文章总结： 本文作者分享了其在Bugcrowd平台上通过专注于一个项目长达数月，最终获得7.6万美元赏金的经验。核心在于将项目视为长期关系而非一次性交易。他强调了精心挑选项目、深入熟悉系统、耐心持续测试以及善于利用范围更新等策略的重要性，证明了在漏洞赏金领域，长期坚持和知识积累比频繁更换目标更具价值。 综合评分： 85 文章分类： SRC活动,WEB安全,渗透测试,实战经验,威胁情报

0139.我是如何通过 Bugcrowd 上的一个项目赚到 76,000 美元的

原创

Sharik Khan Sharik Khan

Rsec

2026年3月23日 08:25 贵州

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：策略

在漏洞赏金项目中，坚持和耐心并非软技能，而是策略。

——

大多数猎人都会频繁更换项目。新项目一出？他们就立马入手。推特上哪个项目火了？他们也立刻转投其他项目。我理解。新鲜感确实令人兴奋。但我赚到的7.6万美元并非来自频繁更换项目，而是源于我全身心投入到一个项目中，坚持的时间甚至超过了自己的舒适区，并且把目标视为一段关系，而非一笔交易。

事情经过是这样的。

——

选择合适的课程

在着手任何工作之前，我花时间仔细阅读了项目简介，就像阅读合同一样。不仅仅是规则，还有信号。

我考察了三件事：

平均响应时间。一个能在三天内响应的程序，体现了对用户时间的尊重。缓慢的优先级排序会打击士气，扼杀工作动力。快速响应意味着一支积极主动的安全团队，也意味着更清晰的问题范围，以及更少的重复问题堆积在队列中。

赏金范围。这个范围让我明白了公司对漏洞的重视程度。最低赏金和最高赏金之间差距越大，意味着发现高价值漏洞的空间就越大。我并不追求稳赚不赔的50美元，我追求的是更高的潜在收益。

目标范围。这是大多数猎手最先关注的地方。我仔细阅读目标范围，就像要签租约一样。覆盖面广，包含实际生产环境资源、多个子域名、API 和移动端？这不仅仅是更大的目标区域，更意味着你可以花更多时间在一个项目上，而不会感到无所适从。

这个项目具备这三点：快速的分类处理、丰厚的赏金范围，以及足以持续数月的广阔调查区域。这样的组合实属罕见。一旦遇到，切勿放手。

——

先熟悉再行动

我没有在第一天就打开 Burp 并开始模糊测试。

头几天我都在做我所谓的“熟悉系统”的工作。我手动操作了每一个功能，创建账户，完成流程，触发各种极端情况，观察应用程序的运行情况。我阅读更新日志，关注更新动态，留意新功能的推出方式。

我把程序当作一个活物来对待，因为它本来就是。应用程序会呼吸，会更新，会添加新功能，也会弃用旧功能，还会进行修改。真正了解应用程序“个性”的猎人，几乎总能胜过那些只会运行自动扫描程序却称之为侦察的猎人。

我进行了人工勘察，绘制了地表面积图，然后开始测试。

——

测试方法

我从身份验证层入手，然后逐步向外扩展。

身份验证自然而然地引出了会话管理。会话管理又引出了访问控制。并行运行这些功能意味着我需要不断地进行交叉验证：用户 A 的会话令牌与用户 B 的会话令牌的行为是否不同？我能否利用一个上下文提升到另一个上下文？

我对每个输入字段都进行了注入攻击。这并非只是简单的测试就草草了事。我仔细阅读了响应，观察异常情况，并记录下所有与预期行为不符的地方。

我对发现的每类漏洞都进行了跨账户测试。我还检查了服务层和分布式层是否存在拒绝服务攻击的情况。最初几天，没有发现任何异常。

然后我找到了改变一切的终点。

——

第一个真正发现：HTTP 泄漏

我发现一个端点没有强制执行 HTTPS。域名相同，但流量没有被重定向。检查请求后发现，会话令牌和几个敏感 cookie 是以明文形式传输的。

这不是一个端点，而是七八个 URL。

我逐一提交了报告。每份报告都被判定为 P4 级。虽然不是最高级别，但确实有赏金，也得到了认可，更重要的是，这证实了该项目奖励的是认真细致的工作。

这给了我继续前进的动力。

——

那次让我变得更好的休息

几周后，我遇到了瓶颈。没有任何新的进展。我一直在原地打转。

所以我停了下来。

大多数猎人要么拒绝这样做，要么对此感到内疚。但离开一个你熟悉的猎物并非放弃，而是重新装弹。

两三天没看那个程序之后，我带着不同的视角重新审视它。我开始仔细研究之前只是粗略浏览过的申请表部分，然后我发现了一些表格。

具体来说，我发现了一些存在电子邮件 HTML 注入漏洞的表单。先是一个，然后是另一个，接着更多。一旦我识别出这种模式，我就知道该从哪里入手。我没有一次性提交所有漏洞，给公司一次修复的机会，而是谨慎而缓慢地逐一提交。提交的报告最终被接受，确认无重复，并且附带了赏金。

