企业官网建设流程全解析

【SRC漏洞挖掘系列·第2期】新手必看！SRC挖洞前准备工作，零门槛上手

大家好，我是专注网安实战的博主，上一期（第1期）我们搞定了SRC的基础认知——什么是SRC、为什么新手要做SRC，以及2026年主流SRC平台的选择，相信很多新手已经选定了自己的入门平台（优先CTFshow SRC、360SRC新手专区）。

这一期，我们进入核心实操环节，也是新手挖洞的关键前提——SRC挖洞前的准备工作。很多新手之所以挖不到漏洞、提交漏洞被驳回，甚至违规踩线，核心就是前期准备不到位：要么工具不会用，要么没吃透平台规则，要么环境没搭建好，导致白费功夫。

一、新手必备：SRC挖洞核心工具（无需复杂工具，3个就够用）

很多新手一听说挖漏洞，就盲目下载一堆工具，结果要么不会用，要么用不上，反而造成信息过载。其实SRC新手挖洞，无需复杂工具，掌握3个核心工具，就能覆盖80%的低、中危漏洞挖掘需求，优先用免费版，不用花钱买付费工具。

重点说明：工具只是辅助，新手不用精通工具的高级用法，掌握基础操作即可，核心是“用工具辅助发现漏洞”，而非“沉迷工具学习”。

（一）核心工具1：浏览器插件（无需安装复杂软件，直接用）

浏览器插件是新手挖洞的“入门神器”，无需复杂配置，安装后就能直接使用，重点推荐2个，适配Chrome、Edge浏览器：

1. Wappalyzer（网站技术栈识别）

• 核心作用：快速识别网站的技术栈，比如网站用的是PHP还是Java、数据库是MySQL还是Oracle、服务器是Nginx还是Apache，帮我们快速判断可能存在的漏洞类型（比如PHP网站容易出现SQL注入、文件上传漏洞）；

• 安装方法：打开Chrome/Edge应用商店，搜索“Wappalyzer”，点击安装即可，安装后浏览器右上角会出现图标，访问网站时点击图标，就能看到技术栈信息；

• 新手用法：不用深入研究，只需知道“网站用什么技术”，比如看到PHP+MySQL，就重点关注SQL注入、XSS漏洞即可。

2. Tampermonkey（脚本辅助工具）

• 核心作用：安装各类辅助脚本，简化挖洞操作，比如自动检测简单XSS漏洞、弱口令扫描脚本、表单自动填充脚本，帮新手节省时间；

• 安装方法：同样在浏览器应用商店搜索“Tampermonkey”安装，安装后，可在脚本网站（如Greasy Fork）搜索“SRC挖洞”相关脚本，安装常用的即可（比如“XSS自动检测脚本”“弱口令字典生成脚本”）；

• 新手用法：不用自己写脚本，安装现成的常用脚本，开启后，访问网站时会自动辅助检测漏洞，重点看脚本提示的异常信息即可。

（二）核心工具2：Burp Suite（抓包改参核心工具，新手必学）

Burp Suite是SRC挖洞的核心工具，无论是SQL注入、XSS，还是逻辑漏洞，都离不开它，新手用开源版（Burp Suite Community Edition）即可，完全满足入门需求，不用追求专业版。

1. 核心作用：抓包（捕获网站的HTTP请求）、改参（修改请求参数）、拦截请求，帮我们发现网站的漏洞（比如修改参数触发SQL注入、XSS漏洞）；

2. 安装方法：

• 1. 下载Java环境（Burp Suite依赖Java），官网下载免费版JDK，安装后配置环境变量（网上有详细教程，新手可直接搜索“Java环境配置”，跟着操作即可）；
• 2. 访问Burp Suite官网，下载开源版（Community Edition），无需破解，安装后直接打开即可；

3. 新手必学基础操作（重点！）：

• ① 开启代理：打开Burp Suite，点击“Proxy”→“Intercept”，开启拦截（Intercept is on），然后在浏览器中设置代理（代理地址：127.0.0.1，端口：8080），这样就能捕获浏览器的所有请求；

• ② 抓包与改参：访问目标网站（比如CTFshow SRC指定的网站），点击某个按钮（如搜索、登录），Burp会捕获到请求，此时可修改请求参数（比如将?id=1改为?id=1’），然后点击“Forward”发送请求，观察返回结果，判断是否存在漏洞；

