2026-01-15 00:00:48 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 作者回顾2025年通过漏洞赏金共赚4300美元，其中800美元来自用GoogleDork在金融科技公司支付子域名发现未授权接口泄露邮件、地址、IP等敏感信息并获P3评级；同时获选赴阿根廷SABF论坛结识多国青年创新者，并披露玻利维亚国家级数据泄露事件。文章总结失败并不存在，坚持与目标带来成长。 综合评分： 82 文章分类： 漏洞分析,渗透测试,实战经验,威胁情报,安全建设

cover_image

回顾 2025：通过漏洞赏金赚到 4300 美元，并参加 SABF（南美商业论坛）

haidragon

安全狗的自我修养

2026年1月13日 16:39 湖南

官网：http://securitytech.cc/

对我来说，2025 年是一个非常奇怪的年份——那种一边给予你一切，一边又夺走你一切的年份。

这是充满矛盾的一年：有些时刻把我托举到高处，有些时刻把我按到谷底，还有一些经历几乎把我彻底击碎。但讽刺的是，正是这些经历让我变得更强大、更有韧性，也更清楚地认识了自己是谁、我所坚持的是什么。

这篇文章既是技术性的，也是个人化的。它记录了我在 2025 年如何做到以下几件事：

赚到 4300 美元
参加了在阿根廷举办的 南美商业论坛（SABF）
走出一段痛苦的分手
在揭露一起国家级数据泄露事件后，面对来自某机构的迫害——这次泄露对玻利维亚构成了严重风险，并且至今仍在对国家造成伤害

与此同时，2025 年也给了我一件无价之宝：人。

参加 布宜诺斯艾利斯的 SABF 是我人生中最有意义的经历之一。论坛汇聚了来自世界各地的 100 名高影响力学生，他们都致力于在各自的社区中推动改变。除了会议和讨论，SABF 更送给了我跨越国界与文化的友谊。

我认识了 Mahlorhi Baloyi ——一位亲密的朋友，即使在极其艰难的环境中，他依然在南非持续创造影响力，致力于改善年轻一代的健康状况。我认识了 Aliz Pinto ——来自厄瓜多尔的一位聪慧而鼓舞人心的年轻女性，她开发了一款用于防止森林火灾的机器人，是真正具有环境影响力的创新。后来她还继续参加了 汉堡 HSC 等国际会议。我还认识了 Isaias Conjo ——一位来自莫桑比克的朋友，他的使命是通过教育赋能年轻一代。如今他正在巴西继续自己的学术道路，并将这一使命延续下去。

这些联系提醒我：即使在最艰难的年份，也总会有光亮的时刻；成长往往来自痛苦；而韧性并不是独自建立的，而是通过共同的挣扎、思想和梦想塑造的。

SABF：我是如何进入的，以及我的体验

南美商业论坛（SABF） 是一次令人难以置信的经历——毫无疑问，是今年发生在我身上最美好的事情之一。

它让我接触到来自世界各地、不同领域的视角，尤其是让我认识了 “新时代的 100 位承诺者”——这些人毫无疑问将在未来塑造并开辟新的道路。

活动持续了三天，我在其中不断学习、不断被激励。讨论主题涵盖了 技术、心理健康、医疗，以及当然少不了的商业。内容质量与演讲嘉宾的水准完全匹配，比如 Tienda Nube 的 CEO，以及像 Juan José Taccone 这样的杰出导师。

Juan José Taccone 成为了我在整个活动中遇到的最好的导师。在 SABF 的第二天，他分享了一句话，深深影响了我，并改变了我看待挑战的方式。他对我说：

“失败并不存在。我们拥有的只是通往目标的步骤。失败并不存在，Bernardo。”

SABF 的顺利参与也离不开我所在大学 UNIVALLE Bolivia 的支持——他们为我支付了机票费用。这份支持不仅让我得以前往参会，也让我获得了新的视角，拓宽了认知边界，并结识了许多在活动结束后依然持续激励我的人。

那么，我是如何进入 SABF 的？

这是一个有意思的问题。事实上，这是 多种因素共同作用的结果。

一切始于我看到一位好友 Nayeli Azabache 在 TikTok 上发布的视频（你可以在这里观看： **https://www.tiktok.com/@nayeli.azabache/video/7404597384237387014?is_from_webapp=1&sender_device=pc**）。在视频中，她介绍了 SABF 奖学金，并提到该奖学金只颁发给 全球前 100 名学生。这立刻引起了我的注意。

