白帽挖漏洞，看这1篇就够了，12年老司机的经验-程序员充电站

白帽挖漏洞，看这1篇就够了，12年老司机的经验

后台经常会有粉丝问我很多关于挖漏洞的问题：

“挖漏洞有啥捷径不？”
“为啥我扫了大半天，连个低危漏洞都摸不着？”
“白帽挖洞是不是全靠运气，拿工具瞎扫就行？”
…

今天不讲虚的，我挖了这么多年的漏洞确实有很多可以让大家闭坑的地方，所以我最近想专门给大家讲一篇关于挖洞的干货文章，新手老手都适用。

文章有点长，大家可以先收藏以后看，老规矩，福利放在文章末尾，话不多说，开始！

一、挖洞前：3件事比“瞎扫漏洞”重要10倍（新手必看！）

很多新手刚入门，上来就急吼吼打开Burp Suite、Xray，一顿猛扫，扫完出来一堆误报，折腾半天啥用没有，最后心态直接崩了。说句实在的，挖洞的核心从来不是“扫”，而是“准备”——准备得越足，出洞的概率就越高，这是我12年总结的铁律，错不了。

先划清“红线”：合规是白帽的命根子，别瞎搞！

这一点最基础，也最容易被新手忽略，我见过太多人栽在这上面。一时兴起，去挖那些没授权的“野站”，最后要么账号被封，要么惹上法律纠纷，严重的还得蹲局子，好几年攒的技术，全毁在这一步，太不值了！

咱真实白帽的挖洞逻辑，就一句话：先拿授权，再动手，别抱任何侥幸心理。

优先选正规渠道：比如阿里、腾讯、百度这些大厂的SRC平台，规则写得明明白白，赏金也稳定；还有补天、漏洞盒子这种第三方众测平台，也很靠谱；再或者官方明确招募的测试项目，都是咱的安全区。那些没授权的个人网站、企业生产环境，哪怕你知道它漏洞一大堆，也千万别碰，一步都不能越雷池！

另外，挖洞的时候，这3件事绝对不能做，记死了：

不删、不改企业的任何数据；
不搞瘫痪人家的业务系统；
漏洞没修复之前，绝对不泄露任何细节。

这既是行业规矩，也是法律底线，别拿自己的前途开玩笑。

信息收集：挖洞的“地基”，越细越容易出洞

我常跟身边的新手说：“信息收集做足了，漏洞就成功了一半。” 真正的老白帽，从来不会上来就扫漏洞，而是花80%的时间搞信息收集，剩下20%的时间验证漏洞，效率直接拉满。

分享我日常挖洞用的信息收集清单，实战版的，新手直接照抄就行，不用自己瞎琢磨：

资产梳理：用OneForAll、Layer子域名挖掘机，去挖目标企业的子域名。咱说实话，主站的防护一般都拉满了，很难挖到东西，但子站不一样——尤其是那些测试环境、后台管理系统，防护往往很拉胯，漏洞一找一个准。比如我之前就在某大厂的一个子站后台，随便测了测，就发现了未授权访问漏洞，直接拿到中危赏金，香得很。

技术栈识别：装个Wappalyzer插件，一键就能看清网站的底——用的是PHP、Java还是Python，Web服务器是Nginx还是Apache，数据库啥类型，框架啥版本。要是发现网站用的是老旧的ThinkPHP框架，那可就赚了，重点关注对应版本的已知漏洞就行；要是自研框架，那就得多花点心思，重点测逻辑漏洞。

端口与目录扫描：用Nmap扫扫端口，看看开放了哪些服务，比如3389、22端口，大概率会有弱口令；再用Dirsearch扫扫目录，找找后台登录页、配置文件、未授权的接口，比如/admin、/api这种，都是漏洞高发区。

业务流程梳理：花10-20分钟，好好走一遍目标的核心业务——比如电商的“下单-支付-退款”，社交平台的“注册-登录-私信”，后台的“数据查询-导出”。很多高危漏洞，根本不在技术层面，就藏在这些看似正常的业务流程里，稍微细心点就能发现。

给新手分享个小技巧：把收集到的所有信息，整理成一个表格，域名、技术栈、端口、目录、业务流程，一一列清楚，后续挖洞的时候，逐一排查，就不会漏东西。信息收集越细，后续挖洞就越有方向，不用瞎扫瞎忙活。

