文章总结： 本文作者分享了其从零基础开始参与漏洞赏金计划，历经两年失败后首次成功并最终获得约3.2万美元收入的历程。文中详细介绍了其学习路径、遇到的挫折、首个漏洞（Facebook的500美元奖励）以及一个GitLab的IDOR漏洞案例，并给出了初学者应专注领域、坚持实践等建议。 综合评分： 85 文章分类： SRC活动,WEB安全,渗透测试,CTF,解决方案

---

0166.从失败到获得 32,000 美元：我的漏洞赏金之旅

原创

iamgk808 iamgk808

Rsec

2026年5月25日 09:24 贵州

在小说阅读器读本章

去阅读

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：坚持是唯一的解药

漏洞赏金计划对我来说一开始并不成功。

一切始于好奇、困惑和无数次的失败。

我没有深厚的安全背景。我既不“有天赋”，也不特殊，更谈不上天生才华。

我也没有导师一步步指导我。

本文讲述了我为什么开始，出了什么问题，最终哪些方法奏效，以及初学者可以从我的经历中真正学到什么。

我为什么开始漏洞赏金计划

#

这一切始于 2020 年新冠疫情封锁期间。

我当时读大学二年级，宅在家里有很多空闲时间。和许多人一样，我在网上寻找赚钱的方法，就在那时我发现了漏洞赏金计划。

漏洞赏金制度感觉公开透明且公平。

如果你能发现真正的安全问题，就能获得奖励。

当时，我相信努力工作很快就会有回报。

这种假设是错误的。

但我当初开始的理由依然成立——也正是这个理由让我即使在进展缓慢的时候也坚持了下来。

我最初所做的

#

起初，我主要专注于学习。

我最初在 Udemy 上学习了一门道德黑客课程，还参加了 TryHackMe 和 PortSwigger 网络安全学院的课程。我花了很多时间观看 YouTube 视频、阅读博客，并在 Twitter 上关注经验丰富的黑客。

我尝试了解不同的漏洞和工具。我自信地提交了报告，认为它们是正确的。

他们中的大多数人并非如此。

不过，这些学习经历对我的帮助远不止于漏洞赏金。作为一名计算机科学专业的学生，这些知识直接帮助我顺利通过了期末考试。我能够运用所学知识，顺利通过考试，并增强了自信心。

回首往事，我真的很感激这件事——因为它也间接地改善了我生活的其他方面。

我的奋斗与失败

#

这一阶段是最难的。

• 报告被拒绝
• 许多内容被标记为 “信息丰富”。
• 有些竟然是重复的

看到别人在网上晒出他们的胜利，反而让我更加难过。

自我怀疑开始慢慢滋生。有时，我真的觉得自己不够好。我认真地问自己，是应该继续下去还是就此放弃。

但回首往事，这段经历对我的影响远胜于我曾经取得的任何成功。

奋斗与失败——iamgk808 漏洞赏金

我的首胜

我的第一个真正意义上的 bug 并没有很快出现。

两年后， 2022 年 5 月 6 日，我收到了我的第一笔赏金——来自 Facebook 的 500 美元。

但当这件事最终发生时，一切都改变了。

这与报酬无关。 这是为了获得认可。

我第一次意识到，这不是运气。

这是学习技能 努力的、和回报。

那一刻我欣喜若狂。换算成印度卢比，大约是 4 万卢比，当时我觉得这是一笔巨款。就连我的父母都不敢相信这是真的钱。

那份报告改变了我对漏洞赏金的看法，也改变了我对自己的信心。

我的第一次胜利——iamgk808 漏洞赏金

我一路走来学到的东西

#

漏洞赏金计划教会了我一些重要的经验：

• 漏洞赏金计划既有好处也有坏处。
• 这是一场马拉松，而不是短跑。
• 被拒绝是流程中的正常环节。
• 持之以恒胜过一丝动力
• 人工搜寻通常比重型侦察更有效。
• 深入探索该 Web 应用程序的每一个功能。
• 即使感觉不到进步，也永远不要放弃。
• 专注于一个具有多种功能的程序
• 我主要关注访问控制问题，例如：
• 权限提升
• 绕过权限
• 业务逻辑漏洞

进展缓慢，但却是实实在在的。

我一路走来学到的东西——iamgk808 漏洞赏金

#

我的漏洞赏金时间线

为了让大家对未来有更切合实际的预期，以下是我的实际旅程：

• 2020 年 ——发现了一个漏洞赏金计划，结果一片混乱，没有发现任何有效的漏洞。
• 2021 年 ——实践经验、多次失败、持续的自我怀疑
• 2022 年 ——发现了我的第一个有效漏洞，并获得了

500 美元奖励。

• 2023 年——专注于一个私人项目；收入约 18,000 美元
• 2024 年——公共和私人项目合计；收入约 23,000 美元
• 2025 年 ——专注于狩猎，仍在学习；收入突破 32000 美元

，达到约 42000 美元。

没有一夜成名，只有稳步前进。

在这段时间里，我经历了许多起伏、挫折和怀疑的时刻。但坚持不懈最终让我取得了成功。

给初学者的建议

如果你是新手，我建议你这样做：

• 与其试图一次性学习所有内容，不如专注于一个领域。
• 多练习，多学习
• 做好被拒绝的心理准备——这完全正常。
• 不要过早追逐金钱。
• 要坚持数月，而不是数天。

