挖漏洞一个月能赚多少钱？挖漏洞入门到精通教程，收藏这一篇就够了

学会网安技术后去挖漏洞一个月能搞多少外快？

现在很多白帽子都是白天上班晚上挖洞，甚至有的人连班都不想上，纯靠挖漏洞来收入，比如说补天上面的这些人，每个月收入较高的都是他们，八成都是在家全职挖洞了。

在这里插入图片描述

毕竟他们只是少数，那么大多数白帽子靠挖漏洞，能有多少收入呢？

如果你只是会用一些诸如Nmap和SQLMap这种简单的工具，你去漏洞平台上挖漏洞基本上是不可能有什么收获的，因为简单的漏洞早就被别人查出来了，轮不到你的，哪怕是找出了漏洞，也只会是几十块钱的小漏洞，完全满足不了你的胃口。

在这里插入图片描述

如果你懂情报收集方法，比如这些技术和工具:

基本信息收集：操作系统/中间件/系统/数据库
域名收集：御剑/Kbscan/SubDomainBrute
端口扫描：NC工具/masscan/nmap
目录遍历：端口扫描/目录遍历
Web信息嗅探:fofa/quake/Arl灯塔/社工

并且知道主流漏洞怎么去利用，掌握这些技术去挖漏洞的话：

XSS、CSRF、SSRF、XXE、弱口令爆破、SQL注入、任意文件漏洞

这时候你去漏洞平台找低危漏洞是没什么问题，只是金额一般不会超过500块钱一个，偶尔能找出500~2000的中危漏洞。

比如不久前跟我一起聊天的一个粉丝，他自己之前是做了2年的Java开发，现在太卷了就准备转网安，学了差不多2个月，然后开始挖漏洞，光是补天的漏洞奖励也有个四五千，他说自己每个月的房租和饭钱就够了。

其实像他这样的转型方式也是挺值得借鉴的，边工作边学别的技术栈，然后用下班时间去实践练习，等平台承认的漏洞足够的时候去换工作，简历上的漏洞证明就是很好的加分项。

如果你想挖出2000块钱以上的高危漏洞，你就得去学这些东西了：

反序列化漏洞、RCE漏洞、内网渗透、反杀、权限提升、APT

掌握之后不仅能找出漏洞，还能轻松进入网站内部拿到关键的数据，我闲着的时候也会去补天给企业挖漏洞，上个月也搞了将近一万块钱。

在这里插入图片描述

挖漏洞需要掌握的基础知识

首先说说基础理论知识:

1.计算机组成原理、计算机网络、计算机体系结构、计算机操作系统，密码学,多媒体技术等等。这些都需要掌握总之一句话就是大学计算机的基础课程。

2.编程: HTML、CSS、JavaScript、 PHP、 Java、 Python、 sql、 C、C++、 shell，汇编、nosql. powershell等等常见的语言基础都需要掌握，至少要熟练使用Python和sq|,这些语言都要学习两周到两三个月吧!

3.漏洞方面，漏洞分很多种，根据不同的标准也会有交叉，黑客要掌握大部分漏洞的形成原理，检测方法，利用方法，修复方法，常见的网站漏洞有sq|注入，XSS, 文件包含，目录遍历，文件上传，信息泄露，CSRF, 账号爆破，各种越权等等，常见的二进制漏洞有缓冲区溢出，堆溢出，整形溢出，格式化字符串等等，分析的时候还要绕过操作系统的保护机制。

协议的话也是存在漏洞的，比如TCP、UDP什么的拒绝服务，DNS劫持，ARP欺骗等等, 现在工控、物联网、AI什么的也都有各种各样的漏洞。