工具准备：够用就好，别陷入“工具焦虑”

新手最容易犯的错：觉得工具越多、越高端，挖洞效率就越高。其实真没必要，我12年挖洞，常用的工具就那么几个，关键是“精通”，不是“堆砌”——你把一个工具玩明白，比你装十个工具、每个都一知半解强多了。

分享我日常挖洞的工具清单，精简版的，新手一天就能掌握，不用搞那些花里胡哨的：

核心工具：Burp Suite，免费版就足够用了，抓包、改包、重放，验证SQL注入、XSS、越权这些漏洞，全靠它；还有Xray，开源版就行，自动化扫描辅助，能帮你过滤掉一堆误报，省不少时间。

辅助工具：Cookie-Editor，查看、编辑Cookie，验证越权漏洞的时候特别好用；SQLMap，自动化SQL注入检测，记住，只用于授权目标，别瞎用；Fiddler，APP端挖洞抓包用，很方便。

补充工具：Whois，查域名信息用；BroDomain，探测兄弟域名；Rad，爬虫工具，能帮你获取更多页面链接，避免漏过漏洞。

重点提醒一句：工具只是个辅助，不能替代人工思考。很多新手就只会点鼠标让工具扫，根本不懂漏洞原理，遇到WAF（Web应用防火墙）就束手无策，这就是典型的“工具人”，永远挖不到高质量漏洞。先搞懂漏洞原理，再用工具辅助，才能真正发挥工具的价值，不然就是白忙活。

二、挖洞中：真实场景拆解，避开90%的坑

做好前期准备，就进入核心的漏洞挖掘环节了。这部分咱不聊理论，全是我近几年挖到的真实漏洞案例，拆解挖洞思路和避坑技巧，让大家直观感受下，白帽挖洞到底在做啥，其实一点都不神秘。

案例1：最容易被忽视的“弱口令”——新手入门首选，稳赚不亏

很多新手觉得弱口令“太低级”，看不起，觉得挖这种漏洞没面子。但说实话，弱口令是企业最常见的漏洞，也是新手最容易挖到的，赏金虽然不高（低危100-500元，中危500-2000元），但胜在稳定，积少成多也很可观。

给大家说个我的真实经历：去年在某企业SRC，我扫到一个后台登录页（/admin/login.php），用Burp Suite的Intruder模块，加载我自己整理的弱口令字典——就是结合企业信息定制的，比如姓名+生日、123456、admin@123这种，不到10分钟，就爆破出管理员账号（admin）和密码（12345678），妥妥的中危漏洞，直接拿到1200元赏金，不费啥劲。

避坑技巧，记好这3点，新手也能轻松上手：

弱口令字典别用通用版，太鸡肋了，结合目标企业的行业、名称、域名，定制专属字典。比如教育行业，就加“teacher123”“school@123”；电商行业，就加“shop123”“order@123”，爆破成功率直接翻倍。

重点关注“非管理员账号”，比如运维账号、财务账号，这类账号的密码往往更简单，而且可能拥有很高的权限，挖到了说不定能升级成中危，赏金直接翻倍。

爆破的时候，一定要控制频率，别猛冲，不然容易触发企业的防护，IP被封了，后续就没法挖了，建议每秒1-2个请求，稳一点来。

案例2：SQL注入——经典漏洞，新手也能上手，关键在“绕过”

SQL注入算是最经典的Web漏洞了，也是白帽挖洞的“必争之地”，但现在企业的防护越来越严，你直接输入 ’ OR 1=1#，大概率会被WAF拦截，根本没用。所以挖SQL注入，关键不是“找注入点”，而是“绕过WAF”。

说个我今年初的真实经历：在某电商平台的搜索框，我测试SQL注入，输入常规的payload（’ OR 1=1#），直接被WAF拦了；换个大小写混合（’ Or 1=1#），还是拦；最后我试了“注释绕过”（’ /!OR/ 1=1#），没想到直接绕过去了，页面返回了所有商品数据，妥妥的高危漏洞，拿到5000元赏金，太惊喜了。

