新手挖漏洞必知：在补天平台职业挖漏洞需要注意什么？真实挖漏洞能赚多少钱？

原创于 2025-11-21 16:33:48 发布 · 860 阅读

CC 4.0 BY-SA版权

文章标签：

对于刚入门网络安全的新手而言，SRC（安全应急响应中心）是积累实战经验、验证技术能力的核心场景 —— 既无需担心 “未经授权测试” 的法律风险，还能通过提交漏洞获得奖励。而补天平台作为国内最早的第三方 SRC 聚合平台之一，聚集了 “专属 SRC”“企业 SRC”“公益 SRC” 三类核心项目，新手若混淆三者的定位与规则，轻则提交漏洞被判定无效，重则错失收益或触碰测试边界。

本文将从新手视角出发，深度解析补天平台三类 SRC 的定义、差异与适用场景，同时结合行业数据与案例，拆解 “挖漏洞到底能赚多少钱”，帮新手避开误区、高效入门。

一、补天平台三类 SRC 深度解析：定义、特点与适用场景

补天平台的三类 SRC 本质是 “企业 / 组织与白帽的对接模式差异”，核心区别体现在测试范围、准入门槛、奖励机制三个维度。新手需先明确每类 SRC 的定位，再匹配自身技术水平选择切入方向。

1. 专属 SRC：企业定向开放的 “精准测试通道”

核心定义

专属 SRC 是补天平台与企业合作推出的 “定向测试项目”—— 企业会明确划定测试范围（如特定域名、APP 版本），仅允许通过审核的白帽参与测试，漏洞提交后由企业与补天联合审核，奖励通常高于普通项目。

关键特点

测试范围高度聚焦：企业会明确列出 “允许测试的资产”（如*.abc.com域名、某电商 APP V3.2.1 版本），超出范围的漏洞不被认可；
准入需审核：新手需在补天平台提交申请（通常需填写技术能力、过往漏洞经历），企业会根据技术水平筛选白帽，部分高要求项目仅允许 “有 3 个以上有效漏洞提交记录” 的白帽参与；
奖励机制灵活：除现金奖励外，部分企业会提供 “定制礼品”“实习 / 内推机会”，且漏洞分级更细致（如将高危漏洞细分为 “高危 - 核心业务”“高危 - 非核心业务”，奖金差异可达 2-3 倍）；
审核周期短：由于测试范围明确、白帽数量可控，漏洞审核周期通常为 1-3 个工作日，新手能快速获得反馈。

适用人群

适合有基础漏洞挖掘能力（能独立复现 SQL 注入、XSS 等漏洞）、想针对性积累某类企业实战经验的新手。例如：刚学会 Web 漏洞挖掘的新手，可选择 “中小型电商专属 SRC”，测试范围多为公开页面，技术门槛较低。

典型案例

某互联网公司在补天发布 “电商业务专属 SRC”，测试范围限定为 “商城首页、商品详情页、用户中心” 三个模块，漏洞奖励规则如下：

高危漏洞（如支付逻辑漏洞、可 getshell 的文件上传）：3000-8000 元 / 个；
中危漏洞（如用户信息越权、反射型 XSS）：800-2000 元 / 个；
低危漏洞（如敏感信息泄露、弱密码策略）：200-500 元 / 个；
额外奖励：提交 3 个以上高危漏洞，可获得企业安全团队内推资格。

2. 企业 SRC：企业公开托管的 “普适性测试平台”

核心定义

企业 SRC 是企业将自身的漏洞响应需求 “托管” 到补天平台，对所有补天白帽开放测试（无需单独审核），白帽可根据企业发布的《测试规则》，对公开可访问的资产（如官网、APP）进行漏洞挖掘，漏洞由企业自主审核。

关键特点

测试范围开放：企业通常仅限制 “禁止测试的场景”（如核心数据库、用户隐私数据），其余公开资产（如官网、营销活动页）均可测试；
零准入门槛：新手注册补天账号后，无需申请即可参与，适合完全零基础、想练手的白帽；
奖励标准化：多数企业采用 “固定奖金 + 漏洞分级” 模式，奖金范围透明（如高危 1000-5000 元、中危 500-1000 元），部分大厂（如金融、互联网头部企业）高危漏洞奖金可达 1-5 万元；
审核周期较长：由于白帽参与人数多、漏洞提交量大，审核周期通常为 3-7 个工作日，部分企业甚至长达 15 天。