看完视频后，我访问了 sabf.org.ar 并决定申请。申请需要提交一篇 论文（Essay），而这篇论文成为了我整个申请的核心。

那么，我的论文写了什么？

我展示了一个我为自己创业项目开发的 Web 爬虫算法。该算法旨在从 非常规浏览器（例如 W3M）中收集信息，并结合 Google Dorks 技术提取那些受限或难以访问的信息。这项技术是我创业项目 To-Do App Bolivia 的一部分。

To-Do App Bolivia 是一个 管理与预测平台，用于分析和预测在玻利维亚环境下不同类型任务的行为模式。这个想法源于我国家的现实——一个长期处于 社会运动频发与政治不稳定 状态的国家，在这里，理解模式、时间节点和风险对个人和组织都至关重要。我也凭借该项目在 2024 年 La Paz Tec 比赛中赢得了 5000 美元的 AWS 云服务额度。

下面是一张简要说明该应用工作方式的示意图。

按回车或点击查看大图

如果你对我的论文感兴趣，尤其是这一部分，可以阅读以下内容：

“你能想象一个‘混乱’会引发经济危机的世界吗？在玻利维亚，这是每天都在发生的现实。作为一名系统工程专业的学生和年轻创业者，我亲眼目睹了个人组织工具的缺失，叠加持续的社会不稳定，如何直接影响成千上万人的生产力与幸福感。

在我的学习与职业生涯中，我看到同学失去奖学金、简单的行政流程变得混乱——不仅混乱，而且令人极度沮丧——整个家庭因为缺乏准确信息或合适的数字资源而承受痛苦。

平均而言，玻利维亚每天会发生超过四起社会动员或社会经济事件。这些事件不仅扰乱交通和日常工作，还影响教育、医疗和政府事务等关键服务。再加上深受组织混乱和数字化不足影响的文化背景，许多人仍然把任务写在零散的纸片上，或完全依赖记忆，这最终导致焦虑、低效率和机会流失。

我的挑战非常明确：创建一个简单、免费的技术解决方案，适配玻利维亚现实环境，并提供西班牙语支持，帮助人们组织任务、预测外部问题（如抗议、罢工或道路封锁），并提升生产力与生活质量。我想打造的不仅仅是一款应用，而是推动一种文化转变——让技术成为日常赋权的工具。

这就是 To-Do App Bolivia 的诞生：一款不仅管理时间，还能预测可能影响用户活动的社会与经济风险的任务管理应用。通过人工智能与 Web 爬虫技术，该应用分析来自社交媒体、新闻和政府来源的实时信息，向用户预警可能扰乱其日程的事件。

此外，To-Do App Bolivia 还包括以下功能： – 个性化每日规划 – 基于时间使用、任务类型和历史表现的效率分析 – 玻利维亚常见行政流程及预计完成时间的可视化 – 通过抓取社交网络和新闻检测社会动员 – 使用指纹识别的考勤功能（企业场景） – 基于三点估算法的时间管理算法

从设计阶段开始，我就积极让社区参与进来。我与学生、工人和老年人一起进行测试，了解他们的真实需求。在教授和本地专家的支持下，我通过赢得 La Paz Tec 2024 验证了这个想法。

如今，To-Do App Bolivia 在测试阶段已被 1500 多人使用，包括学生、微型创业者和公务员。用户能够预测延误、重新安排日程，效率提升高达 40%。更重要的是，它帮助生活在社会冲突高风险地区的家庭进行更安全、更理性的规划。

但最宝贵的成果并不是技术本身，而是思维方式的改变。这款应用正在证明：组织本身就是对混乱的一种抵抗，而发展中国家的年轻人完全有能力创造具有真实影响力的本地解决方案。”

我是如何通过漏洞赏金赚到 4300 美元的

按回车或点击查看大图

先说一件重要的事。

我并不是那种一直自信满满的人。很长一段时间里，我都在与 低自信和低自尊 作斗争。尽管如此，我依然在 2025 年赚到了 4300 美元。

如我在之前文章中提到的，这段旅程其实更早就开始了。我曾通过一次 渗透测试审计 赚到 1500 美元，随后又赚到 2000 美元——这些经历标志着我从“学习安全”走向“真正实践安全”的转折点。

