文章总结： 作者分享作为Web安全新手挖掘第一个越权漏洞的经历，通过反复尝试十七遍最终成功绕过限制获取目标数据。文章核心观点是实践比囤积教程更重要，新手应专注于一个基础漏洞类型反复练习直到熟练掌握，而非贪多求全。 综合评分： 67 文章分类： 实战经验,WEB安全,SRC活动

那个凌晨，我终于挖到了人生第一个漏洞

web安全小白 web安全小白

web安全小白

2026年3月3日 15:33 中国香港

我第一次挖到漏洞，是在2018年10月某日凌晨2点时。

不是因为我勤奋，是因为我实在睡不着。

那天之前，我已经在“越权”这个点上卡了两个星期。说出去可能没人信——就是那种最基础的、教程里一搜一大把的漏洞类型，我愣是挖不出来。

我当时的状态很拧巴。

一方面，我的网盘里塞满了教程：《某SRC实战全集》《零基础挖洞指南》《XX大佬内部培训视频》……每个标题都像救命稻草，我挨个下载、收藏、标记“待看”。

另一方面，每次打开实战环境，我就懵了。对着同样的参数、同样的请求包，我按教程里的步骤改了一遍又一遍，返回的永远是“403”或者“200 OK”但啥也没有。

我开始怀疑自己是不是吃这碗饭的料。

转机发生在那天下午。我没再开新课，也没再看新文章，就做了一件事：把那篇收藏了三次但从没细看的《越权漏洞》翻出来，把平板摊在桌上。

然后我对着漏洞环境，开始“拆”。

第一遍，我跟着文章里的步骤走，改参数，发请求，看结果。没绕过。

第二遍，我试着改参数的位置，从URL移到Cookie里。没绕过。

第三遍，我换了不同的HTTP方法，GET不行就POST。还是没绕过。

第四遍、第五遍……第十七遍。

凌晨两点多的时候，我已经麻木了。手指机械地点着BurpSuite的“Forward”，眼睛盯着返回包，脑子里其实什么都没想。

然后，我改了一个参数值——就是把“user_id=123”改成了“user_id=124”。

返回包弹出来了。

不是“403”，不是“200 OK but empty”，是实实在在的数据——本该属于另一个账号的订单信息。

我愣了几秒，然后对着屏幕傻笑了半天。

那一刻我突然明白一件事：我之前刷的那几十个小时的课、记的那几百页笔记，加起来，不如这十七遍的“死磕”。

因为我终于不是在“过”知识，而是在“用”知识了。

一个月后，我用同样的思路，在某SRC提交了第一个中危漏洞。虽然奖金只有几百块，但那种感觉，比存下第201个G的教程爽一万倍。

所以如果有师傅问我：新手挖洞，最重要的是什么？

我的答案是：找一个最基础的漏洞类型，死磕它二十遍，直到你闭着眼睛都能复现出来。

别贪多。一个就够了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：web安全小白 web安全小白 web安全小白《那个凌晨，我终于挖到了人生第一个漏洞》