装了你日常任务中将使用的大多数工具。其中一些是：

• Burpsuite
• OWASP ZAP
• Nmap
• Wireshark
• Metasploit
• Nuclei
• Httpx

使用的实践平台

有几个平台你可以在不同案例场景中实践OWASP TOP 10中的所有攻击。这些平台将帮助你模拟现实世界中发生的攻击。以下是一些可以帮助你的平台：

• HackTheBox：帮助你模拟攻击和发现漏洞的平台。这是一个CTF风格的训练平台，你可以练习不同领域相关的攻击，包括Web。
• TryHackMe：类似于HTB，THM是另一个平台，你可以找到重现真实攻击场景的易受攻击房间。这些房间包括Web作为其类别之一。
• Damn Vulnerable Web Application：DVWA是一个基于PHP/MariaDB构建的易受攻击应用程序。你无法像HTB和THM那样在线找到此应用程序。你应该使用Kali终端构建自己的实验室。如果你是初学者，可能会发现设置困难，但一旦完成，当你开始攻击时会非常有趣和令人兴奋。它包含大多数OWASP TOP 10漏洞。
• bWAPP：Buggy Web Application是另一个类似于DVWA的易受攻击Web应用程序。这个应用程序独特且比DVWA更具交互性。你可以在Windows机器和Kali Linux上设置它。

顶级免费漏洞赏金课程

有几个优秀的漏洞赏金课程完全免费。以下是一些帮助你入门的最佳选择。

1. Portswigger Web Security Academy

PortSwigger Academy由开发Burp Suite的同一团队设计。他们为刚接触应用程序安全并希望以实践方式和受控环境学习的初学者提供课程。在我看来，在搜索漏洞赏金课程时，这门课程总是名列前茅，因为它包含了你开始狩猎时可能遇到的每一个漏洞的详细实践实验室。

在哪里找到它

你可以在PortSwigger官方网站上通过导航到学院标签找到这门课程。

链接：PortSwigger Web Security Academy

期望内容

这门课程将攻击分为两种类型：客户端和服务器端。掌握每个实验室可以帮助你覆盖安全领域的大部分基础知识。开始时，你可以直接关注他们的特色模块：SQL注入、跨站脚本、CSRF和XXE。

拥有超过190个交互式实验室，每天完成至少7个实验室将帮助你在一个月内完成整个课程。完成课程后，你不再是初学者，准备好针对真实场景，但不要期望在实际目标中找到所有在实验室中练习的漏洞。大多数人会这样假设，特别是因为一些实验室示例是基础的，而真实目标要复杂得多。

2. Hacker101 by HackerOne

HackerOne被公认为领先的漏洞赏金平台，也提供名为Hacker101的应用程序安全课程。该课程简单直接，包含展示真实世界漏洞如何工作的实践实验室。

在哪里找到它们

直接前往官方Hacker101网站。

链接：Hacker101 by HackerOne

期望内容

这门课程包括视频讲座，实验室设计为CTF风格，以模拟真实攻击场景。解决这些挑战可以赢得积分，使其感觉更像游戏而非传统课程。一旦积累了足够的CTF积分，你可以解锁HackerOne上的私人程序，这是大多数常规猎人无法访问的。如果你每天完成1-2个实验室，就可以完成这门课程。

3. OWASP API Security Top 10 and Beyond

我们目前涵盖的两门课程主要关注传统的Web应用程序安全主题，如表单、会话、cookie和常见的OWASP TOP 10漏洞。然而，这门课程不同；与其他两门不同，OWASP API向你介绍了一个名为OWASP API Top 10漏洞的新类别。

在哪里找到它

你可以在官方APIsec University网站上查看这门课程。

链接：OWASP API Security Top 10 and Beyond!

