想靠挖SRC漏洞赚钱？先想清楚这几个问题

近期看到这个大瓜，曝光某高价培训班存在“虚假宣传 1v1、二次收费、教学敷衍、克扣学员劳动报酬”等问题，引发大量维权与争议。

看到一些学生，上学期间生活费本来就很少，又要贷款，咬牙报了个高价课程。结果各种被坑，发现不值。

我不了解具体情况，不评判，对与错。

今天就单纯聊聊我对想学习漏洞挖掘、想靠 SRC 赚奖金的朋友们，一点个人建议。

一、赚钱要看大环境

前几年我在一家互联网公司工作，一个新业务上线，直接让白帽子去测，漏洞真的是白捡的。

我还记得当时文案是我写的，他们测试后的漏洞，我也看了一下，说实话我闭着眼睛都能测出来。

如果让我先测一遍，至少奖金能少发出去10万块。后来听说是部门有预算，要花出去。

但是从目前来看，许多公司安全岗位都取消了，裁员，预算缩减，砍业务。

我们现在平时在各种SRC的内部群，也能感觉的到，需要测试的新业务新功能会越来越少。

所以，如果你真想靠 SRC 赚奖金，至少得盯着新业务、新功能。老旧的页面、接口，几百几千人盯着，你没点功底，很难挤进去。

二、SRC 不等于“轻松赚快钱”

我之前参加 SRC 比赛，时间有限，挖到的漏洞很多都是重复的。但即便如此，还是能排名靠前。说明机会不是没有。

但说实话，真正认真分析一个漏洞很耗时。很多人以为“刷一刷就能回本”，其实没那么简单。你要么拼新业务，要么拼逻辑漏洞，不然就是人海战术。

另外，不要一上来就盯着阿里、蚂蚁、腾讯、字节、美团。这些大厂早就被各种师傅扫烂了。新手一头扎进去，挖不到洞就容易灰心，转头想“报班”。不如先找一些小公司练手，成功率更大。 

注意：SRC那么多家，每家的特点都不同，先别挖难度高的，举个例子：有防护的，你明显感觉扫描一下就被拦截了，先别说发没发现漏洞，就是绕过都是浪费时间啊。

三、学习投入：量力而行

我一直觉得：入门阶段花个 1000–2000 元没问题，纯属投资自己；但一下子砸近万元，真不一定合适。

而且如果你是学习这个行业的，你以后为了找相关的工作，你一定要投资一点，这个没问题。我之前有个下属就挖过腾讯SRC漏洞有排名，所以我面试的时候，给他优先通过了，这种有成绩，动手能力强，就很放心。

如果你有天赋、有基础，那花 1 万可能也能回本，但你其实不用花那么多钱，成本太高了，没必要。

如果你没天赋、没时间，那你花 1 万也白搭，最后就是“努力了，但没结果”。

国内外泄露的课程太多了，我们这些发布者都无所谓呢，你就去找免费的，看就行了，报名的好处就是老师能回答问题，少走弯路，所以价格你肯定要看的，其实学技术，大多数都是靠自学，别人也不能帮你挖，对不对。

很多事情都是“选题重要”。我之前写过小说，硬要写玄幻，结果扑街了，编辑都说新人不要写玄幻，这年代人家翻几页，就没耐心了。不是我不努力，是方向错了。学安全也是一个道理。选题对了，才有坚持的意义。

四、一些避坑提醒

这部分我特别想说，因为看到不少人掉坑里：

别被“1 对 1 实战带挖”冲昏头脑 ——问清楚具体形式：是微信群解答？还是大课？还是能真拉着你调试？

思考：你想一下嘛，哪有人有空1V1带你啊，你在想想挖漏洞是啥行为啊？直播发现漏洞被利用的话，不直接进去了吗？所以你想想有些事都不可能啊，顶多就是指导指导，分享分享，这都啥年代了，网络安全法都出来这么多年了。

别信“几个月回本” ——让对方拿真实案例出来，不是几张模糊截图。

思考：每个人天赋不一样啊，基础不一样，运气也不一样，投入也不一样，别人行不行，你行不行，不一定的啊。没人敢保证，敢保证，那就是忽悠呗。 靠谱的老师肯定不会说保证。

警惕二次收费 ——报完班又说要开星球会员、要买播放器、要交实战报名费，这就是割韭菜。

注意合同里的“永久学习权” ——有些写着永久，结果退费时按一年算。付款前一定要看清楚。

思考：其实学技术啊，不是永远依赖别人，永久学习也不是很有必要，说实话。这些培训带你入门就行了，永久嘛，信或者不信，就那么回事。

如果你想赚点零花钱，你可以游戏搬砖啊，你不一定非要做这个啊，就像我之前说的，你就是学习的信息安全，以后想。找工作，那你就必须学习研究。 所以不要混淆了，你如果以后工作和这个不相关，那你干点别的，也比这个强啊。

五、一些正经的学习建议

入门：先啃公开资料，B站、YouTube、GitHub、国外博客一大堆，几乎覆盖所有常见漏洞。

进阶：找几个人组队，互相交流，效率比一个人闷头强多了。

实战：实战看你技能所处的阶段，到了挖SRC的水平了，你在去挖，没到的时候，别硬上，会失去信心，还累。

六、最后想说的话

学习安全，不是为了“几个月回本”，也不是盲目追高价班，而是为了在职场里有真本事。方向比努力更重要，希望你们别把钱浪费在包装出来的幻觉里，而是投资在真正能提升自己的路径上。

七、确实能赚钱，但看人和阶段

别误会，我不是说 SRC 完全没出路。现在各大漏洞平台每天都有人提交报告，也有人靠这个稳定拿奖金，甚至做成了职业。

我们主要是讨论新人能不能赚钱？答案是：

• 有天赋+投入时间，肯定能；

• 只是兴趣+零星尝试，大概率赚不到。

一句话总结：SRC可以赚钱，但它更像是一条长坡慢跑的路，而不是一夜暴富的捷径。

SRC 平台每天都有报告上去，能赚钱的人确实存在，但新人想立刻靠它月入过万并不常见。建议把基础当成门槛：系统学 OWASP Top10、看 CVE（许多 CVE 可归类到 Top10 的问题），掌握代表性工具（Burp 做抓包与手工复现、nmap 做探测、sqlmap 做自动化验证），并完整跑通一次渗透流程（信息收集 → 漏洞验证 → 最小化 PoC → 报告）。目标不同路线不同：想挖 SRC 就狠练业务逻辑/越权/流程类漏洞；想做批量化就把自动化与模板打好。先去一些简单的漏洞平台提交，赚点积分兑换点礼物增强信心，之后在去挖SRC漏洞。

注意：CVE 是一个覆盖所有软件/平台的漏洞编号体系，而 OWASP Top10 专注于「Web 应用」的常见风险类别；二者范围不同，因此不能说“所有 CVE 都基于 Top10”。所以你是先学Web类漏洞而已，不要学偏差了。

PS：最后随便提一句，我公众号更新不固定，大部分时间都在研究技术。如果有学生想咨询点什么，有空也会偶尔解答一二。不收费、不卖课，随缘分享。