文章总结： 本文介绍了利用并发漏洞挖掘SRC的经验。作者以Bugcrowd平台为例，通过抓包并发提交个人信息请求，成功绕过限制重复获取积分，将账户升级至高等级会员，并获得125美元奖励。文章建议挖掘思路应从常规漏洞转向企业业务逻辑，多关注并发等业务漏洞，以拓宽挖洞范围。 综合评分： 82 文章分类： SRC活动,WEB安全,实战经验,漏洞分析

挖SRC赚取美刀，没你想的那么难

白夜无声

2025年12月23日 13:55 重庆

编者荐语：

好哥们儿的公众号

以下文章来源于代码防线 ，作者代码防线

代码防线 .

专攻 Web 漏洞挖掘、内网渗透、免杀对抗、代码审计硬核技术，主攻企业 SRC 漏洞挖掘与 CNVD 漏洞上报，用实战筑牢安全防线！网安之路漫漫修远，幸得各位师傅同行。与君共勉，一路向前！感谢关注！

点击上方蓝字关注“公众号”

随着信息技术的不断发展，企业对于网络安全的重视也越来越高，安全防御能力也得到了明显的提升，现在的高危漏洞也比以前隐匿了许多，同时也拓展出了其他类型的漏洞，就比如我们在SRC中常见的漏洞——并发漏洞。

什么是并发漏洞

并发漏洞，也称为竞争条件漏洞，核心问题在于多个进程或线程在缺乏适当同步机制的情况下，同时访问和操作同一共享资源（如数据库中的账户余额、库存数量、优惠券状态等），导致程序出现非预期的错误行为。举个例子，系统先检查某个条件（如“用户是否已领取优惠券”），然后基于检查结果执行操作（如“发放优惠券”）。如果在检查与操作之间的极短时间内，有多个并发请求同时通过了检查，就会导致操作被多次执行（如一张优惠券被重复领取）

并发获取积分

以下是我挖bugcrowd的例子

正常登录进来 0 积分  填写个人信息只会获得 50 积分

填写到最后提交的时候抓包并发

https://xxx.com/submit.profile

发送到并发插件

我们的账户上多了100积分

显示我们目前100积分属于白银会员

不同的会员等级会有不同的权益，相当于我们使用并发，免费刷了高等级会员

最终也是拿到了125美刀的奖励

总结

在挖SRC的时候，我们可以从企业的角度出发，想象一下哪些地方的功能点可能存在漏洞，能对企业造成损失，我们可以拓展我们的思维，从常规的top10漏洞转向企业自身的业务漏洞，这样便于我们拓宽自己的挖洞思路，挖SRC有时候真的没有那么难，需要自己多多留心

免责声明

本公众号“代码防线”致力于传播网络安全领域的技术知识，所有内容仅限用于合法的学习交流与学术研究目的。本公众号坚决反对任何形式的非法或恶意网络行为。本公众号所发布的所有信息均基于作者的个人理解与实践经验，仅代表作者自身的观点。这些内容仅供读者参考，不构成任何具有约束力的专业承诺或保证。任何人士因使用或参考本公众号提供的信息、工具或技术所引发的任何直接或间接损失，本公众号概不负责。本公众号介绍的技术、工具及方法，严格限定在合法合规的框架内使用，严禁用于任何非法用途。任何违反国家法律法规的行为，均与本公众号的立场完全相悖，并需自行承担由此产生的一切法律后果。使用者必须充分知悉并独立承担运用本公众号内容所可能带来的全部风险，并对其自身行为负完全责任。本公众号保留在不事先通知的情况下，随时更新或调整此免责声明的权利。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白夜无声 《挖SRC赚取美刀，没你想的那么难》