期望内容

这门课程以Corey Ball教授的视频系列为特色，完全专注于API安全测试。我不会立即向初学者推荐这门课程，因为API是有些高级的主题；即使你理解API的工作原理，测试它们也不像看起来那么简单。API安全问题的最佳例子之一是我们刚刚研究的Coinbase漏洞。

在这门课程中，Corey解释了API是如何设计的以及它们经常在哪些地方失败。他演示了如何使用各种工具利用API中的常见漏洞，如损坏的对象级别授权、损坏的身份验证和批量分配。

这是专注于API安全的最佳免费课程之一，完成它的理想时间约为10小时。

4. API Penetration Testing

这门课程再次来自APIsec university。这门课程从OWASP API TOP 10 and Beyond结束的地方开始。再次强调，这不适合初学者。如果你已经熟悉基本的API安全概念并想提升水平，这是完美的下一步。

在哪里找到它

同样托管在APIsec University网站上。像他们所有的课程一样，它是免费的。

链接：API Penetration Testing

期望内容

这门课程是为想要超越基础知识的人设计的。在这门课程中，你将按照实时指令设置实验室。之后，你将学习如何在开始攻击之前发现和映射API，实质上是进行侦察。这门课程还教你如何制作自己的有效载荷，我相信这是学习如何破坏事物的最佳方式。完成这门课程后，你可以手动测试API，而不依赖工具。

这门课程的持续时间约为6-8小时。我建议花时间尝试事物，而不是匆忙完成整个系列。

5. Android Application Security

这门课程被严重低估，由MobileHackingLab创建。这个领域没有太多高质量的课程可用，所以如果你不仅仅专注于Web安全，并想探索Web之外的内容，那么这是一个好选择。

在哪里找到它

导航到MobileHackingLab网站官方页面的课程标签，你会在那里找到它。

链接：MobileHackingLab

期望内容

如果你刚接触Android安全，这是一个理想的起点。它对初学者友好，但他们期望你对Android应用程序开发有一些基本知识。

在这门课程中，你将使用一个易受攻击的Android应用程序。与Web安全不同，Android应用程序安全向你介绍了新工具，如MobSF、Frida、Apktool等。在学习Android应用程序安全时，我们通常假设你需要root设备或物理Android手机，但对于这门课程，你两者都不需要。它与Android模拟器和测试环境兼容。这门课程还为你准备他们的认证考试之一，称为CAPT，这是一个付费凭证。

付费漏洞赏金课程

以下是根据你的目标和经验值得考虑的出色付费课程列表。

6. HTB Certified Bug Bounty Hunter

CBBH是HackTheBox提供的行业标准证书，这是一个CTF平台。这门课程适合初学者和那些希望投资高质量课程的人，前提是他们对应用程序安全有一些基本知识。

何时投资

首先，让我们了解这门课程的定价结构。认证考试费用为210美元。但等等，课程内容便宜得多，你可以使用订阅计划解锁它。有两种订阅计划可用于解锁这门课程：

• 学生订阅 - 7美元/月
• 白金订阅 - 84美元/2个月，给你2000立方，足够解锁整个路径。

证书费用对初学者来说相当昂贵，但解锁课程内容可能是值得的。如果你是初学者，现在是解锁课程并开始学习的合适时机。一旦对材料有信心，你可以稍后购买考试券。

值得之处

课程内容很好，从Web应用程序的基础开始，然后转向应用程序安全的高级主题，如XSS、SQLi和SSRF，涵盖了OWASP Top 10中的大多数攻击。你需要大约3-5周完成课程并为考试做准备。由于这是行业标准证书，在申请实习或工作时，你始终可以将其用作凭证。

链接：HTB Certified Bug Bounty Hunter

7. Burp Suite Certified Practitioner

Burp Suite认证从业者可以被视为Web领域的OSCP。这个由Portswigger提供的证书包括一个4小时的实践考试，其中包括两个易受攻击的系统，总共有12个挑战，你应该黑客和利用。你必须解决至少9个挑战才能通过考试。

