一个漏洞奖励2w,这是真实的嘛!
我入行网安这些年也一直在接私活,副业赚的钱几乎是我工资的三倍!看到最近副业挖漏洞的内容非常火爆,我便决定将自己的经验分享出来,带我的粉丝们一起挣钱!
注意,挖漏洞是需要授权的,没有授权的挖漏洞是违法的哦。
个人认为挖高危漏洞最好的途径就是参加官网悬赏,有授权,而且奖金还不少,大的企业或项目的单个漏洞都在1w+。23年i春秋众测活动单个漏洞奖励就高达5w!
当然,高危漏洞还是有一定难度的。如果你是新手,可以先从低危漏洞挖起。
起步阶段可以实用工具辅助,这里推荐AWVS和APPScan,上手简单,能够轻松扫描敏感信息和普通漏洞。后期一个burpsuite就够用。软件安装包和安装教程放这里了,需要可以找我领取。
其次就是要技术过硬。
必须要掌握编程语言、计算机基础、安全基础知识,并学习漏洞挖掘技巧和方法,如 Fuzzing、代码审计、反向工程、漏洞利用等。这些技巧和方法能够帮助我们更快速地发现漏洞,并且深入理解漏洞的原理和利用方式。
最后是挖漏洞的渠道
综合性平台有补天、漏洞盒子、CNVD等等,独家SRC也有很多,比如华为、阿里、腾讯、360等。国外的漏洞也可以去挖,奖金更高。
一般挖几个月就能找到门道,UP在接私活的第二年就赚了6万多。
我行你也行!2025年,助大家都能实现财富自由,迈上人生新的阶梯!
如何接到私活?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
1、挖洞收入
我们先列举几个2021年i春秋与多家SRC联合众测活动中的漏洞奖励。
每一期联合众测会根据不同的SRC和活动力度大小设置不同的奖励标准,通常单个漏洞最高奖励会在1W-10W之间。
审核人员也会根据提交的漏洞进行评判,通常分为低危、中危、高危及严重四个等级,不同漏洞等级对应不同奖励,几百到几万的都有。
总的来说,如果你是利用业余时间来挖洞,那么这笔副业收入也是相当可观的。2022年,i春秋会继续定期举办众测活动,感兴趣的小伙伴可加入春秋云测(https://zhongce.ichunqiu.com/),这里不仅众测项目多,赚取丰厚奖金,还能积累经验,提高实战技能,结识更多技术大牛,是非常靠谱的众测平台!
PS:春秋云测会不定期上线测试项目,只有完成注册才能随时接收项目动态。
2、自学时长
自学多久能达到挖漏洞的水平?
没有确切的数据可以告诉我们只要学习几天或者几个月就可以挖到漏洞,因为这个存在多方面因素影响。
自身因素
挖掘漏洞首先要掌握相应的网安技术,之前有没有接触过网络安全?有没有编程基础?自学效率如何?每天可以用来学习的时间有多少?有没有老师辅导?这些都会影响你的自学时长。
知识框架
网安技术涵盖了普通开发岗的方方面面,包括编程语言(Python、PHP、JavaScript这些都要了解)、计算机网络基础知识、漏洞挖掘内容,渗透测试工具等,这些都需要掌握。
现实环境
即使你现在已经具备了挖洞技能,在靶场能挖出几个不错的漏洞,但在实际场景中,产品都有专业人员维护,都有着过硬的技术,靠蛮力是挖不出来的,你需要了解整个产品的运营过程,哪些点可能隐藏漏洞,顺着这条思路往下走才有可能挖出漏洞。
越是一线互联网企业的漏洞越难挖,前期可以从一些不知名的小网站开始挖起。
3、经验分享
月神-团队负责人,擅长挖逻辑漏洞。
我觉得在测试过程中一定要细心,尤其逻辑漏洞,一定要提前充分了解该项业务,做好信息搜集工作,这样在测试时才能做到不遗漏。
工作和学习会经历各种失败与挫折,我们要学会不断的总结、完善。其实在这个领域里,很少有人可以做到大满贯,把Web、CTF、APP、逆向、工控等全部涉猎,所以不忘初心,坚持自己最初的选择方向,坚定的走下去,相信各位白帽伙伴会越来越好。
J0o1ey-多次参加各大SRC众测活动。
罗马不是一日建成的,无论是漏洞挖掘还是红队实战学习,都不是一蹴而就的,需要十年饮冰的坚守。知识面决定了你能看到的攻击面,知识量决定了你的杀伤量,万丈高楼平地起,一定要注重基础知识牢固,切莫急于求成。
同时在漏洞挖掘上,一定要注重理论与实战相结合,你会惊喜的发现昨天在文章上看到的手法,刚好今天就可以用上,这是一件非常美妙的事情。
最后,希望大家能认真阅读《网络安全法》,渗透之路千万条,企业授权第一条,大家一定要坚守初心,不要为蝇头小利所动!尽量在各大SRC或者众测平台按照测试说明来进行漏洞挖掘,这样才是最安全的,同时也名利双收的好选择!