适用人群

完全零基础的新手，尤其是刚学会工具使用（如 Burp Suite 抓包、SQLMap 跑注入）、想通过 “海量测试” 积累经验的白帽。例如：新手可从 “地方中小企业 SRC” 入手，这类企业官网技术架构简单，更容易发现基础漏洞（如 SQL 注入、后台弱口令）。

与专属 SRC 的核心区别

对比维度	专属 SRC	企业 SRC
准入门槛	需企业审核（有技术要求）	零门槛（注册即可参与）
测试范围	明确限定（如特定模块）	开放（除禁止场景外）
漏洞审核周期	1-3 个工作日	3-7 个工作日
平均奖金金额	较高（比企业 SRC 高 20%-50%）	中等（标准化）
适合技术阶段	有基础漏洞挖掘能力	完全零基础

3. 公益 SRC：面向公共组织的 “非盈利测试项目”

核心定义

公益 SRC 是补天平台联合政府机构、学校、医院等公益组织推出的 “安全测试项目”，核心目标是帮助公益组织修复漏洞、提升安全防护能力，而非盈利，因此奖励机制以 “荣誉激励” 为主，现金奖励较少或没有。

关键特点

测试对象特殊：主要针对公益属性的资产，如地方政务网站、公立学校官网、公立医院预约系统等；
奖励以荣誉为主：多数项目无现金奖励，仅提供 “电子证书”“感谢信”，部分项目会给优秀白帽颁发 “公益安全卫士” 称号，可作为简历背书；
测试规则严格：禁止对核心业务系统（如医院 HIS 系统、政务审批系统）进行高强度测试，避免影响正常服务；
社会价值突出：漏洞修复后，能直接提升公共服务的安全性，适合注重 “技术社会价值” 的新手。

适用人群

零基础新手（练手为主）、想积累 “政务 / 医疗行业漏洞挖掘经验” 的白帽。例如：刚学会信息收集的新手，可测试地方教育局官网，容易发现 “敏感信息泄露”（如公开学生信息未脱敏）、“弱口令”（如后台默认密码未修改）等低危漏洞，既能练手，又能为公益组织提供帮助。

典型案例

补天平台曾联合某省教育厅推出 “校园安全公益 SRC”，测试对象为该省 100 所公立中小学官网，规则与奖励如下：

测试限制：禁止扫描学校内部系统（如教务管理系统），仅允许测试官网首页、新闻公告页；
漏洞奖励：无现金，提交有效漏洞可获得 “校园安全贡献证书”，累计提交 10 个以上可获得教育厅盖章的 “公益安全卫士” 荣誉证书；
新手友好性：低危漏洞（如官网错别字、链接失效）也被纳入有效范围，适合零基础练手。

4. 三类 SRC 核心差异对比（新手选择指南）

为方便新手快速匹配，整理补天平台三类 SRC 的核心差异表格：

维度	专属 SRC	企业 SRC	公益 SRC
准入门槛	中（需企业审核）	低（注册即参与）	低（注册即参与）
测试范围	窄（特定资产 / 模块）	宽（公开资产）	中（公益组织公开资产）
漏洞审核周期	1-3 天	3-7 天	2-5 天
现金奖励	高（300-8000 元 / 个）	中（200-50000 元 / 个）	低 / 无（多为证书）
适合新手阶段	入门后（会基础漏洞）	零基础（练手）	零基础（练手 + 攒背书）
核心价值	积累企业实战经验	练手 + 赚收益	练手 + 社会价值 + 背书

新手选择决策流程（mermaid 图表）

在这里插入图片描述

二、真实收益拆解：挖漏洞能赚多少钱？

新手最关心的 “收益” 问题，需结合 “漏洞级别”“SRC 类型”“个人技术水平” 三个维度综合判断。以下数据基于补天平台公开信息与行业白帽访谈整理，均为真实可实现的收益范围（非极端案例）。

1. 按漏洞级别划分：奖金差异可达 100 倍

补天平台所有 SRC 均采用 “漏洞分级奖励”，核心依据是 “漏洞对企业的危害程度”，通常分为高危、中危、低危、信息提示四级（部分企业会细分 “严重高危”“一般高危”），奖金差距显著：

