Bug Bounty for Beginners (2026 Roadmap) — How to Start, Find Real Bugs & Get Paid
三句話摘要
給完全新手的 Bug Bounty 入門路線圖:從零基礎到拿到第一筆獎金的具體步驟。 把前三個月的目標從「賺錢」改為「深熟 IDOR 一種漏洞」,這個心態轉換是新手能否撐過學習曲線、最終拿到真實獎金的最關鍵分水嶺。 Bug Bounty 本質上是不對稱的回報遊戲:可能花 20 小時得零報酬,也可能一個 Broken Access Check 換來 $3,000。新手應把前期目標設定為「學技術」而非「賺錢」,才不會因短期無收益而放棄。
重點整理
重點- 1
Bug Bounty 本質上是不對稱的回報遊戲:可能花 20 小時得零報酬,也可能一個 Broken Access Check 換來 $3,000。新手應把前期目標設定為「學技術」而非「賺錢」,才不會因短期無收益而放棄。
- 2
深鑽單一漏洞類型比廣撒網更有效:建議從 IDOR 切入,因為它邏輯直觀(將 user_id=100 改為 101 即可測試)、門檻低且獎金潛力高,能最快建立成功經驗與信心。
- 3
報告品質與漏洞發現同等重要:一份結構清晰的報告(標題、摘要、重現步驟、影響範圍、PoC、修補建議)能加速 triage 流程並提升獎金核發率,這是多數新手忽略的競爭力。
- 4
按三階段路線圖推進:先打基礎(HTTP、Burpsuite、OWASP Top 10)→ 再攻公開簡單程式(專注 IDOR、基本 recon)→ 最後進入私有計畫(API、行動端、邏輯漏洞),每個階段有明確目標才不會迷失方向。
實用技巧與重點
乾貨- 改 user_id=100 → user_id=101,若回傳他人資料即為 IDOR
- 入門四大漏洞類型:IDOR、XSS、Information Disclosure(洩漏 key/config/debug endpoint)、Broken Access Control(普通用戶執行管理員操作)
- 免費練習平台:PortSwigger Web Academy、TryHackMe Beginner Path、HackerOne VDP(無獎金但合法練習)
- 工具:Burpsuite、Amass/Sublist3r(子域名)、FFUF(目錄爆破)
- 報告模板欄位:Title / Summary / Steps(Step 1 → Step 2 → Step 3)/ Impact / PoC(截圖或請求)/ Fix Suggestion
- 新手失敗模式:僅依賴掃描器、選最大程式競爭激烈、忽略 scope、報告品質差、兩個月內棄賽
- 私有計畫優勢:競爭者少,較容易找到未被回報的漏洞
- 術語速查:Scope(可測範圍)、Out of Scope(禁止觸碰)、Triage(審核團隊)、Duplicate(已被回報)、VDP(無獎金練習計畫)、Safe Harbor(法律保護條款)
結論
結論“把前三個月的目標從「賺錢」改為「深熟 IDOR 一種漏洞」,這個心態轉換是新手能否撐過學習曲線、最終拿到真實獎金的最關鍵分水嶺。”
完整解析
詳細對大多數 Bug Bounty 新手來說,最大的障礙不是技術不足,而是方向錯誤。影片一開始便點出常見困境:新手啟動掃描器,結果要麼一無所獲,要麼連續收到 47 個 Duplicate 通知。講者認為這是因為缺乏系統性路線圖,而非缺乏天賦。Bug Bounty 的本質其實很單純——找到漏洞、提交報告、獲得獎金——而且不需要學歷、年齡或任何認證,僅需技術、時間與好奇心。然而它絕對不是快速致富的手段,有時五個小時只是在理解一個登入請求的運作方式。
講者提出三個推進階段作為核心路線圖。第一階段是打好基礎:學習 HTTP 協議、Cookies 與 Session 機制、基本 Web 邏輯,熟悉 Burpsuite,並透過 PortSwigger Web Academy 和 TryHackMe 的免費課程練習 OWASP Top 10。這個階段的唯一目標是追求技能,不要追錢。第二階段是開始實戰,鎖定簡單的公開計畫,專注於一種漏洞類型,首選 IDOR(Insecure Direct Object Reference)——因為測試方式直觀(修改 URL 中的用戶 ID 參數),獎金潛力又高。同時開始基礎 recon 練習,使用 Sublist3r 做子域名枚舉、FFUF 做目錄爆破,目標是找到第一份有效報告,即便沒有獎金也算成功。第三階段則是進入私有計畫(競爭者更少)、深入學習 API 與行動端漏洞、建立自己的 recon 工具,並研究頂尖獵人的公開揭露報告,從「運氣型獵人」蛻變為「穩定型獵人」。
在報告撰寫方面,講者強調報告品質與漏洞本身同等重要。一份好的報告應包含:簡潔有力的標題、漏洞摘要、清晰的重現步驟、攻擊者能造成的影響說明、截圖或請求作為 PoC,以及可選的修補建議。結構完整的報告能加速 triage 流程,並直接影響獎金核發效率。
最後,講者以「健身房」做比喻收尾:每年一月人滿為患,真正撐過三月的才是認真的人。Bug Bounty 的淘汰率同樣高,但只要專注學習、深耕單一漏洞類型、不急著追獎金,就能從完全新手逐步成長為能進入私有計畫、穩定產出報告的專業獵人。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