• ③ 新手注意：初期不用学习高级功能（如主动扫描、爬虫），重点掌握“抓包、改参、发送请求”这3个基础操作，就能满足新手挖洞需求。

（三）核心工具3：辅助工具（可选，简化操作）

这类工具可根据需求选择，新手初期可不用全部安装，先掌握上面2类工具，后续挖洞熟练后，再补充使用：

1. Dirsearch（目录扫描工具）

• 核心作用：扫描网站的隐藏目录、敏感文件（如admin.php后台、config.php配置文件），帮我们找到漏洞入口（比如后台登录页面，可尝试弱口令登录）；

• 新手用法：下载开源版，通过命令行简单操作（比如“python dirsearch.py -u 目标网址”），扫描完成后，查看扫描结果，重点关注后台地址、敏感文件。

2. SQLMap（SQL注入检测工具）

• 核心作用：自动检测并利用SQL注入漏洞，新手可用于辅助验证漏洞（比如用Burp抓到可疑请求后，复制请求地址，用SQLMap检测是否存在注入）；

• 新手用法：掌握基础命令（比如“sqlmap -u 目标网址?id=1”），不用深入学习高级用法，重点是“验证漏洞是否存在”。

⚠️新手工具使用注意事项

1. 所有工具仅用于SRC平台授权的挖掘范围，严禁用于未授权网站，避免违规；

2. 新手不用追求“工具越多越好”，先熟练掌握Burp Suite和浏览器插件，再逐步补充其他工具；

3. 工具操作遇到问题，可直接在CSDN、B站搜索相关教程（比如“Burp Suite新手入门”），跟着实操，很快就能掌握。

二、关键步骤：平台注册与规则详解（避免违规、提交无效漏洞）

上一期我们推荐了新手优先选择CTFshow SRC、360SRC新手专区，这一期我们详细讲解这两个平台的注册流程、核心规则，新手一定要仔细看——规则没吃透，即使挖到漏洞，也可能被驳回，甚至被封禁账号。

（一）CTFshow SRC（新手首选，重点讲解）

1. 注册流程（全程免费，10分钟完成）

• 1. 访问CTFshow SRC官网（直接搜索“CTFshow SRC”即可找到），点击右上角“注册”；
• 2. 填写注册信息：用户名、密码、邮箱，完成邮箱验证（接收验证码，填写即可）；
• 3. 实名认证：新手需完成实名认证（上传身份证正反面、人脸识别），确保合法合规，实名认证后才能提交漏洞、领取赏金；
• 4. 注册完成后，登录平台，点击“漏洞范围”，查看CTFshow SRC指定的挖掘范围（重点看“可挖域名”“可挖产品”），明确哪些可以挖、哪些不能挖。

2. 核心规则（新手必记，避免违规）

• ① 挖掘范围：仅允许挖掘平台“漏洞范围”中指定的域名、产品，严禁挖掘未授权的系统、域名（比如CTFshow的其他非指定平台）；

• ② 禁止行为：严禁破坏业务系统、篡改数据、泄露漏洞信息、攻击核心服务器，违者会被封禁账号，取消所有赏金；

• ③ 漏洞审核：审核周期1-3个工作日，漏洞等级按“高危→中危→低危→信息型”划分，审核通过后，赏金会直接发放到平台账户，可提现；

• ④ 重复漏洞：提交漏洞前，先在平台“漏洞库”搜索，避免提交已被发现的漏洞，重复漏洞会被驳回，浪费时间。

（二）360SRC（新手专区，补充讲解）

1. 注册流程

• 1. 访问360SRC官网，点击“注册”，填写用户名、密码、邮箱，完成邮箱验证；
• 2. 实名认证：同样需要上传身份证正反面、人脸识别，完成实名认证后，才能参与新手专区挖洞；
• 3. 进入新手专区：登录后，点击“新手专区”，查看新手专区的挖掘范围、挖洞指引，新手专区有详细的漏洞提示，更容易出洞。

