别再说网安副业太少了！分享我最常做的副业方向，再一口气给你讲清楚挖漏洞的细节！

最新推荐文章于 2025-12-06 14:52:23 发布

原创最新推荐文章于 2025-12-06 14:52:23 发布 · 658 阅读

18 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #web安全

网络操作同时被 3 个专栏收录

283 篇文章

订阅专栏

计算机

208 篇文章

订阅专栏

运维

31 篇文章

订阅专栏

别再说网安副业太少了！分享我最常做的副业方向，再一口气给你讲清楚挖漏洞的细节！

其实只要走上计算机这个行业，每个人都会出现技术的瓶颈期，降薪甚至优化多多少少都很难避免，所以有份副业真的是很有必要的，挖漏洞就是网安人永恒的副业收入方式，有时候甚至是主业收入的几倍。

先给大家讲讲我最常做的副业方向。

01 网安接私活的渠道

晒了这么多兼职副业，想必大家都比较关心我的副业收入来源，其实网安接私活的渠道我常去的就这4个。

挖SRC漏洞

很多地方都可以去挖SRC漏洞赚钱，合法挖到漏洞后提交到平台，平台就会给予你奖励，最多一个高危漏洞一万多。

综合性平台比如补天、漏洞盒子和CNVD等等，独家SRC也有很多，比如说华为、阿里、腾讯、360等等。

国外的漏洞也可以去挖，国外给的奖励会更高，但除了技术要过硬之外，你还得会英语能沟通交流。

接安全测试委托

在公司允许的情况下去对公司产品进行网安检测和渗透测试，发现漏洞后提交给修复方案和渗透测试报告，这个我经常去程序员客栈和一品威客等IT兼职平台去接。

相比较于个人私下接活，平台会更加方便一些，不用跟乙方扯来扯去，而且不用害怕甲方卷钱跑路。

投稿

像比较大的网安平台会不定期举办有奖投稿活动，比如说freebuff和优快云等等平台，优快云我没弄过，但freebuff我倒是经常有投稿，奖金有几百到几千不等。

提醒大家一个点：网安的私活不是一次性的，很多以前合作过的甲方都会在后面有事的时候有偿来找我，所以人脉这一块也很重要。

参加CTF

通俗易懂的讲，CTF也叫作网络安全攻防大赛。这类大赛一般都是由政府安全部门、从事信息安全的企业、高校等等单位主办的。目的也很简单，一般都是为了加强国家网络信息安全建设，挖掘网络信息安全人才。当然你夺旗之后，也会有对应的奖金。

接下来给大家讲讲挖漏洞的一些细节

02 挖漏洞需要掌握的基础知识

首先说说基础理论知识:

1.计算机组成原理、计算机网络、计算机体系结构、计算机操作系统，密码学,多媒体技术等等。这些都需要掌握总之一句话就是大学计算机的基础课程。

2.编程: HTML、CSS、JavaScript、 PHP、 Java、 Python、 sql、 C、C++、 shell，汇编、nosql. powershell等等常见的语言基础都需要掌握，至少要熟练使用Python和sq|,这些语言都要学习两周到两三个月吧!

3.漏洞方面，漏洞分很多种，根据不同的标准也会有交叉，黑客要掌握大部分漏洞的形成原理，检测方法，利用方法，修复方法，常见的网站漏洞有sq|注入，XSS, 文件包含，目录遍历，文件上传，信息泄露，CSRF, 账号爆破，各种越权等等，常见的二进制漏洞有缓冲区溢出，堆溢出，整形溢出，格式化字符串等等，分析的时候还要绕过操作系统的保护机制。

4.需要掌握的工具，工具太多, 基本上目前主流的客工具都要熟练使用，应该有几十种吧。上文已经详细阐述，这里就不赘述了。

5.还有网站和通讯协议，客户端和服务器，用户输入网址点击访问到服务器返回网页这其中涉及的知识，如JavaScript, http请求， web服务器，数据库服务器，系统架构，负载均衡,DNS,等等是要熟练掌握的，然后说说主流的网站开发框架，其中Java的SSH三大框架要了解有什么漏洞啥的PHP的主流框架和CMS要了解，最好上面的框架都会掌握，如织梦，thinkPHP等等,另外主流的数据库服务器要了解如MySQL，sql server等。

当然挖漏洞需要学习的东西还有很多，很多东西都很关键。能走多远，就看你的执行力和兴趣了。

03 挖漏洞的注意事项

挖SRC一定要细，慢慢的去分析，不能着急往往越着急越挖不倒，这里可以给大家一些建议，在挖掘SRC期间