何时投资

查看考试结构，很明显这不是入门级认证。购买此证书的合适时间是在你完成大多数Web Security Academy实验室之后，特别是从业者和专家级别的实验室。

BSCP考试单次尝试费用约为125美元。然而，要尝试考试，你必须拥有许可版本的Burp Suite Pro，每年费用为449美元。由于价格昂贵，我建议只有在对技能有信心时才购买考试。

值得之处

通过BSCP考试是值得的，因为这个认证为你狩猎现实世界中最安全的目标做好准备。如果你申请任何与渗透测试或应用程序安全相关的工作，这也可以用作资格证明，增加你被雇佣的机会。BSCP证书自签发之日起有效期为五年。

链接：Burp Suite Certified Practitioner

8. eLearnSecurity Web Application Penetration Tester

这个证书非常适合那些寻求比CBBH更结构化替代方案的人。它涵盖了应用程序渗透测试的所有方面，从侦察和枚举到利用。

何时投资

这门课程的定价相当高且令人困惑。eWPT考试券费用为599美元，包括3个月的INE Premium访问。在那3个月后，除非你决定取消，否则你将自动注册一个9个月的扩展，费用为350美元。

如果你计划参加这个证书，我建议你相应地学习课程内容，并尝试在前3个月内参加考试以避免扩展。

值得之处

课程内容高度围绕实践黑盒渗透测试构建，实验室质量优秀。一些较早的评论提到内容过时，考试可能不可预测。然而，随着最近的更新，通过考试的人表示，这个认证仍然提供价值，特别是在展示高级Web应用程序渗透测试的强大技能方面。在追求漏洞赏金目标或准备更大的认证如OSCP之前，这也是建立信心的绝佳方式。

链接：eLearnSecurity Web Application Penetration Tester

9. Intro to Bug Bounty Hunting and Web Application Hacking

市面上有很多针对初学者的漏洞赏金课程，但这是我最喜欢的之一，因为它由Nahamsec设计。Nahamsec多年来一直是漏洞赏金社区的一部分，不仅是顶级黑客，还是社区建设者、流媒体主持人和演讲者。他是许多初学者钦佩并渴望成为的人。

何时投资

我建议在Udemy促销期间购买这门课程，因为你可以低至15美元获得它。课程的常规价格约为80美元。一旦购买，它就是终身拥有的。

值得之处

这门课程提供11.5小时的视频内容，组织成不同的主题，从基础到高级水平。即使你对基础知识还不完全熟悉，你仍然可以参加这门课程，因为它对初学者非常友好。这门课程还介绍了各种方法帮助你达到目标，我必须说，NahamSec的漏洞赏金策略从未失败。它们直接、清晰且始终有效。尽管课程持续11.5小时，我建议至少花两周时间充分吸收材料。

链接：Intro to Bug Bounty Hunting and Web Application Hacking

10. TCM Practical Bug Bounty

TCM Security与Intigrity合作构建了这门课程。这门课程旨在为你提供实际的Web黑客工作流程，准确展示你应该如何在现实世界中处理目标。

何时投资

这是另一个预算友好的选项，专为初学者设计。费用约为29美元/月，我觉得相当合理，它让你访问他们的完整课程内容。

值得之处

这门课程清楚地解释了Web应用程序是如何构建的，涵盖了最常见的Web架构，包括Web应用程序的客户端和服务器端组件。你还将了解一些最常见的漏洞，如IDOR、开放重定向、XSS、损坏的访问控制等。

完成这门课程后，你将能够选择一个程序，识别漏洞，并创建全面的报告。这门课程包括大约7小时的视频内容；你可以在一两周内完成它，具体取决于你的日程安排。

链接：TCM Practical Bug Bounty

选择正确的课程

有这么多课程可用，选择正确的课程可能很困难，所以让我们根据你的技能水平、偏好格式和预算来缩小范围。

基于技能水平

• 初学者：假设你不知道从哪里开始，但你已经带着学习漏洞赏金的想法来到这里。在这种情况下，我建议你从PortSwigger Web Security Academy开始，然后是Hacker101和TCM Practical Bug Bounty课程。这些是自定进度的，涵盖了大部分基础知识，尽管你可能还不熟悉先决条件。
• 中级：考虑到你对Web工作原理有基本理解，你可以从HTB Certified Bug Bounty Hunter、OWASP API Top 10 and Beyond，甚至Nahamsec的Intro to Bug Bounty Hunting and Web Application Hacking等课程开始。这些对不想从头开始一切的中级人员来说很棒。
• 高级：已经工作并理解事物工作原理的人可以选择Burp Suite Certified Practitioner、API Penetration Testing或eLearnSecurity Web Application Penetration Tester。

