白帽子黑客挣钱攻略，别说兄弟发财不带你！

孤独的汤姆

于 2025-07-27 13:02:04 发布

阅读量1k

点赞数 33

CC 4.0 BY-SA版权

分类专栏：干货分享渗透测试网络安全文章标签：网络安全

本文链接：https://blog.csdn.net/shandongjiushen/article/details/149688783

网络安全同时被 3 个专栏收录

2309 篇文章

订阅专栏

渗透测试

197 篇文章

订阅专栏

干货分享

102 篇文章

订阅专栏

白帽子黑客挣钱攻略，别说兄弟发财不带你！

对于白帽子黑客，很多人的理解应该只停留在概念表层，今天成哥在这里整理了一些具体到工作和挣钱路径的内容，供大家参考哦。

1.挖掘漏洞挣奖金

通用程序漏洞，顾名思义就是被大众大量、普遍使用的应用程序，这类程序的漏洞通常危害性巨大，可能可以影响数以万计的使用者。国内、外各大平台对于此类漏洞都有奖励机制，如果你挖掘到通用程序的漏洞并提交到这些平台上后，将会被给予一定的现金奖励。

比如国内漏洞平台乌云，对于通用漏洞有不错的奖励，这是乌云白帽子gainover的一页漏洞截图：

其中标示着『』符号的漏洞都是通用漏洞，』符号的漏洞都是通用漏洞，』符号的漏洞都是通用漏洞，的数量决定了奖金的数量，一般来说有这样的规则：

奖金100~500：一个$

奖金1000~2000：两个$

奖金2500+：三个$

所以你可以算算他仅一页漏洞，就赚了多少奖金。

2016年，阿里巴巴公司旗下的安全情报平台『先知』也加大了对通用漏洞的奖励力度，5月份的排行榜中：

前五名的白帽子，大部分奖金都来自通用漏洞。其中维尼熊宝贝拿到了税前146300人民币的奖金，这是很多安全从业者一年的薪水，而白帽子可能通过一个月的兼职挖洞就拿到了。

2.挖掘互联网漏洞挣奖金

互联网漏洞就是存在于互联网任何一个角落的漏洞，可能是XX大学教务系统的SQL注入，可能是XX电商0元购买商品，也可能是XX社交平台任意用户登录等。

之前提到过的补天平台，对互联网漏洞有一定的奖励，如果你能挖掘到一些影响数据量较大的厂商、政府机关的漏洞，在补天平台上也可以换取数百元到上千元不等的奖金，比如：

很多白帽子通过补天平台也赚取了不少奖金。除了补天以外，国内另一家漏洞平台『漏洞盒子』也对互联网漏洞进行奖励：

3.参与众测项目，赚取奖金

众测应该是普通白帽子们最佳赚钱途径了，当然也是竞争最为残酷的途径。众测通常是没有私有SRC的厂商在一些第三方平台收集自己漏洞的一种方式，白帽子通过挖掘指定厂商的漏洞，能够换取数百到数千元不等的奖金，相比于挖掘互联网漏洞，难度较大回报也较高。

国内最早开展众测的是乌云众测平台，累计到现在已经超过395期了，最低的项目奖金是这样（高的可能到5k至1w）：

高危漏洞：2000元

中危漏洞：500元

低危漏洞：100元

4.挖掘大厂商漏洞，在SRC换奖金

互联网漏洞的另一个去处就是私有SRC。随着国内公司对安全逐渐重视，很多都成立了自己的应急响应中心，其中代表性的有腾讯公司的TSRC、阿里巴巴的ASRC和360公司的360SRC等，上述几个SRC对于自家公司网站、产品的漏洞奖励不菲，甚至对于一些威胁情报也有很高的奖金。

TSRC是国内最老牌也是比较体贴的SRC，提交企业的高危漏洞，很快可以获取奖励相应的积分。TSRC的积分可以直接换取现金（无税），这是很多SRC没有的福利。如果你之前提交过漏洞，并且在随后的一年里（哪怕这一年你再也没有提交其他漏洞），过节均会寄送礼物，像情人节的巧克力、端午节的粽子、中秋节的月饼等等，并且年底每人都会收到至少500元京东卡。