报告频率至关重要。从项目角度来看：如果你把十五个相关问题一股脑儿地塞进一份报告里，最终只会得到一个修复方案。但如果你把每个问题都单独记录下来，并提供清晰的重现步骤，你就能为安全团队提供可操作的方案，而且你也能因此获得相应的认可。

——

服务器端模板注入六天

这是我在漏洞赏金项目中遇到的最需要耐心的一次发现。

我怀疑一组输入数据存在 SSTI 漏洞。我尝试了我所知道的所有有效载荷。不同的引擎、不同的上下文、不同的编码方式。第一天，没有成功。第二天，也没有成功。第三天，我改变了方法。第四天和第五天，我根据观察到的其他行为，深入研究了后端可能的架构。

第六天，一个有效载荷成功了。

花了六天时间研究一个漏洞类别，这很不正常。这也是为什么大多数漏洞猎手第二天就会放弃研究其他漏洞的原因。

这一发现意义重大，赏金也反映了这一点。

——

重新开启一切的范围更新

在我参与这个项目的某个阶段，项目负责人更新了项目简报，将之前列为超出范围的内容添加了进去。

我发现这个问题是因为我定期检查程序更新。不是每周一次，而是定期检查。

这一个改变不仅仅是一个新的目标，它为我之前测试过的所有方面都带来了新的机遇。

因为我对这个应用程序非常熟悉，所以不需要重新学习。我清楚地知道哪些功能可能会受到新范围的影响。我直接找到了相关的表单——那些我几个月前就已经映射好的表单——并注入了有效载荷。

第一次就成功了。

我又一次获得了多个赏金，目标人物是我追踪了几个月的。新手猎人看到这种陌生的应用程序，可能需要花几天时间才能上手。而我只用了几分钟。

这就是熟悉感带来的好处。

——

这76000美元真正教会了我什么

这个数字是真实的，但教训与金钱无关。

这关乎停留所带来的累积价值。

我花在那个程序上的每一天，都让它对我的理解更深入一些。我每发现一个问题，就对它的运行规律有更清晰的认识。我观察每一次更新，都见证着应用程序的演变。这些积累的知识无法直接应用到其他目标，但在这个项目上，它们的价值高达7.6万美元。

漏洞赏金文化崇尚创新。新项目、新 CVE、新工具层出不穷。但真正能带来收入的漏洞猎人往往是那些默默耕耘、不求回报的人：他们深入研究同一目标，在一段时间的空档期后重新投入，并在范围变更时仔细阅读细则。

坚持不懈并非意味着更努力地工作，而是意味着积累能够不断累积的知识。

——

驱动这一切的原则

• 选择项目时，要像选择长期项目一样。响应时间、赏金范围和覆盖面不仅仅是指标，它们更是衡量你即将建立的合作关系质量的重要信号。
• 侦察并非一蹴而就，而是一种常态。即使不进行主动测试，也要持续关注目标。更新、变更日志、新功能：这些都是伪装成维护的机遇。
• 休息是方法论的一部分。如果你陷入循环论证，那就停下来。用全新的视角重新审视自己。你会看到之前看不到的东西。
• 放慢汇报速度。如果发现某种模式，请分别记录每一起事件。务必做到详尽周全。让安全团队清楚了解情况，也让自己获得应有的认可。
• 如果你足够细心，那么瞄准镜的更新信息就弥足珍贵。那些阅读更新邮件并打开应用程序的猎人，由于已经掌握了相关信息，已经比那些从零开始的人领先一步。
• 耐心不是等待，而是持续行动。*等待事情发生和有条不紊地朝着目标努力是有区别的。即使进展缓慢，也要坚持下去。

——

这7.6万美元并非来自某个灵光乍现的顿悟，而是源于正确的选择、长期的坚持、深入的学习，以及在大多数人早已离开的时候依然坚守岗位。

找到适合你的项目，坚持下去，回报终会到来。

——

本文作者为 Sharik Khan ，社区昵称 Anon_Hunter。目前在 Bugcrowd 排名前 50，是 Bugcrowd 大使，也是 BSides Mussoorie 的创始人。

让我们在 2026 年 4 月 4 日至 7 日举行的 BSides Mussoorie 2026 大会上见面吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rsec Sharik Khan Sharik Khan《0139.我是如何通过 Bugcrowd 上的一个项目赚到 76,000 美元的》