2. 核心规则（重点关注）

• ① 新手专区：仅新手可参与，漏洞难度低，有明确的挖洞指引，提交漏洞后，审核速度更快（1-2个工作日）；

• ② 赏金兑现：低危漏洞50-200元，审核通过后，赏金会发放到360SRC账户，可提现到银行卡；

• ③ 违规处罚：未按规则挖洞（如超出范围、破坏系统），会被取消新手专区资格，情节严重者封禁账号。

⚠️ 通用规则（所有SRC平台都适用）

1. 合规第一：所有挖掘行为必须在平台授权范围内，严禁未授权渗透，否则可能面临法律责任；

2. 不破坏、不泄露：挖洞过程中，严禁破坏业务系统、篡改数据，严禁泄露漏洞细节、攻击方法；

3. 如实提交：漏洞报告需真实、可复现，严禁伪造漏洞、提交虚假报告，否则会被封禁账号。

三、基础准备：挖洞环境搭建（新手零门槛，跟着做就会）

除了工具和平台，新手还需要搭建简单的挖洞环境，确保工具能正常使用，避免因环境问题影响挖洞，核心搭建2个环境，新手可快速完成。

（一）浏览器环境配置（适配Burp Suite）

核心是配置浏览器代理，让Burp Suite能正常捕获请求，以Chrome浏览器为例：

1. 1. 打开Chrome浏览器，点击右上角“三个点”→“设置”→“系统”→“打开您的计算机的代理设置”；
2. 2. 在弹出的代理设置中，开启“手动设置代理”，地址填写“127.0.0.1”，端口填写“8080”（与Burp Suite的代理端口一致）；
3. 3. 保存设置，打开Burp Suite，开启拦截，访问网站，测试是否能正常抓包（能抓到请求，说明配置成功）；
4. 4. 挖洞结束后，可关闭代理，避免影响正常上网。

（二）靶场环境搭建（新手练习用，避免直接挖真实平台）

新手初期，建议先在靶场练习，熟悉漏洞挖掘流程，再去SRC平台挖真实漏洞，避免因操作不熟练，提交无效漏洞或违规，推荐2个新手友好的靶场，搭建简单：

1. DVWA靶场（Web漏洞练习首选）

• 核心作用：包含SQL注入、XSS、文件上传等常见Web漏洞，新手可在靶场练习漏洞挖掘、工具使用，熟悉漏洞触发流程；

• 搭建方法：用Docker搭建（最简单，新手首选），搜索“Docker搭建DVWA靶场”，跟着教程操作，10分钟就能搭建完成，无需复杂配置。

2. CTFshow靶场（与SRC平台适配）

• 核心作用：CTFshow官方靶场，漏洞类型与CTFshow SRC平台的漏洞类型高度契合，新手在靶场练习后，可快速适应SRC挖洞节奏；

• 搭建方法：无需本地搭建，直接访问CTFshow靶场官网，注册登录后，选择“Web新手区”，即可在线练习，零门槛。

四、本期总结+下一期预告（新手必看）

本期核心总结

本期作为SRC漏洞挖掘系列第2期，核心帮大家完成了挖洞前的所有准备工作：掌握了3类核心工具（浏览器插件、Burp Suite、辅助工具）的基础用法，完成了CTFshow SRC、360SRC的注册与规则学习，搭建了挖洞所需的浏览器代理和靶场环境。

重点记住3点：① 新手工具不用多，精通Burp Suite和浏览器插件即可；② 平台规则一定要吃透，合规是挖洞的前提；③ 新手先在靶场练习，再去SRC平台挖真实漏洞，避免走弯路。

完成以上准备，你就已经超越了80%的SRC新手，接下来就可以进入核心的漏洞挖掘环节了。

下一期预告（核心实操，能出洞！）

本期搞定了所有准备工作，下一期（第3期）将进入最核心的环节——《新手从零挖洞：SRC低危漏洞实操教程》，重点讲解：

1. 新手最易出洞的2类低危漏洞（弱口令、反射型XSS），全程实操，跟着做就能挖到；

2. 漏洞挖掘的核心思路（遍历范围→扫描漏洞→验证漏洞）；

3. 挖洞过程中的细节注意事项（避免违规、记录漏洞信息）。

下一期全程实操，新手跟着操作，就能挖到自己的第一个SRC有效漏洞，甚至拿到第一笔赏金，记得关注，不要错过！

黑客&网络安全如何学习

如果你也对网路安全技术感兴趣，但是又没有合适的学习资源，我可以把私藏的网安学习资料免费共享给你们，来看看有哪些东西。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，100多本网安电子书，最新学习路线图和工具安装包都有，不用担心学不全。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

本文转自 https://blog.csdn.net/logic1001/article/details/158614515?spm=1001.2014.3001.5502，如有侵权，请联系删除。