一、技能概述
该技能用于实际的漏洞发现与赏金提交准备,而非广泛的最佳实践审查。其核心目标是回答“这个漏洞真的能拿赏金吗?”,而不是“这个在理论上是否不安全?”。
技能偏向于远程可达的用户控制攻击路径,同时排除平台经常因信息不足或范围外而拒绝的模式。
二、核心功能
1. 高危漏洞模式识别
技能聚焦于以下持续高危的漏洞类型:
| 漏洞类型 | CWE | 典型影响 |
|---|---|---|
| 用户控制 URL 导致的 SSRF | CWE-918 | 内部网络访问、云 Metadata 窃取 |
| 中间件或 API 防护的认证绕过 | CWE-287 | 未授权账户或数据访问 |
| 远程反序列化或上传导致 RCE | CWE-502 | 代码执行 |
| 可达端点中的 SQL 注入 | CWE-89 | 数据泄露、认证绕过、数据破坏 |
| 请求处理程序中的命令注入 | CWE-78 | 代码执行 |
| 文件服务路径中的路径遍历 | CWE-22 | 任意文件读取或写入 |
| 自动触发的 XSS | CWE-79 | 会话窃取、管理员账户接管 |
2. 低信号/范围外模式排除
除非漏洞悬赏计划另有规定,以下模式通常被视为低信号或范围外:
-
无远程路径的本地
pickle.loads、torch.load或等价物 -
CLI 工具中的
eval()或exec() -
完全硬编码命令的
shell=True -
仅缺少安全头(如 CSP、HSTS)
-
无利用影响的一般速率限制问题
-
需要受害者手动粘贴代码的自 XSS
-
目标程序范围外的 CI/CD 注入
-
演示、示例或测试专用代码
3. 漏洞发现工作流
技能提供了一套系统化的漏洞发现流程:
-
确认范围:检查项目规则、
SECURITY.md、披露渠道和排除项 -
寻找真实入口点:HTTP 处理器、文件上传、后台任务、Webhook、解析器、集成端点
-
运行静态工具:执行
semgrep --config=auto --severity=ERROR --severity=WARNING --json,但仅作为初步筛选输入 -
端到端阅读实际代码路径:不只看静态结果
-
证明用户控制能到达有意义的 Sink
-
用最小可行的 PoC 验证可利用性和影响
-
报告前检查重复:确认问题未被公告、CVE 或公开工单覆盖
-
手动过滤:排除测试、演示、fixture、vendor 代码;排除本地或不可达路径;仅保留有明确网络或用户控制路径的发现
4. 报告结构模板
技能提供了标准的漏洞报告结构:
## 描述
[漏洞内容及其重要性]
## 脆弱代码
[文件路径、行范围及小片段]
## 概念验证
[最小可行的请求或脚本]
## 影响
[攻击者能实现什么]
## 受影响版本
[测试的版本、commit 或部署目标]
提交前确认清单:
-
代码路径从真实用户或网络边界可达
-
输入真正由用户可控
-
Sink 有意义且可利用
-
PoC 可工作
-
问题未被公告、CVE 或公开工单覆盖
-
目标在漏洞悬赏计划的实际范围内
三、主要用途
-
漏洞赏金挖掘 —— 在 Huntr、HackerOne 等平台上寻找可提交的高质量安全漏洞
-
安全报告准备 —— 按照标准结构撰写包含 PoC 和影响分析的完整报告
-
漏洞可利用性评估 —— 区分理论风险与实际可利用漏洞,避免在低信号问题上浪费时间
-
代码安全审计 —— 结合静态工具和手动代码路径分析,系统化地识别远程可达的漏洞
-
漏洞范围确认 —— 在投入时间前先确认目标是否在赏金计划范围内
四、重要原则
-
聚焦远程可达 —— 优先于本地仅发现,优先于理论风险
-
先确认范围 —— 检查程序规则、SECURITY.md 和排除项
-
静态工具仅作筛选 —— 不能替代端到端的代码路径阅读
-
PoC 必须可工作 —— 用最小可行的方式验证利用
-
报告前查重 —— 确认未被已有公告或 CVE 覆盖
-
排除噪音模式 —— 自动排除本地反序列化、CLI eval、仅缺少安全头等低信号问题
五、总结
Security Bounty Hunter 是一个专注于漏洞赏金挖掘的实际安全技能,通过聚焦远程可达、用户可控的高危漏洞模式(SSRF、认证绕过、RCE、SQLi、命令注入、路径遍历、XSS),结合静态工具筛选和端到端代码路径分析,系统化地发现可提交的有效漏洞。它提供标准报告模板和提交前检查清单,并明确排除低信号模式(本地反序列化、CLI eval、仅缺少安全头等),帮助安全研究人员高效地准备漏洞赏金提交。该技能适用于漏洞赏金挖掘、安全报告撰写和代码安全审计等场景。