给新手整理的挖洞思路，直接照做就行，不用瞎琢磨：

先找可能存在注入的位置：搜索框、登录框、URL参数（比如?id=1）、Cookie参数，这些都是高频注入点。
输入简单的payload（'、"、and 1=1、and 1=2），看看页面反应——有没有报错，有没有返回异常数据，有异常就说明有戏。
要是被WAF拦截了，别慌，试试这些绕过方法：大小写混合、注释绕过、编码绕过（URL编码、Unicode编码），或者替换关键字，比如用“||”代替“or”，多试几次，总有能绕过去的。
验证漏洞：用SQLMap辅助，查一下数据库版本、表名，确认漏洞能利用就行，别贪心去读取敏感数据，不然就违规了，得不偿失。

再强调一句：SQL注入别过度挖掘，确认漏洞存在后，就赶紧停手，及时提交报告，别触碰企业的红线，不然赏金没拿到，还惹一身麻烦。

案例3：业务逻辑漏洞——高危漏洞聚集地，比技术漏洞更隐蔽

这是我最常挖的漏洞类型，也是最容易出高危、拿高赏金的类型。很多企业只注重技术层面的防护，比如防SQL注入、XSS，却忽略了业务逻辑的漏洞，而这类漏洞，往往能直接让企业造成经济损失，所以赏金也特别高。

给大家说个我去年挖到的高危漏洞，特别有代表性：在某金融APP的充值模块，我发现一个逻辑漏洞。正常流程是“用户充值→支付→到账”，我用Fiddler抓包后发现，支付请求里的“金额”参数，竟然是明文传输的，比如amount=100，我随手把amount改成0.01，提交请求，没想到竟然成功充值了100元的额度，却只扣了我0.01元。这个漏洞属于高危，最后拿到8000元赏金，企业也赶紧修复了，不然损失就大了。

这些常见的业务逻辑漏洞，大家重点关注，挖到就是赚到：

支付逻辑：修改金额、重复支付、支付后取消订单，钱还能到账，这类漏洞最容易出高危。

权限逻辑：普通用户能查看管理员的数据，能修改别人的账号信息，这就是越权，也是高频漏洞。

验证码逻辑：验证码能重复使用、验证码显示在页面上（回显）、验证码爆破没有限制，这些都是漏洞。

密码重置逻辑：Token永不过期、修改用户ID就能重置别人的密码，这类漏洞也很隐蔽，容易被忽视。

挖这类漏洞的技巧，就一个：跳出“技术思维”，别光盯着代码，用“正常用户+异常用户”两种视角，去测试业务流程。比如正常用户充值100元，你就试试修改金额、跳过支付步骤，看看系统有没有校验，只要系统有疏忽，就能挖到漏洞。

挖洞核心心态：拒绝“急功近利”，接受“挖不到洞”

这是我12年挖洞最深刻的感悟，今天也分享给大家：白帽挖洞，拼的不是天赋，是耐心和坚持，急功近利的人，根本走不远。

我也有过瓶颈期，连续一周，每天挖6-8小时，连一个有效漏洞都没挖到，那种挫败感，相信很多白帽都体会过；也有过挖到漏洞，提交后被审核驳回的情况，比如误报、已经被修复了、危害不足，那种落差感，确实不好受。但这就是真实的白帽生活，没有“一蹴而就”，只有“日积月累”，熬过去，就会有收获。

给新手的建议，都是掏心窝子的话：

别一开始就想着挖高危漏洞，不现实，先从低危、中危漏洞入手，比如弱口令、XSS、简单越权，慢慢积累经验；每天挖完洞，记一记挖洞思路、踩过的坑，慢慢形成自己的挖掘体系；遇到瓶颈的时候，就看看其他白帽的实战报告，比如Wooyun漏洞库、HackOne平台，借鉴借鉴思路，别闭门造车，不然只会越挖越迷茫。

挖漏经验到这就完了吗？还没呢，挖出漏洞怎么写漏洞报告也很重要，不仅能提高漏洞的通过率，而且能让你少跟厂商扯皮，点个关注，下期专门给大家讲怎么写好漏洞报告。

-----------------------公众号福利-------------------------------

学习资源

如果你也是零基础想转行网络安全，却苦于没系统学习路径、不懂核心攻防技能？光靠盲目摸索不仅浪费时间，还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造！

01内容涵盖

这份资料专门为零基础转行设计，19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进，攻防结合的讲解方式让新手轻松上手，真实实战案例 + 落地脚本直接对标企业岗位需求，帮你快速搭建转行核心技能体系！

这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】

**读者福利 |***CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 *（安全链接，放心点击）

02 知识库价值

深度：本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。
广度：面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。
实战性：知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。