基于格式

我看到人们对他们喜欢的学习方式非常讲究，所以按格式分类这些课程实际上可能帮助你选择正确的课程。

• 交互式实验室和挑战：像PortSwigger Academy、Hacker101和HackTheBox CBBH这样的课程非常实用。如果你喜欢通过实际尝试来学习，而不是阅读PDF，它们很棒。
• 视频聚焦学习：如果你是通过观看视频学习的人，像NahamSec的Practical Bug Bounty、APISec University和TCM Security的Practical Bug Bounty培训这样的课程提供视频内容，具有清晰和实用的分解。
• 自托管或模拟器基础：这些课程最适合那些想通过设置实验室来动手的人。我建议选择API Penetration Testing、Android Application Security或eWPT。

基于预算

• TCM Practical Bug Bounty 成本：29美元/月 建议：如果你刚接触漏洞赏金，从这里开始；这对基础很有好处。

• Intro to Bug Bounty 成本：15美元（促销时） 在Udemy促销期间抓住它。

• HTB Certified Bug Bounty Hunter 成本：210美元 建议：在尝试考试前完成课程；如果可能，使用学生计划

• BSCP 成本：125美元 + Burp Pro（449美元/年） 首先完成PortSwigger Academy实验室，只有在对有信心时才尝试。

• eWPT 成本：599美元 + 350美元扩展（可选） 计划在前3个月内完成以避免扩展的额外费用。

初学者提示

理论与实践结合练习

正如我们在本文"使用的实践平台"部分早些讨论的，我建议设置你的实验室环境，并与理论和视频一起练习。获得实践经验将增强你对攻击在现实世界中如何工作的理解。

例如，以XSS为例；仅仅阅读XSS的类型不会教你如何在目标上测试这些攻击。相反，尝试攻击你设置的实验室——发现请求并注入有效载荷将给你更清晰的理解。

加入社区

加入安全社区是结识新人的最佳方式之一。你可能会找到导师或志同道合的人，他们正在学习相同的课程、认证或项目。我建议加入的一些Discord频道：

• HackTheBox：一个拥有超过318,042名成员的社区，让你访问黑客挑战、实验室和HTB Academy。
• TryHackMe：专注于初学者友好的网络安全学习，你可以与他人聊天关于演练、挑战和CTF。
• DavidBombal：这里可以讨论关于网络和网络安全的一切；这个服务器由著名YouTuber David Bombal领导。
• Nahamsec：一个超过35,711名成员的社区，积极讨论漏洞赏金、侦察和攻击性安全。

记笔记并复习

写下你看到、听到和学习的一切，如命令、工具、漏洞或技术和程序，这将帮助你回顾主题。Notion和Obsidian是数字笔记本，是记笔记的绝佳选择。定期复习这些笔记以跟踪你的进度。

自动化是成功的关键

到2025年，一切都自动化了。如果你有强大的脚本技能，网络安全中的几乎每个任务都可以自动化。无论是扫描目标还是利用漏洞，自动化有助于节省时间。掌握像Bash和Python这样的脚本工具，或使用像Burp Suite（使用扩展或宏）、Nmap（使用NSE脚本）这样的平台自动化工作流程，可以减少你的手动测试工作量。

这是一个例子：你可以编写一个单行Bash命令，使用waybackurls自动获取URL，用gau扫描它们，然后将输出传输到像gf这样的工具中过滤潜在参数，这可以在侦察期间节省大量时间。

