我的第一个漏洞赏金计划：我如何赚到 1,000 美元

发布于2025年5月21日2025年7月19日作者:cve-20

我的第一个漏洞赏金计划：我如何赚到 1,000 美元

haidragon 安全狗的自我修养 2025-05-21 09:16

漏洞赏金狩猎已经在我的雷达上停留了一段时间。在阅读了数十篇文章并深入研究了 HackerOne 的文档之后，我终于决定亲身实践。本文讲述了我如何发现一个微妙却影响深远的漏洞，并最终获得我的第一笔 1,000 美元赏金，以及我在此过程中汲取的经验教训。

奠定基础

和大多数初入这个领域的人一样，我从最基本的开始：阅读成功案例，了解常见漏洞，并探索 HackerOne 平台。我花时间了解经验丰富的研究人员如何接近目标并记录他们的发现。

在我对基础知识充满信心之后，我选择了 HackerOne 上的一个公开项目——我们姑且称之为TargetApp——我觉得它既有趣又成熟。它经过了充分的测试，所以我知道这不会很容易，但我也把它看作是一个学习强化应用程序在严格审查下如何运作的机会。

早期探索和安静阶段

我从基本的侦察开始：
– 手动检查现场
– 审查robots.txt隐藏路径
– 测试常见漏洞，例如XSS、开放重定向和IDOR
– 使用 Burp Suite 分析请求和响应
我尝试了各种端点，观察了输入的处理方式，并密切观察了应用程序的行为。

近两个月来，我没有发现什么重大问题。这款应用的保护措施非常完善，显然已经通过了多轮安全评估。bug 方面倒是没什么动静——嗯……我有点沮丧，但还是坚持了下来。

突破：重读 robots.txt

有一天，我重温之前的笔记时，决定robots.txt再检查一遍。我之前看过，但这次我放慢了速度，仔细看了一遍。在那些被禁止的路径中，有一条特别引人注目。

敏感路由出现在中并不罕见robots.txt，但这引起了我的注意。这里没有任何可直接利用的东西，但这却是一个线索。我决定进一步探索。

我在 Burp Suite 中拦截了一个请求/admin/并转发了它。服务器返回：

禁止响应——意味着资源存在，但访问被阻止。

这很有希望。

尝试绕过技术

此时，我探索了不同的 403 绕过技术。我的清单包括：
– 修改标题，例如X-Original-Method、X-Forwarded-For、Referer
– 尝试路径变化（/admin/.，/admin/%2e/）
– 使用不同的用户代理
– 切换 HTTP 方法
最后一个——改变请求方法——才是造成差异的原因。

我将拦截的GET请求修改为/admin/，并将方法改为POST，然后进行转发。

令我惊讶的是，答复是：

被禁止的页面现在可以访问了。