而我现在想重点讲的，是 年末发生的事情。

在 2025 年的最后几个月里，我又通过 漏洞赏金项目 赚到了 800 美元。在某些国家这或许不算什么，但在玻利维亚，这代表的是一种认可——证明我的技能是真实的，我的努力正在产生复利效应，即使在怀疑和不安中，坚持依然会带来成果。

当我把所有收入加在一起时，我意识到，年末我已经达到了 约 4300 美元。这个数字背后，是一段坚持不懈的故事——不断学习、测试、失败、再尝试。

这不仅仅是钱的问题。这是在向自己证明：即使从怀疑出发，成长依然是可能的。

Google Dorks：如果你是金融科技公司，请不要在支付链接中暴露过多信息

按回车或点击查看大图

让我获得最后 800 USDT 的关键，是我在策略上的转变。

我不再随机扫描，而是选择专注于一家 知名金融科技公司（因 NDA 不便透露名称）。该公司有一个名为 pay 的子域名，这立刻引起了我的注意——因为支付相关子域名往往上线仓促，且容易在安全上被忽视。

我首先使用 Subfinder 做基础侦察，执行了类似这样的命令：

subfinder -d example.com

在发现 pay.example.com 后，我转向人工分析。根据经验，许多初创公司——尤其是快速扩张的金融科技企业——会暴露 公共支付接口，而这些接口往往返回了过多不必要的信息，直接违反了机密性原则，在涉及金融交易和 SWIFT 相关数据 时尤为危险。

于是我使用了一个非常简单的方法：通过 Google Dork 搜索公开的支付接口：

site:pay.example.com

接着我逐条手动检查结果。正如预期，我发现了一些 无需认证即可访问的公共链接。当我访问它们时，返回的 JSON 数据中包含了严重超出合理范围的信息。

这些数据在没有任何登录、授权或特殊权限的情况下即可访问。虽然漏洞本身并不复杂，但其影响非常严重，因为涉及支付相关的敏感信息。

我通过漏洞赏金计划进行了负责任披露，漏洞被确认并获得了奖励。更重要的是，这再次印证了一点： 在高风险环境（如金融科技系统）中，只要持续应用基础安全原则，简单的侦察手段也能发现严重漏洞。

按回车或点击查看大图

如你所见，暴露的数据中包含了大量敏感信息，包括 电子邮件地址、物理地址以及与支付活动相关的 IP 地址。这种数据在支付场景中绝不应公开访问。

在确认影响后，我提交了完整报告。安全团队审核并确认了风险，并将漏洞评定为 P3（优先级 3），最终奖励我 800 USDT（该漏洞赏金计划现已关闭）。

尽管该漏洞未被定级为“严重”，但它清楚地表明： 信息泄露类漏洞——尤其是在金融科技环境中——在忽视基本安全原则时，后果依然极其严重。

那么，2025 年我学到了什么？

按回车或点击查看大图

我认为，2025 年我学到的最重要的一课是：失败并不存在。

有些时刻，我真的以为一切都结束了。祖父去世、揭露国家级数据泄露、经历人生中最痛苦的一次分手……我以为自己再也无法走出来。但事实并非如此。没有任何一件事击垮我——它们塑造了我。

这些经历共同构成了我作为一名 系统工程与网络安全从业者 的成长路径。它们让我明白：没有什么是永恒的，人生可能异常艰难，而坚持本身就很重要。就像河流中的一块岩石，只要站稳，就能承受再强的水流。

更重要的是，我学会了：拥有目标，人生才有方向。目标是在一切不确定中，指引你前行的光。

HaShem 让我体验了痛苦、喜悦、爱与失去。我相信这一切都不是偶然。最终，我们每个人都是更大整体的一部分——就像程序中的进程一样，相互连接，共同构成人类社会不断演进的系统。

如果只能选一件我在 2025 年学到的事，那就是： 认识到自己的力量。

我知道我仍然有很多——非常多——需要学习和提升的地方。但这是第一次，我清晰地看到了自己的潜力：一个 中产阶级的玻利维亚犹太人，渴望成长、学习，并为 改善玻利维亚的网络安全环境 贡献力量。

而这，对我来说，已经足够让我继续前行。

公众号:安全狗的自我修养
vx:2207344074
http://gitee.com/haidragon
http://github.com/haidragon
bilibili:haidragonx

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全狗的自我修养 haidragon《回顾 2025：通过漏洞赏金赚到 4300 美元，并参加 SABF（南美商业论坛）》