漏洞级别	定义（以 Web 漏洞为例）	补天平台平均奖金范围	典型漏洞案例
高危	可直接获取服务器权限、泄露核心数据、影响业务正常运行	1000-50000 元 / 个	文件上传 getshell、支付逻辑漏洞
中危	可越权访问数据、获取非核心信息、影响部分功能	500-5000 元 / 个	用户信息越权、存储型 XSS
低危	仅泄露少量非敏感信息、不影响业务运行	200-1000 元 / 个	后台弱口令、敏感信息泄露（如版本号）
信息提示	不构成安全风险，仅优化建议（如错别字、链接失效）	0-200 元 / 个或无奖励	官网错别字、无效链接

关键说明

大厂（如金融、互联网头部企业）高危漏洞奖金显著更高，例如某支付平台在补天的企业 SRC 中，“可导致资金损失的支付漏洞” 奖金可达 5-10 万元；
公益 SRC 中，仅部分项目设置低危 / 中危漏洞的小额奖金（200-500 元），高危漏洞可能提供 “额外荣誉奖励”（如定制奖杯），但现金较少。

2. 按 SRC 类型划分：专属 SRC 收益效率更高

相同级别的漏洞，在不同 SRC 类型中的奖金差异主要体现在 “溢价”—— 专属 SRC 因 “定向测试、漏洞质量要求高”，奖金通常比企业 SRC 高 20%-50%，公益 SRC 则以荣誉为主：

漏洞级别	专属 SRC 平均奖金	企业 SRC 平均奖金	公益 SRC 平均奖励
高危	3000-8000 元	1000-50000 元	证书 + 感谢信（部分 500-1000 元）
中危	800-2000 元	500-1000 元	证书（部分 200-500 元）
低危	300-800 元	200-500 元	证书（无现金）

案例对比

同一 “反射型 XSS 漏洞”（中危）：在某电商专属 SRC 中奖金为 1200 元，在某地方企业 SRC 中奖金为 600 元，在某学校公益 SRC 中仅获得电子证书；
同一 “文件上传 getshell 漏洞”（高危）：在某互联网公司专属 SRC 中奖金为 6000 元，在某大厂企业 SRC 中奖金为 20000 元（因业务影响范围大），在某医院公益 SRC 中获得 “公益安全卫士” 证书 + 500 元补贴。

3. 按个人技术水平划分：新手到资深的收益跃迁

收益与技术水平直接挂钩，新手需理性看待 “赚钱”—— 初期以练手为主，收益是 “附加价值”，随着技术提升，收益会逐步增长：

技术阶段	技术能力描述	每月漏洞产出量	每月收益范围	核心目标
零基础新手	会用 Burp、SQLMap，能复现 DVWA 基础漏洞	1-3 个（低 / 中危）	200-1500 元	练手 + 熟悉规则
入门白帽	能独立挖 Web 基础漏洞（SQL 注入、XSS、文件上传）	3-8 个（中 / 高危）	1500-8000 元	提升漏洞质量
资深白帽	会代码审计、内网渗透，能挖逻辑漏洞 / 框架漏洞	5-15 个（多高危）	8000-30000 元	深耕垂直领域
顶级白帽	能挖掘 0day 漏洞、主导红队项目	不定（高质量漏洞）	30000 元 +	技术突破 + 行业影响力

新手真实收益案例

案例 1：某零基础新手，学习 Burp 改包后，在补天企业 SRC 中提交 2 个 “后台弱口令”（低危，各 300 元）、1 个 “反射型 XSS”（中危，600 元），首月收益 1200 元；
案例 2：某入门白帽，专注电商企业 SRC，每月提交 3 个 “用户信息越权”（中危，各 800 元）、2 个 “文件上传漏洞”（高危，各 3000 元），月收益 8400 元。

4. 影响收益的 3 个关键因素（新手必看）

新手常出现 “技术差不多，收益差几倍” 的情况，核心原因是忽视了以下 3 个因素：

（1）漏洞质量：“有证明、有修复建议” 的漏洞更容易拿高奖金

企业审核漏洞时，不仅看 “漏洞是否存在”，更看 “漏洞危害描述是否清晰、证明材料是否完整、修复建议是否可行”。例如：

无效提交：仅说 “某页面有 SQL 注入”，无截图 / 视频证明；
有效提交：附 “测试 URL+Burp 抓包截图 + SQLMap 跑库结果视频”，并说明 “该漏洞可导出用户手机号，建议使用参数化查询修复”。
收益差异：相同级别的漏洞，有效提交的奖金可能比无效提交高 30%-50%，甚至直接决定漏洞是否被认可。

