网安副业实战：从 0 到月入 2000，我靠 SRC 挖洞 + 接小单的合法玩法

网安副业实战：从 0 到月入 2000，我靠 SRC 挖洞 + 接小单的合法玩法

“想搞网安副业，却怕乱扫网站违法”“下载了一堆工具，连个漏洞影子都没见着”“接了个私单，没签协议被客户赖账”—— 去年我刚尝试网安副业时，踩过的坑能凑成一本 “血泪史”。直到找到 “SR C 挖洞 + 接合法小单” 的组合玩法，才实现月入 2000，还没踩过法律红线。

网安副业的核心不是 “当黑客赚快钱”，而是 “用基础技术解决小需求”。本文从 “SRC 挖洞（稳赚不赔）” 和 “接合法小单（低门槛）” 两部分，讲清从 0 到月入 2000 的全流程，附工具包和避坑指南，新手看完就能上手。

一、先搞懂：网安副业的 “合法前提”（别踩这 3 条红线）

很多人刚接触网安副业就栽在 “违法” 上，比如乱扫企业网站、接未授权测试单。在开始前，必须记住 3 条铁律：

1. 只测 “明确授权” 的目标：SRC 平台公布的资产、客户签了《测试授权书》的设备，其他一律不碰（哪怕是公共 WiFi 也不行）；

2. 不碰 “敏感数据”：发现用户手机号、身份证号，立即停止测试并删除记录，别想着 “抄走卖钱”（违反《数据安全法》）；

3. 小单优先 “非技术型”：比如写安全文档、改路由器配置，比 “挖高危漏洞” 风险低，还容易交付。

我刚开始踩过的坑：帮朋友测他公司官网，没签授权书，结果被他们 IT 部门当成黑客报警，还好及时解释清楚 —— 从那以后，再小的单我都要签授权书，哪怕是帮邻居改 WiFi 密码。

二、路径 1：SRC 挖洞 —— 新手每月稳赚 1000+，低危漏洞就够了

SRC（安全应急响应中心）是企业官方认可的 “白帽练手场”，不用找客户、不用谈价，挖到低危漏洞就能拿奖金，新手首选。

新手友好的 3 个 SRC 平台（2025 年实测易通过）

平台名称	新手优势	低危漏洞奖金范围	审核周期
漏洞盒子（公益版）	低危漏洞也收录（如敏感信息泄露）	100-500 元	3-5 天
字节跳动 SRC	新人有 “首报奖励”（多给 50 元）	200-800 元	1-3 天
补天平台	有 “新手任务”（教你怎么提交报告）	150-600 元	2-4 天

避坑点：别去 CNNVD、CNVD 这些国家级平台，审核严、周期长，新手很难通过；优先选企业 SRC 或公益平台。

新手必挖的 2 类低危漏洞（技术门槛低，通过率高）

（1）敏感信息泄露（最易发现，奖金 200-400 元 / 个）

什么是敏感信息泄露：网站不小心泄露了数据库配置、用户手机号、后台账号等信息，比如/backup/db_config.php里有数据库密码。

实战步骤（以字节 SRC 为例）：

1. 信息收集：用 “Fofa 语法” 找字节授权子域名：domain=“bytedance.com” && status_code=“200”，导出 10 个 URL；

2. 测试漏洞：在每个 URL 后加常见敏感路径（文末工具包有清单），比如：

• https://xxx.bytedance.com/robots.txt（看是否暴露后台路径）；

• https://xxx.bytedance.com/backup/（看是否有备份文件）；

3. 验证与提交：比如发现https://xxx.bytedance.com/backup/db.txt里有 “db_user=root&db_pass=123456”，截图保存，按平台模板写报告：

“漏洞位置：xxx URL；漏洞内容：泄露数据库账号密码；修复建议：删除备份文件，限制访问权限”。

我的案例：去年在漏洞盒子提交 “某地方子站泄露后台账号”，审核 3 天通过，拿了 300 元奖金 —— 整个过程没写一行代码，就是靠试敏感路径。

（2）未授权访问（操作简单，奖金 300-500 元 / 个）

什么是未授权访问：不用登录就能访问需要权限的页面，比如后台管理页、API 接口。

实战步骤：

1. 找目标：优先测 “Swagger 接口文档”（Fofa 语法：domain=“目标企业” && title=“Swagger”）；

2. 测试：直接访问 Swagger 页面（如https://xxx.com/swagger-ui.html），看是否不用登录就能查看接口列表，甚至调用接口返回数据；

