文章总结： 本文总结了从零挖掘漏洞的三个阶段：打牢计算机基础与Top10漏洞原理，熟练掌握BurpSuite及Nmap等工具，从DVWA靶场过渡到教育与企业SRC实战。文章强调实战复盘与坚持积累的重要性，并分享了配套视频教程和学习笔记。 综合评分： 55 文章分类： SRC活动,实战经验,安全工具,渗透测试,安全培训

如何从0开始挖到第一个漏洞？

海哥网络安全

海哥网络安全

2025年12月22日 17:08 湖南

本人从0开始挖到第一个漏洞的经验总结，附用过的视频教程和学习笔记！

🌈

今天给大家分享我从0到挖到第一个漏洞的经验总结，避开了我当时走的很多弯路，希望能帮各位想学网安的朋友找到方向。

第一阶段「打牢基本功」

耐心刷完计算机网络、操作系统以及数据库等计算机基础，再去攻破top10的漏洞原理，把这些基础吃透了，后面的路就会越走越顺。

第二阶段「接触工具」

也就是我们常说的黑客武器库，比如Burp Suite必须要熟练掌握抓包、爆破和分析请求流程，Nmap来扫描资产和开放端口；SQLmap辅助检测注入点等等。

等你把这些工具玩熟练以后就会发现挖漏洞其实就是用兵器库的一套连招。

第三阶段「尝试实战」

先从经典的本地靶场练起，新手推荐从DVWA和皮卡丘开始，把里面的漏洞挨个突破，每打完一个一定要写好复现笔记，等你能把里面所有漏洞的复现过程和原理都走通以后，你就已经具备初步实战能力了。

接下来就可以尝试挖挖src了，刚开始先从edu教育资产和公益漏洞入手，这类目标相对友好并且审核宽松，适合积累经验和建立信心。等你有一定经验以后就可以刷企业的SRC了，像补天、漏洞盒子、腾讯SRC都这些都可以注册参与。

低危漏洞门槛较低可以多跑量，高危漏洞就得靠积累和运气。有时候你可能连续几天都一无所获，但只要坚持梳理资产和持续测试，一天爆几个都有可能。

我第一个中危漏洞也是磨了很久，虽然只有100块，但后面就快多了，每个月也能稳定挖个三四千，虽然比不上很多每月挖五位数的白帽师傅，但至少在一直进步。

最后说得再多都不如你亲自去试一次，我把这些年用过的视频教程和学习笔记都还在，现在都无偿分享给大家，需要的找我拿就行。

怎么领取？

👆🏻长按二维码后小助理统一给大家发送

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：海哥网络安全 海哥网络安全《如何从0开始挖到第一个漏洞？》