漏洞赏金是一项漫长的工作。它需要数月的持续学习，当然，运气也扮演着一定的角色。有些日子你可能连续几个小时都在搜寻却一无所获，这完全正常。

沿着这条路走

1. 从基础开始

• TryHackMe

  ：网络安全入门、网络安全预备知识、Web 基础知识

• 学习 HTTP、DNS、cookies、sessions （YouTube 视频就足够了）。

2. 学习网络安全

• TryHackMe

  ：Web 应用程序安全，初级渗透测试员

• PortSwigger Academy

  ：完整的实验（身份验证和授权问题、业务逻辑问题、IDOR 等）

3. 开始真正的漏洞搜寻

• 加入 HackerOne 、 Bugcrowd 或 Intigriti

4. 学习工具

• Burp Suite

保持稳定发挥，剩下的就交给技巧和运气吧。

漏洞赏金是一项长期活动。

• 寻找具有不同角色（管理员、用户等）的程序

• 仔细阅读文档，并查找 “否”的表述。 （例如，“此角色无法查看此内容”或“无法执行此操作”） → 然后尝试绕过这些限制

• 选择一个拥有多个角色和权限的大型项目，然后花 2-3 个月的时间在那里寻找机会。

  （例如：Zoho、Fresh Works、Slack）

• 使用 Google 搜索语法查找涉及角色和权限的漏洞赏金计划

• 阅读更多文章并观察：

• 其他猎人关注哪些项目？

• 他们报告了哪些类型的错误

#

向他人学习（循环学习）

想要获得更多经验，可以向其他猎人学习：

• 例如，请查看我的 Twitter/X 个人资料： https://x.com/iamgk808
• 阅读所有帖子，了解技巧、窍门和心态。
• 打开我的关注列表，浏览这些个人资料。
• 从这些个人资料中，查看他们的关注列表
• 重复这个过程——它就形成了一个持续学习的循环。

#

真实案例验证：GitLab 案例研究（价值 32,000 美元的漏洞）

为了使本文更具实用性，我将分享一个真实的例子。

在本节中，我将简要解释：

漏洞名称

IDOR 能够将任何项目运行器添加到攻击者项目中，并通过 POST /api/v4/projects/{projectId}/runners 管理运行器。

#

设置和前提条件

要重现此问题，您需要在 GitLab 企业版 (EE) 实例上使用两个用户：

1. 受害者：

   一名拥有私人项目且项目运行活跃的用户。

2. 攻击者：

   拥有可以分配自定义角色的用户组用户。

步骤 1：受害者环境设置

1. 以受害者身份登录。
2. 创建一个新的私有项目（例如， victim-private-repo ）。
3. 导航至设置 > CI/CD > 运行程序。
4. 创建一个新的项目运行器并将其注册到项目中。
5. 请注意 Runner ID （可在 URL 或 Runner 列表中查看）。

#

步骤二：攻击者准备

1. 以攻击者身份登录。
2. 创建一个新组（例如， attacker-group ）。
3. 转到 “设置”>“角色和权限” ，创建一个基于 Guest 角色的自定义角色 ，但启用 Manage runners 权限。
4. 使用此新的自定义角色，邀请辅助攻击者帐户（或您自己）加入此组（ attacker-project ）中的项目。

步骤三：利用（IDOR）

该漏洞存在于用于将运行器与项目关联的 API 端点中。攻击者可以通过引用运行器的 ID 来“认领”受害者的运行器。

1. 确定攻击者项目的 project_id 。
2. 使用 curl 或 Postman 等工具向 GitLab API 发送 POST 请求：

curl&nbsp;--request POST&nbsp;"https://gitlab.example.com/api/v4/projects/<ATTACKER_PROJECT_ID>/runners"&nbsp;\ &nbsp; &nbsp; &nbsp;--header&nbsp;"PRIVATE-TOKEN: <ATTACKER_TOKEN>"&nbsp;\ &nbsp; &nbsp; &nbsp;--form&nbsp;"runner_id=<VICTIM_RUNNER_ID>"

3. 观察：尽管运行程序属于攻击者无法访问的私有项目，但 API 仍然接受了请求。

第四步：影响验证

1. 导航至攻击者的项目设置：设置 > CI/CD > 运行器。
2. 受害者的跑图现在会出现在攻击者的项目中。
3. 攻击者现在可以编辑、暂停或删除受害者的运行程序，从而有效地劫持受害者的 CI/CD 资源。

影响与补救

这种 IDOR 允许攻击者入侵其他项目的 CI/CD 管道，如果他们能够触发被劫持的运行器上的构建，或者通过禁用实例范围内的运行器来扰乱开发工作流程，则可能导致未经授权的代码执行。

最后想说的话

漏洞赏金计划并没有一夜之间改变我的生活。

但它教会了我耐心、解决问题的能力和自律精神。

如果你现在遇到困难，这很正常。 失败并不是终点，而是过程的一部分。

持续学习。 继续测试。 不要过早放弃。

让我们联系

如果您觉得这段经历对您有所帮助，并想了解更多关于漏洞赏金、心态和实际漏洞挖掘经验的信息，欢迎随时与我联系：

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rsec iamgk808 iamgk808《0166.从失败到获得 32,000 美元：我的漏洞赏金之旅》