单行命令：

1

echo "target.com" | waybackurls | tee wayback.txt && gau target.com | tee gau.txt && cat wayback.txt gau.txt | sort -u | gf xss

如果你现在不理解这个命令，没关系；许多初学者也有同感。一旦你开始逐步学习，一切都会变得清晰。

真实世界成功故事

I. Santiago Lopez — 通过HackerOne在Twitter上获得9,000美元漏洞

Santiago Lopez，也被称为@try_to_hack，是HackerOne上首批赚取超过一百万美元的黑客之一。年仅19岁，他成功黑客入侵Twitter并在用户不知情的情况下更改了他们的电子邮件设置。他的脚本技能使他能够创建恶意请求，他注入这些请求并随后用于接管账户。这个漏洞被称为CSRF或跨站请求伪造，它利用了用户的认证会话。他仅因为这个漏洞就获得了约9,000美元。这个例子显示了有人可以从漏洞赏金中赚取多少。

Santiago用汽车、电脑和私人庄园的海滩别墅奖励自己。如果你现在开始，几年后你可能成为下一个。在一次采访中，他提到他通常花费大约6-7小时进行黑客攻击，主要在晚上，这帮助他达到了目前的水平。

II. Frans Rosen

Frans Rosen是一名安全研究员，总漏洞赏金奖励超过150万美元。在HackerOne上报告了超过876个漏洞，他被认为是顶级研究员之一。Rosen是一位经验丰富的猎人。他曾经报告了一个SaaS平台上的CORS错误配置，允许攻击者读取敏感数据，包括跨源的内部API响应，这是一个非常关键的问题，可能导致账户接管。由于某种原因，他的大多数发现都是保密的，但我们理解他通过狩猎应用程序中的漏洞赚了很多钱。

下一步

在平台上注册

我们几乎详细查看了所有内容，从什么是漏洞开始，如何报告，以及你能获得多少报酬。是时候在HackerOne、Bugcrowd、Intigriti等平台上注册并开始狩猎了。从这里开始延迟任何事情只会让你落后他人一步。这些平台上有很多目标在等待你，所以不要浪费时间，开始工作吧。

从小范围开始

对初学者来说，选择目标可能非常令人困惑，并可能导致选择错误的目标。所以让我们从小范围开始，而不是专注于顶级程序。选择一个小范围的目标后，花一些时间理解他们的政策，然后再直接开始攻击。报告一个有效的低严重性漏洞比追逐一个关键漏洞并精疲力竭要好。在本系列的后续文章中，我们还将介绍如何选择你的第一个目标。

构建你的投资组合

一个好的投资组合比你的简历更有说服力。你在HackerOne和Bugcrowd上创建的投资组合有一天将帮助你脱颖而出。HackerOne投资组合证明你实际上拥有所有HR专业人士寻找的行业曝光。你也可以开始撰写安全博客并在Medium上发布，这将帮助你建立在线存在。

持续学习

你今天看到的技术明天可能甚至不存在。作为一名黑客，你每天都会在目标中遇到新技术。这就是为什么持续学习帮助你保持更新。以下是我遵循的保持更新的提示：打开Medium应用的通知，每次有人发布博客，你都会收到通知。当然，一些标题有点点击诱饵，但仍然有有价值的内容可以学习。我每天至少阅读10篇博客，老实说，这是帮助我更聪明狩猎的最佳习惯之一。

最后思考

你应该学习漏洞赏金吗？绝对应该！！！既然我们身处2025年，漏洞赏金正变得越来越受欢迎。许多人刚刚开始，包括专业开发人员转行成为安全研究员。但永远不会太晚；现在是开始学习并踏入该领域的合适时机。

漏洞赏金不仅仅是代码和利用；它是一种心态、一种刺激，也是一段无尽学习的旅程。请保持关注，因为在本系列的下一篇博客中，我们将逐步指导你选择第一个目标和掌握侦察！