当前位置：首页 > news >正文

从零到提交第一个漏洞，你需要系统做对哪6步？

news 2026/6/13 8:37:34

从零到提交第一个漏洞，你需要系统做对哪6步？

我是那种科班出身但大学基本没听课的人，安全全凭自学。第一个漏洞是XSS，提交到某教育SRC，给了300块钱，高兴了一整天。
从那以后就开始认真搞了。

很多新手加我第一句话就是：“我想挖洞，但不知道从哪下手。”
我太懂了。因为网上信息太杂，上来就让你学渗透、学二进制、学逆向——那都是坑。
从零到真正提交第一个漏洞，其实6步就够了。

下面我就按自己踩过的坑，给你捋一遍。

第一步：别一上来就想着“日站”，先搞懂漏洞长啥样

我最开始是怎么做的？
下载了个SQLMap，对着一个靶场乱扫，扫不出来就放弃。
后来才知道，连SQL注入的原理都不懂，工具给你你也不会用。

你需要先搞明白的是这些“基础”：

什么是HTTP请求？GET和POST差在哪？
什么是Cookie？什么是Session？
一个典型的登录框，后端可能怎么处理SQL语句？
XSS为什么能弹窗？它真的能偷Cookie吗？

不用学很深，但起码得做到：
给你一个DVWA（一个故意有漏洞的靶场），你把它的Low难度手工打一遍，知道每种漏洞是怎么触发的、怎么利用的。

我当时是怎么学的？
一边看《白帽子讲Web安全》，一边在DVWA上点，遇到不懂的就搜。一周足够了。

如果这步你跳过了，后面每一步都是撞墙。

第二步：动手，动手，还是动手（靶场是最好的老师）

很多人喜欢收藏资源，什么“10个最好的漏洞靶场”、“黑客必读书单”，收藏完就不看了。
我跟你说实话：你只需要先搞一个靶场，把它干穿就行。

新手首推Pikachu（是的，皮卡丘）。
它每个漏洞都有说明，有例子，你照着点就能复现。比DVWA更友好。

我第二推荐PortSwigger的Web Security Academy（就是Burp Suite那个公司出的）。
它是英文的，但每个漏洞有讲解、有Lab，你跟着做一遍，比你刷10个视频都有用。

关键操作：
你至少要手工打出一次反射型XSS、一次SQL注入（带union查询那种）、一次文件上传绕过。
这三个最基础，也是最容易拿“首洞”的类型。

我当时第一个XSS是怎么打出来的？
是一个搜索框，输入<script>alert(1)</script>，回车，弹窗了。
就这么简单。不是所有漏洞都高大上，简单才是常态。

第三步：学会两三样工具，别贪多

新手最容易犯的第二个错：
工具装了一堆，一个都不会用。

Burp Suite、Nmap、SQLMap、Dirsearch、Hydra……
其实第一洞阶段，你只需要把Burp Suite用好，就够了。

Burp要学到什么程度？

能抓包、改包、重放
能看懂Repeater和Intruder
知道怎么在Proxy里看请求和响应

就这么点。
别一上来就玩什么插件、扩展、扫描策略，你用不上。

至于SQLMap，我的建议是：
等你手工找到一个SQL注入点之后，再用SQLMap去拖数据。
如果连手工注入点都找不到，SQLMap给你你也跑不出东西。

我当时第一洞之前，用过的工具只有：Chrome F12、Burp、一个文本编辑器。

第四步：找一个你能合法测试的目标

这一步卡住了很多人。
因为不敢乱测，怕被抓。
其实合法渠道太多了：

补天平台（国内，注册就能看公开项目）
漏洞盒子（同理）
教育SRC（很多高校有漏洞接收奖励，而且测试范围明确）

我的建议：从教育类目标入手。
原因很真实：

漏洞多（很多教学系统是老版本）
范围小（通常就几个域名）
审核相对友好（会教你怎么写报告）

我当时第一个目标是一个大学的二级网站，一个选课系统。
功能很简单：登录、查询课表、提交反馈。

你看，这种目标，一共就三四个功能点，挨个测一遍花不了半小时。

千万别一上来就去测大厂核心业务，越权你挖不动，逻辑漏洞你找不到，容易自闭。

第五步：用“功能点挨个测”的方法，而不是乱扫

新手经常问我：“我怎么知道哪里有漏洞？”

我给你一个笨但很有效的方法：
把目标网站的每一个功能点列出来，然后针对每一个功能点，去想它可能有什么漏洞。

举个例子：

登录框→ 用户名枚举、弱口令、SQL注入、验证码绕过
搜索框→ XSS、SQL注入
个人资料页→ 越权（修改ID看别人资料）、存储型XSS
文件上传→ 上传绕过、文件包含
重置密码功能→ 逻辑漏洞（验证码可爆破、URL中token可猜测）

你就对着列出来的清单，一个一个用手工+Burp去试。

这个方法慢，但对新手来说最稳。
我第一洞就是这么找到的：
一个重置密码接口，它会把验证码直接在URL参数里返回给我。
打开开发者工具，看网络请求，验证码明晃晃躺在那里。

这不就是逻辑漏洞吗？改一下参数就能重置别人密码。

所以别想着能一下子挖到高危，先从这种“明显但好欺负”的漏洞开始，建立信心。

第六步：写一份像样的报告，别让审核帮你猜

挖到了，开心吧？
然后很多人就随便写几个字提交：

“这个页面有XSS”

审核看到这种，大概率直接忽略。
不是针对你，是真的没法确认。

一份能过审的报告至少要包含：

漏洞类型：比如“反射型XSS”
危害描述：可以劫持会话、钓鱼等（一句话就行）
复现步骤：

访问哪个URL
输入什么Payload
看到什么现象（附截图）

请求包和响应包（直接从Burp复制）

我第一次提交XSS的时候，截图、复现步骤写得特别详细。
审核过了2小时就确认了，还夸了一句“报告很清晰”。

另外注意几点：

测试的时候用测试账号，别删别人数据
不要公开漏洞细节（修复前别发到群里炫）
跟审核沟通客气点，大家都是同行

总结一下，别被吓住

第一洞最难的不是技术，而是你不知道自己该干什么。
看完这篇文章，你可以照着这6步走：

学基础 → 起码知道SQL注入和XSS长什么样
打靶场 → Pikachu或PortSwigger打一遍
学会Burp → 抓包改包就够
找合法目标 → 教育SRC、补天公开项目
挨个测功能点 → 登录、搜索、上传、重置密码
写详细报告 → 截图+复现步骤+请求包

走完这6步，你大概率能在一个月内拿到第一个漏洞。
真的不骗你。

如果你在路上了，可以在评论区聊聊你最近在挖哪个目标。
咱们可以一起吐槽那些奇葩的漏洞。

第一步最难，但你已经开始读了这篇文章，其实已经走了半步。

学习资源

如果你也是零基础想转行网络安全，却苦于没系统学习路径、不懂核心攻防技能？光靠盲目摸索不仅浪费时间，还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造！

01内容涵盖

这份资料专门为零基础转行设计，19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进，攻防结合的讲解方式让新手轻松上手，真实实战案例 + 落地脚本直接对标企业岗位需求，帮你快速搭建转行核心技能体系！

这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】

**读者福利 |******[CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享

02 知识库价值

深度：本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。
广度：面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。
实战性：知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。