（2）提交效率：“先发现、先提交” 的白帽拿奖励

多数企业 SRC 采用 “漏洞唯一奖励制”—— 同一漏洞，仅第一个提交的白帽能获得奖金，后续提交者无奖励。因此，新手需关注 “企业 SRC 新发布项目”，及时测试（如某企业刚在补天上线 SRC，24 小时内测试更容易发现未被挖掘的漏洞）。

（3）企业预算：不同行业、规模的企业奖金差异大

行业差异：金融、支付、互联网大厂的 SRC 预算高，高危漏洞奖金可达 1-10 万元；地方中小企业、传统行业（如制造业）预算低，高危漏洞奖金多为 1000-5000 元；
规模差异：上市公司 SRC 奖金标准化，且审核严格；初创企业 SRC 奖金灵活，但可能存在 “延迟发放” 风险（新手需优先选择补天 “官方担保” 的企业 SRC）。

三、新手挖漏洞的 3 个核心建议（避坑指南）

1. 合规优先：永远不碰 “禁止测试” 的边界

新手最容易踩的坑是 “超出测试范围”，导致漏洞无效甚至面临法律风险。需严格遵守以下规则：

仔细阅读企业《测试规则》：重点看 “允许测试的资产”“禁止测试的场景”（如禁止 DDoS 攻击、禁止访问核心数据库）；
不破坏数据：测试时仅验证漏洞存在，不下载、不修改企业用户数据（如发现用户信息泄露，仅截图证明，不批量导出）；
公益 SRC 特殊注意：测试政务、医院等公益组织资产时，避免在工作日高峰时段（如医院挂号高峰）测试，防止影响正常服务。

2. 从小处着手：先练低危漏洞，再冲击高危

零基础新手不要一开始就追求 “挖高危漏洞赚大钱”，建议按 “低危→中危→高危” 的顺序进阶：

低危漏洞练手：优先挖 “后台弱口令”“敏感信息泄露”（如官网 robots.txt 泄露后台地址），这类漏洞技术门槛低，容易通过审核；
积累经验后进阶：熟练掌握低危漏洞挖掘后，再学习 “SQL 注入”“XSS” 等中危漏洞，最后挑战 “文件上传”“逻辑漏洞” 等高危漏洞；
工具辅助：用 Xray、Goby 等扫描工具辅助发现漏洞，但需手动验证（工具告警可能存在误报，手动复现后提交通过率更高）。

3. 重视报告：一份好报告 =“奖金 + 认可”

漏洞报告是新手与企业沟通的核心载体，一份高质量报告能显著提升奖金与通过率，核心结构如下：

漏洞标题：清晰说明 “漏洞位置 + 漏洞类型”（如 “某电商官网用户中心存在越权访问漏洞”）；
漏洞描述：说明漏洞危害（如 “可查看其他用户的收货地址与手机号”）；
复现步骤：分步骤写清 “测试 URL→操作流程→验证结果”，附截图 / 视频（建议用录屏工具记录完整复现过程）；
修复建议：提供具体可行的修复方案（如 “在接口中增加用户 ID 与登录态的绑定校验”）。

结语：SRC 的核心价值是 “成长”，收益是自然结果

对于新手而言，补天平台的三类 SRC 并非 “赚钱工具”，而是 “技术成长的实战课堂”—— 通过公益 SRC 练手、积累背书，通过企业 SRC 熟悉不同行业的漏洞特点，通过专属 SRC 提升实战能力，这个过程中获得的收益只是 “附加奖励”。

随着技术水平的提升，新手会逐渐发现：挖漏洞的核心价值不仅是现金收益，更在于 “通过漏洞理解企业安全架构”“建立安全思维”，这些能力才是长期职业发展的关键。建议新手从 “公益 SRC 或低门槛企业 SRC” 起步，逐步积累经验，最终实现 “技术与收益的双重提升”。

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

想要入坑黑客&网络安全的朋友，给大家准备了一份：282G全网最全的网络安全资料包免费领取

网络安全大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

7、脚本编程（初级/中级/高级）
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

8、高级黑客
这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。