我是那种科班出身但大学基本没听课的人,安全全凭自学。第一个漏洞是XSS,提交到某教育SRC,给了300块钱,高兴了一整天。
从那以后就开始认真搞了。
很多新手加我第一句话就是:“我想挖洞,但不知道从哪下手。”
我太懂了。因为网上信息太杂,上来就让你学渗透、学二进制、学逆向——那都是坑。
从零到真正提交第一个漏洞,其实6步就够了。
下面我就按自己踩过的坑,给你捋一遍。

第一步:别一上来就想着“日站”,先搞懂漏洞长啥样

我最开始是怎么做的?
下载了个SQLMap,对着一个靶场乱扫,扫不出来就放弃。
后来才知道,连SQL注入的原理都不懂,工具给你你也不会用。
你需要先搞明白的是这些“基础”:
- 什么是HTTP请求?GET和POST差在哪?
- 什么是Cookie?什么是Session?
- 一个典型的登录框,后端可能怎么处理SQL语句?
- XSS为什么能弹窗?它真的能偷Cookie吗?
不用学很深,但起码得做到:
给你一个DVWA(一个故意有漏洞的靶场),你把它的Low难度手工打一遍,知道每种漏洞是怎么触发的、怎么利用的。
我当时是怎么学的?
一边看《白帽子讲Web安全》,一边在DVWA上点,遇到不懂的就搜。一周足够了。
如果这步你跳过了,后面每一步都是撞墙。
第二步:动手,动手,还是动手(靶场是最好的老师)

很多人喜欢收藏资源,什么“10个最好的漏洞靶场”、“黑客必读书单”,收藏完就不看了。
我跟你说实话:你只需要先搞一个靶场,把它干穿就行。
新手首推Pikachu(是的,皮卡丘)。
它每个漏洞都有说明,有例子,你照着点就能复现。比DVWA更友好。
我第二推荐PortSwigger的Web Security Academy(就是Burp Suite那个公司出的)。
它是英文的,但每个漏洞有讲解、有Lab,你跟着做一遍,比你刷10个视频都有用。
关键操作:
你至少要手工打出一次反射型XSS、一次SQL注入(带union查询那种)、一次文件上传绕过。
这三个最基础,也是最容易拿“首洞”的类型。
我当时第一个XSS是怎么打出来的?
是一个搜索框,输入<script>alert(1)</script>,回车,弹窗了。
就这么简单。不是所有漏洞都高大上,简单才是常态。
第三步:学会两三样工具,别贪多

新手最容易犯的第二个错:
工具装了一堆,一个都不会用。
Burp Suite、Nmap、SQLMap、Dirsearch、Hydra……
其实第一洞阶段,你只需要把Burp Suite用好,就够了。
Burp要学到什么程度?
- 能抓包、改包、重放
- 能看懂Repeater和Intruder
- 知道怎么在Proxy里看请求和响应
就这么点。
别一上来就玩什么插件、扩展、扫描策略,你用不上。
至于SQLMap,我的建议是:
等你手工找到一个SQL注入点之后,再用SQLMap去拖数据。
如果连手工注入点都找不到,SQLMap给你你也跑不出东西。
我当时第一洞之前,用过的工具只有:Chrome F12、Burp、一个文本编辑器。
第四步:找一个你能合法测试的目标

这一步卡住了很多人。
因为不敢乱测,怕被抓。
其实合法渠道太多了:
- 补天平台(国内,注册就能看公开项目)
- 漏洞盒子(同理)
- 教育SRC(很多高校有漏洞接收奖励,而且测试范围明确)
我的建议:从教育类目标入手。
原因很真实:
- 漏洞多(很多教学系统是老版本)
- 范围小(通常就几个域名)
- 审核相对友好(会教你怎么写报告)
我当时第一个目标是一个大学的二级网站,一个选课系统。
功能很简单:登录、查询课表、提交反馈。
你看,这种目标,一共就三四个功能点,挨个测一遍花不了半小时。
千万别一上来就去测大厂核心业务,越权你挖不动,逻辑漏洞你找不到,容易自闭。
第五步:用“功能点挨个测”的方法,而不是乱扫

新手经常问我:“我怎么知道哪里有漏洞?”
我给你一个笨但很有效的方法:
把目标网站的每一个功能点列出来,然后针对每一个功能点,去想它可能有什么漏洞。
举个例子:
- 登录框 → 用户名枚举、弱口令、SQL注入、验证码绕过
- 搜索框 → XSS、SQL注入
- 个人资料页 → 越权(修改ID看别人资料)、存储型XSS
- 文件上传 → 上传绕过、文件包含
- 重置密码功能 → 逻辑漏洞(验证码可爆破、URL中token可猜测)
你就对着列出来的清单,一个一个用手工+Burp去试。
这个方法慢,但对新手来说最稳。
我第一洞就是这么找到的:
一个重置密码接口,它会把验证码直接在URL参数里返回给我。
打开开发者工具,看网络请求,验证码明晃晃躺在那里。
这不就是逻辑漏洞吗? 改一下参数就能重置别人密码。
所以别想着能一下子挖到高危,先从这种“明显但好欺负”的漏洞开始,建立信心。
第六步:写一份像样的报告,别让审核帮你猜

挖到了,开心吧?
然后很多人就随便写几个字提交:
“这个页面有XSS”
审核看到这种,大概率直接忽略。
不是针对你,是真的没法确认。
一份能过审的报告至少要包含:
-
漏洞类型:比如“反射型XSS”
-
危害描述:可以劫持会话、钓鱼等(一句话就行)
-
复现步骤:
-
访问哪个URL
-
输入什么Payload
-
看到什么现象(附截图)
-
请求包和响应包(直接从Burp复制)
我第一次提交XSS的时候,截图、复现步骤写得特别详细。
审核过了2小时就确认了,还夸了一句“报告很清晰”。
另外注意几点:
- 测试的时候用测试账号,别删别人数据
- 不要公开漏洞细节(修复前别发到群里炫)
- 跟审核沟通客气点,大家都是同行
总结一下,别被吓住
第一洞最难的不是技术,而是你不知道自己该干什么。
看完这篇文章,你可以照着这6步走:
- 学基础 → 起码知道SQL注入和XSS长什么样
- 打靶场 → Pikachu或PortSwigger打一遍
- 学会Burp → 抓包改包就够
- 找合法目标 → 教育SRC、补天公开项目
- 挨个测功能点 → 登录、搜索、上传、重置密码
- 写详细报告 → 截图+复现步骤+请求包
走完这6步,你大概率能在一个月内拿到第一个漏洞。
真的不骗你。
如果你在路上了,可以在评论区聊聊你最近在挖哪个目标。
咱们可以一起吐槽那些奇葩的漏洞。
第一步最难,但你已经开始读了这篇文章,其实已经走了半步。
互动话题:如果你想学习更多
**网络安全方面**的知识和工具,可以看看以下面!
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。




因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

368

被折叠的 条评论
为什么被折叠?