谢公子-省级攻防演练个人/团体冠军。
对于刚入门的新手小白,我个人觉得最快的学习方法和成长路线就是知道自己要学什么,并且在学习的过程中不断积累自己的所学所得。我们碰到的百分之九十九的问题,都是可以从网上找到解决办法的。
碰到问题的时候,首先自己要想解决办法,而不是一遇到难题,没有任何思考就跑去请教别人,通过自己劳动解决的问题记忆会深刻百倍。
菜菜子-2021年百度杯积分第一名。
分享一个挖洞技巧:多研究API,很多时候看起来官方用API挺安全,但是你拿到手上就会发现漏洞。
多思考业务在获取这个API文档后会如何调用,如果他按照官方文档调用会有什么麻烦的地方,为了避免这些麻烦,他会不会投机去使用一些错误的方式来调用,站在开发者的角度去思考,会挖到很多意想不到的漏洞。
风溯-Day1安全团队成员,擅长挖洞。
挖洞有两点建议:一是细心,二是坚持。其实在漏洞挖掘的过程中是很枯燥又无聊的,这就要看你是否可以沉得住气。
有次挖洞,差不多一周时间颗粒无收,这时我就在想,可能需要去补充新知识了。而不是陷入自我怀疑,我是不是不适合走这条路?我是不是再也挖不到漏洞了?这家厂商做的这么大,怎么可能有漏洞?
请多肯定三连,而不是否认三连。没有绝对完美的系统、程序,任何存在的事物必然会有一定缺陷。如果当时我就放弃的话,也不会有后来的成绩。
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
01 内容涵盖
- 网络安全意识
- Linux操作系统详解
- WEB架构基础与HTTP协议
- 网络数据包分析
- PHP基础知识讲解
- Python编程基础
- Web安全基础
- Web渗透测试
- 常见渗透测试工具详解
- 渗透测试案例分析
- 渗透测试实战技巧
- 代码审计基础
- 木马免杀与WAF绕过
- 攻防对战实战
- CTF基础知识与常用工具
- CTF之MISC实战讲解
- 区块链安全
- 无线安全
- 等级保护
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传优快云,朋友们如果需要可以在下方优快云官方认证二维码免费领取【保证100%免费】
02 知识库价值
- 深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
- 广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
- 实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
03 谁需要掌握本知识库
- 负责企业整体安全策略与建设的 CISO/安全总监
- 从事渗透测试、红队行动的 安全研究员/渗透测试工程师
- 负责安全监控、威胁分析、应急响应的 蓝队工程师/SOC分析师
- 设计开发安全产品、自动化工具的 安全开发工程师
- 对网络攻防技术有浓厚兴趣的 高校信息安全专业师生
04 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传优快云,朋友们如果需要可以在下方优快云官方认证二维码免费领取【保证100%免费】
扫一扫
1191
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
