单洞奖金1万刀，我挖海外漏洞的第3年

摘要：人有时候是会被身体困住的，2022年初，我每天下班后，回家就开机打游戏。这种感觉很不好，我是一个靠技术吃饭的人，还这么年轻，就这么停滞不前了吗？焦虑积攒到一定程度，我终于开始行动起来，决定回归SRC众测之路。因为对国内SRC非常熟悉了，就和朋友一起商量转型挖海

单洞1万—我挖海外漏洞的第3年

人有时候是会被身体困住的，2022年初，我每天下班后，回家就开机打游戏。这种感觉很不好，我是一个靠技术吃饭的人，还这么年轻，就这么停滞不前了吗？焦虑积攒到一定程度，我终于开始行动起来，决定回归SRC众测之路。因为对国内SRC非常熟悉了，就和朋友一起商量转型挖海外漏洞吧。

就这样一拍即合，2024年，已经挖海外漏洞整整3年。因为中间也一直忙于培训，但目前在bugcrowd上全球严重高危漏洞排行榜总排行榜前30，我的学员挖到了1万美刀的漏洞。

我在bugcrowd的排名

学员单洞1万美刀截图

这个过程中当然经历了很多波折，我总结沉淀了一下分享给大家，希望能带给大家一些启发和帮助。

启航

前期我参阅了h1上很多给予赏金的厂商，自认为个人漏洞挖掘能力还算不错，我选择了shopify这个厂商，选择的理由很简单。1. 漏洞最少奖励500刀；

2.以前挖阿里src比较多，对于电商类型网站，相对比较熟悉一些。

真的很难挖。shopify的业务，大多为店铺门户网站，功能点琐碎繁多，和朋友坚持挖了大半个月，期间朋友还请了软件测试工程师，帮忙熟悉梳理业务逻辑。期间提交了一些业务上的逻辑bug，认为是系统设计上的缺陷，不过提的那些bug都被安全审查员驳回了。晚上放弃了休息，坚持挖2个小时，得到这样的结果，还是很难受的。

对大哥，我总是觉得愧疚，毕竟我的朋友花了钱，和我一起做事情。最后这个事情无疾而终，他也没有说什么，感谢他的包容。挖shopify的时候，即使没挖到漏洞，我也收获了很多：

1.熟悉了业务逻辑；

2.学习了一些英语知识；

3.了解到了海外在安全上使用的技术，了解了国外的技术栈；

4.锻炼了心态，心性。

这些对我而言，都是宝贵的财富，他们使我坚韧不拔，使我变得强大。我想说人怎么看待失败，完全取决于你赋予失败什么意义，最终决定你走到哪里去。

合作

和大哥经常沟通学习，受影响最大的是他对我说的，一个人想做大做强，你需要的是合作，是人和人之间互相帮助协作。就像互联网技术，技术之间存在关联性，理论上来说技术不是单一的存在，而是多个点的连续。1+1+1效果一定是>3的。

挖掘海外业务，想从海外淘金，是非常枯燥和困难的一件事情，我知道一个人很难坚持，长夜漫漫，最好有个伴一起，不孤单。

我出自芳华绝代安全团队，是芳华绝代的创始人之一，而我们团队另一个创始人kider，也是漏洞挖掘技术超绝，他有一次群里提了一嘴挖国外，我就直接找他合作了，我觉得这是一次机会。我正式确认了合作伙伴，感谢kider的大力支持。

小试牛刀

我又重新选了一个h1的项目,项目地址 https://hackerone.com/semrush?type=team 一个在线可视化管理平台，当初挖他的想法很简单；

