文章总结: 作者分享首次在补天平台挖掘SRC漏洞的成功经验,通过存储型XSS漏洞获得500元赏金。详细解析从平台选择、目标筛选到漏洞复现的全流程,提供完整的XSS漏洞报告模板与实操建议,强调新手应从简单漏洞入手并规范报告撰写以提升通过率。 综合评分: 75 文章分类: SRC活动,漏洞分析,WEB安全,实战经验,安全意识
第1次挖SRC漏洞,我赚了500元(附XSS漏洞完整报告模板)
原创
点击关注👉 点击关注👉
网络安全学习室
2026年4月8日 10:47 湖南
很多刚入门的同学都问我:
第一次挖SRC,真的能赚到钱吗?
今天就用我第一次挖洞、第一次拿赏金的真实经历,从头到尾复盘一遍,连报告模板都给你写好,小白照着抄就能用。
一、先给结论:新手第一次挖SRC,真的能赚钱
我第一次挖洞,选的是第三方众测平台(补天),
挖了一个中危的存储型XSS漏洞,审核通过后,直接拿到了500元赏金。
没有复杂的代码,没有高深的技术,就是最基础的Web漏洞,新手练1-2个月完全能复现。
二、我的第一次挖洞全流程(零基础可抄)
1. 选平台:新手别直接冲大厂,先从第三方入门
- 大厂SRC(阿里、腾讯、字节):审核严、门槛高,新手第一次很容易被打回;
- 第三方平台(补天、漏洞盒子):企业多、漏洞类型全,低危/中危漏洞多,通过率高,是新手练手的最佳选择。
我第一次选的是补天平台,直接注册、实名认证,就能看到所有开放的众测项目。
2. 选目标:挑“有用户输入、能回显内容”的站点
新手别碰复杂业务,就找:
- 企业官网的留言板、反馈入口、用户评论区;
- 个人中心的昵称、签名、个人简介等可编辑字段;
- XSS这类输入型漏洞,比SQL注入、RCE好挖太多,新手友好度拉满。
我当时选的是某企业官网的用户留言反馈系统,功能就是“用户提交留言,管理员后台查看”。
3. 挖洞过程:一个存储型XSS,3分钟就找到
步骤1:正常操作,抓包
用Burp Suite抓包,在留言板输入正常内容,提交留言,抓到请求包:
POST /feedback/submit HTTP/1.1
Host: xxx.xxx.com
Content-Type: application/x-www-form-urlencoded
Cookie: sessionid=xxxxxx
content=测试留言&name=测试用户
步骤2:插入XSS payload,测试漏洞
把content参数的内容,替换成经典XSS测试payload:
content=<script>alert(document.domain)</script>&name=测试用户
步骤3:验证漏洞
提交后,刷新页面/用管理员账号登录后台查看留言,
直接弹出了网站域名的弹窗,证明XSS脚本成功执行,
这就是典型的存储型XSS漏洞,属于中危,直接命中。
4. 写报告:按模板填,通过率100%
很多新手卡在这里,其实写报告超简单,就按“漏洞描述+复现步骤+影响范围+修复建议”来写,我把模板给你,直接复制就能用。
三、SRC XSS漏洞报告模板(直接抄,新手零修改)
【漏洞标题】
某企业官网留言板存储型XSS漏洞,可窃取用户Cookie/钓鱼
【漏洞等级】
中危
【漏洞描述】
该企业官网留言反馈系统的/feedback/submit接口,未对用户输入的content参数做有效过滤与转义,
攻击者可构造包含恶意脚本的XSS payload提交留言,脚本会被永久存储在服务器中。
当管理员登录后台查看留言、或其他用户访问留言页面时,恶意脚本会自动执行,
可实现窃取用户Cookie、劫持会话、钓鱼诈骗等危害,存在严重安全风险。
【复现步骤】
- 访问该企业官网留言板页面,正常填写信息并提交留言,用Burp Suite抓包;
- 抓到请求包如下:
POST /feedback/submit HTTP/1.1
Host: xxx.xxx.com
Content-Type: application/x-www-form-urlencoded
Cookie: sessionid=xxxxxx
content=测试留言&name=测试用户
- 修改
content参数,插入XSS测试payload:
content=<script>alert(document.domain)</script>&name=测试用户
- 重发请求,提交留言;
- 刷新留言页面,或用管理员账号登录后台查看该留言,成功弹出
alert弹窗,证明XSS脚本成功执行,漏洞复现成功。
【影响范围】
- 管理员后台会话被劫持,可直接越权登录管理后台;
- 普通用户Cookie被窃取,账号被盗用;
- 可构造钓鱼弹窗,诱导用户输入账号密码等敏感信息;
- 可执行任意恶意脚本,篡改页面内容、传播恶意代码。
【修复建议】
- 输入过滤:对用户输入的所有特殊字符(
<、>、"、'、&等)进行HTML实体转义; - 输出编码:在页面回显用户输入内容时,统一做HTML编码处理,避免脚本被浏览器解析;
- 添加CSP头部:配置Content-Security-Policy响应头,限制脚本执行来源,从源头防御XSS;
- 使用安全框架:采用自带XSS防护的Web框架,避免手动过滤出现遗漏。
【漏洞证明】
(附上抓包截图、XSS弹窗截图、管理员后台执行截图,打码敏感数据)
四、提交审核:2天通过,500元到账
- 提交报告后,平台审核人员会在1-3天内反馈;
- 我这次的漏洞,2天就审核通过,直接打款500元到账户;
- 提现无门槛,直接提现到银行卡,秒到账,新手第一笔赏金轻松到手。
五、给新手的3个挖洞忠告(少走弯路)
- 先易后难:别上来就冲高危漏洞,先从XSS、越权、信息泄露这类简单漏洞入手,先拿到第一笔赏金,建立信心;
- 选对目标:新手优先找留言板、评论区、个人中心这类有用户输入的功能,XSS漏洞通过率极高,几乎一挖一个准;
- 报告写清楚:漏洞能不能过,70%看报告写得好不好,按模板来,步骤清晰、截图完整,通过率直接拉满。
六、文末福利
如果你也是零基础、想入门网安但不知道从哪开始,可以点击文末阅读原文领取200节攻防教程,帮你少走弯路。后续我会持续更新网安实战、就业、副业相关干货,关注我,带你从零基础一步步靠网安变现。
后续更新
后续我会持续更新SRC挖洞实战、网安副业变现相关干货,关注我,带你从零基础,一步步靠挖洞赚钱。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络安全学习室 点击关注👉 点击关注👉《第1次挖SRC漏洞,我赚了500元(附XSS漏洞完整报告模板)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论