如何选择优质漏洞赏金项目并赚取丰厚奖金

"如何选择漏洞赏金项目？"过去几周我多次被问到这个问题，因此决定撰写这篇博客文章。请注意，我接触漏洞赏金项目的时间并不长，所以请辩证看待这些建议。你可以在我的 Twitter/X 上关注我的漏洞赏金之旅：3NVZ (@YourFinalSin) / X。以下仅是我个人选择项目的方法。好了，闲话少说，让我们开始吧。

1. 平衡之道

最初在 VDP(漏洞披露计划)上狩猎时，我总认为要找没有活跃黑客的项目才能发现漏洞。于是我用 Google 搜索自托管的 VDP 项目开始狩猎。一个简单的 Google 搜索语法是：intitle: VDP | vulnerability disclosure program

看到 Hackerone Hacktivity 或 Bugcrowd 上某个项目有很多活跃黑客时，我最初会感到气馁甚至直接放弃。现在我知道了：如果一个项目没有活跃黑客，那肯定有问题——要么平台对待黑客的态度恶劣，要么只是个缺乏定期更新的简单应用，只能找到低价值漏洞不值得投入时间。

目标项目的黑客数量确实会影响成功率（就像盘子里有 20 个苹果，50 个人抢和 10 个人抢的概率差异），但项目也需要保持活跃度才能确保存在可挖掘的漏洞。这就是优质私人项目的价值所在——它们限制猎人数量，同时提供可长期挖掘的新目标。

2. 范围选择

刚开始时我对项目范围也有误解，认为范围越大越好（比如 Hackerone 上的美国国防部项目）。所以我只攻击 NASA、加州政府等大范围 VDP 项目，从不敢碰 Airbnb、Quoka 等主应用。转向漏洞赏金项目后，我仍专注于包含大量通配符域名的宽范围项目，结果整天忙于侦查却从未真正深入攻击，感觉在浪费时间。

后来我决定选择主应用集中攻击，只做基本侦查：点击每个按钮、检查 JS 文件等。但又一次犯错——专门挑选几乎没有其他黑客的主应用项目，结果这些应用过于简单，功能有限且很少更新，难以发现有价值的漏洞。

最终我采用平衡策略：寻找活跃度高、功能复杂（如 Airbnb 包含房东、租客等多角色）、频繁更新的主应用项目。按照这个方法，我获得了第一笔赏金。符合这类标准的项目示例：

• Airbnb

• Atlassian

• Gitlab

需要说明的是，我最初也在 NASA、博世、荷兰政府等宽范围 VDP 中发现过漏洞。目前主应用策略对我更有效，但仍有不少人专攻宽范围项目获得成功。

3. 如果重新开始我会怎么做

如果重头再来，我会同时选择一个宽范围项目和一个主应用项目，各投入至少 2 周或 40 小时。目标不是非要找到漏洞，而是发现自己的兴趣点和更喜欢的攻击风格。

宽范围攻击更像是模拟攻击者试图通过企业网络资产入侵，侧重整体组织；而主应用攻击则聚焦于利用应用中的其他用户。确定兴趣后，我会选择符合以下条件的目标：不太知名（黑客不多）但保持活跃（确保存在漏洞）。对于主应用，我会选择 Airbnb 这类功能复杂、角色多元的系统，避开简单网店；对于宽范围项目，则选择包含大量资产和可注册功能（便于认证后攻击）的目标。最佳情况是获得优质私人项目邀请（可惜我还没这个运气）。

选定合适项目后，我会集中精力深入研究，在擅长领域达到精通后开始自动化流程提高效率。

4. 私人项目的重要性

关于私人邀请我要发表一个可能引发争议的观点：如果专注于传统 Web 应用漏洞赏金狩猎，私人邀请是在 Hackerone、Bugcrowd 等大平台稳定获利的唯一途径。通过记录自己的赏金之旅，我有幸与不同水平的黑客交流，包括 Hackerone/Bugcrowd 前 100/500 的顶尖高手。至今我未见过仅靠公开项目就能稳定收入的手动漏洞猎人——除了像 filedescriptor、Ron Chan（多年前已退出）、Youssef Sammouda 等传奇人物。他们花费数年深挖 Twitter、Uber、Meta 等单一主应用项目，同时具备极高技术水平。

另一方面，我也认识依靠赏金维生的黑客，他们甚至通过攻击 VDP 项目来获取更好的私人邀请。这不是贬低私人邀请，而是保持现实预期。正如前文的苹果比喻，更少人搜索的资产或更新鲜的目标自然更容易发现漏洞。

因此我认为，优质私人邀请对普通漏洞猎人的成功至关重要，但获取需要运气和时间积累。坚持的时间越长，获得的私人邀请越多，对运气的依赖就越少。当然，发现第一个有效漏洞或赚取初始奖金并不需要私人邀请。

结语

正如开头所说，这些全都来自我的个人经验。这段旅程充满挑战，投入了无数日夜，但也乐趣横生并结识了许多优秀的人。最后我想说：不要过度纠结，保持专注，Just Do It！该来的总会到来——或早或晚，但一定会来！

你可以在 X 上关注我的漏洞赏金之旅：3NVZ (@YourFinalSin) / X

支持请至：buymeacoffee.com/3NVZ 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手