1.报告公开比较多 2.功能点多而杂 3.可以注册，方便测试功能点；

这个厂商，也是非常打击自信心的一个项目，和shopify一样难挖。两个人坚持挖了一个月，共提交7份漏洞报告，有效报告为四个。总计挖了250刀！

可想而知，想在海外市场，赚老外的钱，是多么的困难。

这次的事情，虽然只收获了250刀，但是给我们带来极大的自信。即使是强如Semrush，也能挖出漏洞来，找出缺陷。

收益小不可怕，我们害怕长期时间的投入挖掘，得不到一个结果。

后面就是我不断的思考，利用我们的优势，选择适合我们的目标，指定方案。

那段时间我没事做，看了矛盾论，看了毛选。那时候我的热情很大，对于海外漏洞挖掘，是当作事业来做的，每晚开会复盘，写文章，写笔记。这是部分记录:

展翅翱翔

很多时候，我们觉得做一件事很困难，大概率是因为思想策略出了问题，一旦找到属于自己熟悉的领域，迅速如鱼得水！

后面我的决策很简单，改变方法，改变策略。很多事情，其实心里没有结果，但是得尝试下，我们还年轻，我们有时间投入。

不停的尝试，尝试选择挖掘n个厂商，终于选择了适合我们的厂商。

如何尝试判断一个目标是不是适合自己？我的策略是:选出3个目标，对3个目标依次进行攻击。挖掘时间:2周内

一个厂商，经过2周的摸索，大概就知道薄弱点如何，缺陷点在哪里。我会给我们2周时间进行摸索。大部分厂商都适用于2周定律。

心得体会

2022年，在未占用白天工作时间和双休日时间，利用晚上下班空闲时间，陆陆续续用了三个月时间，在海外市场上总共提交了166个安全漏洞。

有效严重的p1漏洞提交高达124个

在bugcrwod上，荣获bugcrowd p1提交总排行榜top20，目前第16名。bugcrowd总排行榜前100名的好成绩。

我想说，这个成绩总算是对过去一段时间的一个交代。

坦白讲现在还是比较焦虑的，在漏洞挖掘领域深耕多年，未来漏洞肯定越来越少，这是必然的。但是我们总得前行，关于未来的不确定，我们能做的就是过好当下。

结论:思想策略执行大过努力，思想建设大过技术。未来，我的主题不变，try do it!! try才有可能，只有尝试才能无限可能。

挖洞技巧

我画了一些脑图,这边也分享给大家：

1.高赏金业务安全测试适用于google/facebook等大厂:

2.业务资产难度快速评估；

3. 攻击难度快速评估:

总有人问我漏洞挖掘技巧，个人觉得真正的漏洞挖洞技巧始终是心法，心理上不能认输，漏洞挖掘是一门艺术。

一次失败的安全培训

在2022年，我不是全年在挖洞，我们看到了市场的一角。2022年在挖了差不多70多个漏洞的时候，我们尝试了开启安全培训。我们尝试做了很多推广活动，耗费了很多精力人力。为了把培训做好，我们不遗余力，精选优秀的漏洞挖掘选手，他们对某些漏洞的理解，不管是bypass还是漏洞挖掘上，他们都有自己独到的见解，比大多数人要深刻。在售后，我们忘我的投入，每次课后我们都会追着让学员问问题，生怕自己没讲好，愧对学员！

我们也是第一次尝试做安全培训，安全培训真的非常辛苦，很难做。麻烦程度不亚于拓展海外市场！

但即便如此，第一次培训还是很惨淡，虽然学费非常低，但是报名的学员太少，只有8位同学，学费远不能覆盖成本。但是为了给报名的学员提供最优质的课程，我们的讲师牺牲了漏洞挖掘的时间，休息的时间，还会因为偶尔周末忘记录制录播课，对学员感到非常愧疚，大家非常内耗。最终，我们决定对8位同学进行全额退款，陆续公开所有课程，同时，无偿完成最后6章的课程录制！

我始终坚信，人和人之间应该互相信赖，每个人都值得尊重，是我们的伙伴。对待学员，我们真心对待，把每一个学员当作人，而非韭菜。虽然这次经历差点让我一度想放弃培训，但也可能也让学员看到我们的一片赤诚，越来越多的学员认可我们，我们又继续扬帆前行，培训也开了二期，三期，四期，终于我们开始了第五期培训。

学员自发帮忙宣传