TSRC的奖励一般是一个严重（比如能够注入出用户数据的SQL注入漏洞）能拿到等于5k+RMB的积分，高危（比如QQ空间的存储型XSS等）能拿到等于1.8k+RMB的积分，并且如果漏洞优质能够领到额外现金奖励或每个月的即时现金奖励，比如TSRC著名白帽子rasca1，在今年3月和5月均获得了额外总共8w的现金奖励：

除了腾讯自身的漏洞，TSRC前段时间开始收集威胁情报。一个白帽子在玩腾讯某款游戏的过程中，发现有人在游戏里出售游戏币，并且比官方价格低很多，他向TSRC反映了这一情报。官方人员很快根据他的情报发现了一处刷金币的漏洞，及时弥补了被黑产窃取的金币。后来TSRC给予了这个白帽子三万元现金奖励，这让人有种玩游戏玩着玩着就成土豪的感觉，实在很让人羡慕。

5.为一些扫描平台开发插件

这是一个新兴的职业，随着国内各大厂商推出『可扩展』的『社区形式』的扫描器产品后，这个兼职也随之产生，白帽子可以通过为一些商业扫描器开发插件来赚取收益。

Tangscan是乌云平台依托其强大的漏洞库孕育的一个社区化的商业扫描器，白帽子可以为其有偿编写插件并获取积分。Tangscan在商业运营中，如果某个白帽子编写的插件扫描到安全漏洞，将会给予该白帽子一定的分成；即使其编写的插件没有命中目标，Tangscan每个月也有一定的分红：

Seebug是知道创宇公司运营的一个漏洞库平台，其实也是为其扫描器收集插件。创宇当时号称用百万元悬赏插件，实际上其奖励确实不低，作者曾在该平台提交过数个漏洞详情与漏洞POC，通常一个漏洞+POC能换取总共100~300元不等的奖励。

这是Seebug第一期打款的截图：

对编程能力突出的同学而言，编写POC是一个很好的工作，而且收益相对来说较高，一样稳定。只要有耐心慢慢写，稳赚不赔。

6.打CTF赚取奖金

对于学生来说，打CTF比赛无疑是提升能力的最好途径之一，当然其丰厚的奖金也是外快的好来源。

Alictf是阿里巴巴公司举办数年的CTF比赛，其第二届比赛的奖金创造了国内CTF比赛之最：

10万元人民币奖金+美国拉斯维加斯BlackHat之旅，被香港中文大学的香米小组获得。每个打进前30名的队伍的所有队员都会获得一部手机等的种奖品，几乎是只要你打了比赛，做了几题就能获得礼物，对学生来说是一个非常大的激励。

7.参加信息安全铁人三项赛

信息安全铁人三项赛是面向大学生的公益性科技类竞赛，通过整合信息安全产业资源对接高校，为大学生提供一个进行信息安全技术创新、深入产业行业应用以及扩展安全视野的平台，当然，参赛拿到名次者还有丰厚的奖金可拿。

如何学习网络安全

给你一个忠告，如果你完全没有基础的话，前期最好不要盲目去找资料学习，因为大部分人把资料收集好之后，基本上都是放在收藏夹吃灰，同时资料收集的多了，学起来就会迷茫，也会让自己很有压力。

磨刀不误砍柴工，如果你是准备自学的话，要分步骤去进行：

第一步：搭建自学知识框架，具体怎么搭建学习框架，在后面我会讲；

第二步：按照学习框架给自己定制阶段性的学习计划和目标，最好是按周自我反馈和调整；

第三步：针对每周的学习计划寻找合适的自学资源，注意，只找当前需要的，不要贪多

第四步：找几个懂得人，和他们处理好关系，后面学习过程中遇到问题还能有人给你解答；

这些都要一步一步来，不要想着一口气吃成一个大胖子。

搭建学习框架也是有诀窍的，比如我常用的三种方式：

1.和牛人成为朋友，身边的朋友或公司的同事都可以，但要注意，记得请人家吃饭联络好感情，不然到关键时刻，很少有人会去帮你； 2.从各个博客网站上面搜索想了解的知识点路线图，然后找高赞的博文，基本上不会差，但要注意辨别真伪； 3.多找几个培训机构，看他们整理的课程大纲是什么样的，涉及哪些知识点，然后做归类汇总，具体的我就不说了，免得让大家认为我在给培训机构打广告；

废话不多说，先上一张图镇楼，看看网络安全有哪些方向，它们之间有什么关系和区别，各自需要学习哪些东西