自学多久能达到挖漏洞的水平，漏洞奖金有多少？经验分享

1、挖洞收入

我们先列举几个2021年i春秋与多家SRC联合众测活动中的漏洞奖励。

每一期联合众测会根据不同的SRC和活动力度大小设置不同的奖励标准，通常单个漏洞最高奖励会在1W-10W之间。

审核人员也会根据提交的漏洞进行评判，通常分为低危、中危、高危及严重四个等级，不同漏洞等级对应不同奖励，几百到几万的都有。

总的来说，如果你是利用业余时间来挖洞，那么这笔副业收入也是相当可观的。2022年，i春秋会继续定期举办众测活动，感兴趣的小伙伴可加入春秋云测（https://zhongce.ichunqiu.com/），这里不仅众测项目多，赚取丰厚奖金，还能积累经验，提高实战技能，结识更多技术大牛，是非常靠谱的众测平台！

PS：春秋云测会不定期上线测试项目，只有完成注册才能随时接收项目动态。

2、自学时长

自学多久能达到挖漏洞的水平？

没有确切的数据可以告诉我们只要学习几天或者几个月就可以挖到漏洞，因为这个存在多方面因素影响。

自身因素

挖掘漏洞首先要掌握相应的网安技术，之前有没有接触过网络安全？有没有编程基础？自学效率如何？每天可以用来学习的时间有多少？有没有老师辅导？这些都会影响你的自学时长。

知识框架

网安技术涵盖了普通开发岗的方方面面，包括编程语言（Python、PHP、JavaScript这些都要了解）、计算机网络基础知识、漏洞挖掘内容，渗透测试工具等，这些都需要掌握。

现实环境

即使你现在已经具备了挖洞技能，在靶场能挖出几个不错的漏洞，但在实际场景中，产品都有专业人员维护，都有着过硬的技术，靠蛮力是挖不出来的，你需要了解整个产品的运营过程，哪些点可能隐藏漏洞，顺着这条思路往下走才有可能挖出漏洞。

越是一线互联网企业的漏洞越难挖，前期可以从一些不知名的小网站开始挖起。

3、经验分享

月神-团队负责人，擅长挖逻辑漏洞。

我觉得在测试过程中一定要细心，尤其逻辑漏洞，一定要提前充分了解该项业务，做好信息搜集工作，这样在测试时才能做到不遗漏。

工作和学习会经历各种失败与挫折，我们要学会不断的总结、完善。其实在这个领域里，很少有人可以做到大满贯，把Web、CTF、APP、逆向、工控等全部涉猎，所以不忘初心，坚持自己最初的选择方向，坚定的走下去，相信各位白帽伙伴会越来越好。

J0o1ey-多次参加各大SRC众测活动。

罗马不是一日建成的，无论是漏洞挖掘还是红队实战学习，都不是一蹴而就的，需要十年饮冰的坚守。知识面决定了你能看到的攻击面，知识量决定了你的杀伤量，万丈高楼平地起，一定要注重基础知识牢固，切莫急于求成。

同时在漏洞挖掘上，一定要注重理论与实战相结合，你会惊喜的发现昨天在文章上看到的手法，刚好今天就可以用上，这是一件非常美妙的事情。

最后，希望大家能认真阅读《网络安全法》，渗透之路千万条，企业授权第一条，大家一定要坚守初心，不要为蝇头小利所动！尽量在各大SRC或者众测平台按照测试说明来进行漏洞挖掘，这样才是最安全的，同时也名利双收的好选择！

谢公子-省级攻防演练个人/团体冠军。

对于刚入门的新手小白，我个人觉得最快的学习方法和成长路线就是知道自己要学什么，并且在学习的过程中不断积累自己的所学所得。我们碰到的百分之九十九的问题，都是可以从网上找到解决办法的。

碰到问题的时候，首先自己要想解决办法，而不是一遇到难题，没有任何思考就跑去请教别人，通过自己劳动解决的问题记忆会深刻百倍。

菜菜子-2021年百度杯积分第一名。

分享一个挖洞技巧：多研究API，很多时候看起来官方用API挺安全，但是你拿到手上就会发现漏洞。

多思考业务在获取这个API文档后会如何调用，如果他按照官方文档调用会有什么麻烦的地方，为了避免这些麻烦，他会不会投机去使用一些错误的方式来调用，站在开发者的角度去思考，会挖到很多意想不到的漏洞。

风溯-Day1安全团队成员，擅长挖洞。

挖洞有两点建议：一是细心，二是坚持。其实在漏洞挖掘的过程中是很枯燥又无聊的，这就要看你是否可以沉得住气。

有次挖洞，差不多一周时间颗粒无收，这时我就在想，可能需要去补充新知识了。而不是陷入自我怀疑，我是不是不适合走这条路？我是不是再也挖不到漏洞了？这家厂商做的这么大，怎么可能有漏洞？

请多肯定三连，而不是否认三连。没有绝对完美的系统、程序，任何存在的事物必然会有一定缺陷。如果当时我就放弃的话，也不会有后来的成绩。

最后，希望多和前辈们交流学习一些思路，这样可以借鉴他们的经验，再化为自己强有力的技能。学习、思考、坚持、细心、自信是在这条路越走越顺的捷径。

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！

本文转自 https://blog.csdn.net/ytt0523_com/article/details/136579843?spm=1001.2014.3001.5502，如有侵权，请联系删除。