經驗分享丨自學多久能達到挖漏洞的水平，漏洞獎金有多少？

很多關注i春秋的朋友會在論壇、微博、知乎、今日頭條等媒體平台點贊我們分享的技能知識，也會私信我們在學習過程中遇到的疑難問題，今天我們開設了春秋問答版塊，定期來為大家答疑解惑，希望可以為你點亮一盞網安路上的“指明燈”。

網友留言說：對網安技術很感興趣，想要利用業余時間進行自學但又不知道要學多久能達到挖漏洞的水平，私信i春秋想尋求一些學習建議，以及了解挖洞獎金有多少？

 

挖洞收入

我們先列舉幾個2021年i春秋與多家SRC聯合眾測活動中的漏洞獎勵。

 

 

每一期聯合眾測會根據不同的SRC和活動力度大小設置不同的獎勵標准，通常單個漏洞最高獎勵會在1W-10W之間。

審核人員也會根據提交的漏洞進行評判，通常分為低危、中危、高危及嚴重四個等級，不同漏洞等級對應不同獎勵，幾百到幾萬的都有。

總的來說，如果你是利用業余時間來挖洞，那么這筆副業收入也是相當可觀的。2022年，i春秋會繼續定期舉辦眾測活動，感興趣的小伙伴可加入春秋雲測（
https://zhongce.ichunqiu.com/），這里不僅眾測項目多，賺取豐厚獎金，還能積累經驗，提高實戰技能，結識更多技術大牛，是非常靠譜的眾測平台！

PS：春秋雲測會不定期上線測試項目，只有完成注冊才能隨時接收項目動態。

自學時長

自學多久能達到挖漏洞的水平？

沒有確切的數據可以告訴我們只要學習幾天或者幾個月就可以挖到漏洞，因為這個存在多方面因素影響。

自身因素

挖掘漏洞首先要掌握相應的網安技術，之前有沒有接觸過網絡安全？有沒有編程基礎？自學效率如何？每天可以用來學習的時間有多少？有沒有老師輔導？這些都會影響你的自學時長。

知識框架

網安技術涵蓋了普通開發崗的方方面面，包括編程語言（Python、PHP、JavaScript這些都要了解）、計算機網絡基礎知識、漏洞挖掘內容，滲透測試工具等，這些都需要掌握。

現實環境

即使你現在已經具備了挖洞技能，在靶場能挖出幾個不錯的漏洞，但在實際場景中，產品都有專業人員維護，都有着過硬的技術，靠蠻力是挖不出來的，你需要了解整個產品的運營過程，哪些點可能隱藏漏洞，順着這條思路往下走才有可能挖出漏洞。

越是一線互聯網企業的漏洞越難挖，前期可以從一些不知名的小網站開始挖起。

經驗分享

月神-團隊負責人，擅長挖邏輯漏洞。

我覺得在測試過程中一定要細心，尤其邏輯漏洞，一定要提前充分了解該項業務，做好信息搜集工作，這樣在測試時才能做到不遺漏。

工作和學習會經歷各種失敗與挫折，我們要學會不斷的總結、完善。其實在這個領域里，很少有人可以做到大滿貫，把Web、CTF、APP、逆向、工控等全部涉獵，所以不忘初心，堅持自己最初的選擇方向，堅定的走下去，相信各位白帽伙伴會越來越好。

 

J0o1ey-多次參加各大SRC眾測活動。

羅馬不是一日建成的，無論是漏洞挖掘還是紅隊實戰學習，都不是一蹴而就的，需要十年飲冰的堅守。知識面決定了你能看到的攻擊面，知識量決定了你的殺傷量，萬丈高樓平地起，一定要注重基礎知識牢固，切莫急於求成。

同時在漏洞挖掘上，一定要注重理論與實戰相結合，你會驚喜的發現昨天在文章上看到的手法，剛好今天就可以用上，這是一件非常美妙的事情。

最后，希望大家能認真閱讀《網絡安全法》，滲透之路千萬條，企業授權第一條，大家一定要堅守初心，不要為蠅頭小利所動！盡量在各大SRC或者眾測平台按照測試說明來進行漏洞挖掘，這樣才是最安全的，同時也名利雙收的好選擇！

 

謝公子-省級攻防演練個人/團體冠軍。

對於剛入門的新手小白，我個人覺得最快的學習方法和成長路線就是知道自己要學什么，並且在學習的過程中不斷積累自己的所學所得。我們碰到的百分之九十九的問題，都是可以從網上找到解決辦法的。

碰到問題的時候，首先自己要想解決辦法，而不是一遇到難題，沒有任何思考就跑去請教別人，通過自己勞動解決的問題記憶會深刻百倍。

 

菜菜子-2021年百度杯積分第一名。

分享一個挖洞技巧：多研究API，很多時候看起來官方用API挺安全，但是你拿到手上就會發現漏洞。

多思考業務在獲取這個API文檔后會如何調用，如果他按照官方文檔調用會有什么麻煩的地方，為了避免這些麻煩，他會不會投機去使用一些錯誤的方式來調用，站在開發者的角度去思考，會挖到很多意想不到的漏洞。

 

風溯-Day1安全團隊成員，擅長挖洞。

挖洞有兩點建議：一是細心，二是堅持。其實在漏洞挖掘的過程中是很枯燥又無聊的，這就要看你是否可以沉得住氣。

有次挖洞，差不多一周時間顆粒無收，這時我就在想，可能需要去補充新知識了。而不是陷入自我懷疑，我是不是不適合走這條路？我是不是再也挖不到漏洞了？這家廠商做的這么大，怎么可能有漏洞？

請多肯定三連，而不是否認三連。沒有絕對完美的系統、程序，任何存在的事物必然會有一定缺陷。如果當時我就放棄的話，也不會有后來的成績。

最后，希望多和前輩們交流學習一些思路，這樣可以借鑒他們的經驗，再化為自己強有力的技能。學習、思考、堅持、細心、自信是在這條路越走越順的捷徑。

更多經驗分享，可在i春秋公眾號下方菜單欄“自學入口-實戰經驗”查看：