3. 提交报告：截图 “未登录访问成功” 的页面，说明 “能调用/api/user/list接口获取用户数据”，附修复建议（添加登录认证）。

避坑点：测试时只 “验证存在”，别调用接口删改数据 —— 我朋友曾因调用删除接口，被平台判定 “破坏数据”，取消奖金还拉黑账号。

每月 1000 元目标拆解（新手可实现）

• 每周挖 1 个低危漏洞（敏感信息泄露 / 未授权访问），平均每个 300 元；

• 每月 4 个漏洞，共 1200 元，扣掉偶尔审核不通过的情况，稳赚 1000 元。

三、路径 2：接合法小单 —— 每月再赚 1000+，低技术门槛

除了 SRC，帮小企业解决 “基础安全需求” 也能赚钱，这类单不用挖漏洞，会基础操作就行。

新手能接的 3 类合法小单（技术门槛低，需求大）

（1）小企业安全巡检（单均 500-800 元，2 小时完成）

需求场景：小吃店、花店等小老板担心官网被黑、路由器被蹭网，需要简单的安全检查。

服务内容：

1. 用 Nmap 扫官网端口（看是否开放不必要的端口，如 3389）；

2. 检查路由器配置（改复杂密码、开启 MAC 过滤，防止蹭网）；

3. 写 1 页巡检报告，标注 “风险点 + 修复建议”。

接单渠道：

• 猪八戒网：搜索 “小企业安全巡检”，投标时附 “自己做过的巡检报告模板”；

• 本地社群：加入 “小微企业服务群”，发 “安全巡检服务，500 元 / 次” 的广告（配案例截图）。

我的案例：帮小区楼下的小吃店做巡检，用 Nmap 扫出他们官网开放了 8080 端口（无用），帮他们关闭，再改了路由器密码，2 小时完成，收 500 元 —— 老板说 “比请 IT 公司便宜多了”。

（2）安全文档编写（单均 300-600 元，1 天完成）

需求场景：企业要做等保合规，需要 “员工密码管理制度”“应急响应预案” 等文档，但没专业人员写。

服务内容：

1. 用文末工具包的模板，按客户业务修改（比如给电商企业加 “订单数据安全条款”）；

2. 文档格式工整（统一字体、标题层级），内容符合等保 2.0 要求。

接单技巧：在 优快云、知乎发 “安全文档代写” 的文章，附 “文档模板截图”，吸引客户私信 —— 我曾帮一家外贸公司写《密码管理制度》，改模板花了 3 小时，收 400 元。

（3）路由器 / 防火墙配置（单均 200-400 元，1 小时完成）

需求场景：家庭或小企业想 “防蹭网”“限制员工访问不良网站”，需要配置路由器。

服务内容：

1. 改 WiFi 密码（用 “大小写 + 数字 + 符号”）；

2. 开启 MAC 过滤（只允许指定设备连接）；

3. 配置家长 / 员工控制（限制访问某类网站）。

接单渠道：小区群、58 同城，标注 “上门 / 远程配置路由器，200 元 / 次”—— 我帮邻居配置过远程控制，限制他孩子玩游戏，1 小时收 200 元。

每月 1000 元目标拆解

• 每月接 2 个巡检单（500 元 / 个），共 1000 元；

• 或接 3 个文档单（300-400 元 / 个），轻松达标。

四、新手必避的 5 个坑（别赚小钱亏大钱）

1. 别接 “未授权测试单”

客户说 “帮我测下竞争对手的网站，给你 800 元”，绝对别接 —— 这是非法侵入，之前有同行因此被判刑，赚的钱不够交罚款。

2. 别搞 “低价内卷”

有人在猪八戒网报 “100 元做巡检”，别跟着卷 —— 低价单不仅累，还容易被客户挑毛病，最后白干活。我的定价原则：低于 300 元的单不接（不够时间成本）。

3. 一定要签 “服务协议”

哪怕是帮邻居改路由器，也要写简单协议（文末有模板），明确 “服务内容、付款方式、责任划分”—— 我曾帮客户做巡检，没签协议，客户以 “没发现漏洞” 为由不付款，最后只能认亏。

4. 工具别贪多，会 3 个就够

新手不用装 100 个工具，会这 3 个足够：

• Nmap（端口扫描）；

• Burp Suite（抓包测漏洞，只用 Proxy 模块）；

• WPS（写文档、做报告）。

5. 别熬夜赶单，健康第一

刚开始我为了多赚点，熬夜写文档，结果第二天头晕眼花，把客户公司名写错了，还得返工 —— 现在我规定 “每天只接 1 个单，晚上 10 点后不干活”，效率反而更高。

五、免费工具包：从 0 到月入 2000 必备（2025 版）

关注我的 优快云 账号，私信回复 “网安副业”，领取：

1. SRC 挖洞工具包：敏感路径清单（100 + 条，测信息泄露用）、漏洞报告模板（适配 90% 平台）、Fofa 新手语法；

2. 小单服务包：安全巡检报告模板、安全文档模板（5 套，含密码管理制度、应急预案）、服务协议模板（防赖账）；

3. 接单渠道清单：10 个新手友好的接单平台（含猪八戒网、小企业社群链接）、报价参考表（不同服务怎么定价）。

最后：网安副业的核心是 “稳”，不是 “快”

我见过有人靠挖高危漏洞月入过万，但也见过有人因违法被抓；我见过有人接高价单赚快钱，但也见过有人被客户坑几万。对新手来说，月入 2000 不算多，但胜在 “合法、稳定、能积累经验”—— 等你熟悉后，再慢慢接更高级的单，比如等保测评、漏洞复测，收入自然会涨。

如果你现在还没开始，今晚就花 1 小时：注册漏洞盒子账号，用 Fofa 找 1 个授权子站，试几个敏感路径 —— 这是你网安副业的第一步，也是最关键的一步。

评论区留下你的 “副业目标”（比如 “每月赚 1500 元”），我帮你拆解具体步骤，一起避坑赚钱！

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

网络安全学习路线&学习资源

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

网络安全学习路线&学习资源

如有侵权，联系删除。