SRC漏洞提交全流程:报告撰写+提交流程+赏金领取,新手必看
【强烈收藏】SRC漏洞提交全流程报告撰写提交流程赏金领取新手必看文章是SRC漏洞挖掘系列第四期教授新手如何规范撰写漏洞报告、提交漏洞并获取赏金。内容包括漏洞报告的重要性与撰写模板、CTFshow SRC平台提交流程、审核驳回问题解决方法、赏金领取与提现流程。强调报告需清晰完整可复现通过本教程新手可完成从漏洞挖掘到获取赏金的完整流程为后续进阶打下基础。大家好我是专注网安实战的博主经过前三期的学习和实操(可以关注我回顾以往三期的内容)相信很多新手已经跟着我们完成了SRC基础认知、挖洞准备并且成功挖到了自己的第一个有效漏洞弱口令、反射型XSS。本期作为系列第4期以CTFshow SRC为实操平台新手首选审核宽松、赏金兑现快手把手教大家从“漏洞报告撰写→提交审核→审核问题解决→赏金领取”的全流程提供可直接照搬的报告模板新手跟着做就能顺利提交漏洞、拿到自己的第一笔SRC赏金圆满完成SRC新手入门之路。一、漏洞报告为什么这么重要避坑关键漏洞报告是连接你和平台审核人员的核心桥梁审核人员无法直接看到你挖洞的过程只能通过你的报告判断漏洞是否有效、是否符合要求核心重要性体现在2点决定审核是否通过一份规范、完整、可复现的报告审核通过率可达90%以上反之报告模糊、复现步骤不清晰、缺少截图大概率会被驳回。影响赏金等级虽然我们挖的是低危漏洞但报告的完整性、规范性会影响审核人员对漏洞细节的判断避免因报告不规范导致漏洞等级被降级、赏金减少。重点提醒新手撰写报告核心原则是“清晰、完整、可复现”不用追求复杂的专业术语只要审核人员能按照你的报告顺利复现漏洞就大概率能审核通过。二、核心实操SRC漏洞报告撰写新手可直接照搬模板本期我们以“前三期挖到的弱口令漏洞、反射型XSS漏洞”为例提供通用的漏洞报告模板新手可直接替换自己的漏洞信息无需重新撰写适配所有低危漏洞重点涵盖5个核心模块缺一不可。一报告核心模板通用版报告标题清晰明了一眼看懂格式【漏洞类型】【漏洞位置】【漏洞简要描述】示例1弱口令【弱口令】CTFshow SRC指定域名XXX/admin.php后台存在弱口令漏洞示例2反射型XSS【反射型XSS】CTFshow SRC指定域名XXX/search.php搜索框存在反射型XSS漏洞注意标题不要模糊如“某网站存在漏洞”要明确漏洞类型和位置方便审核人员快速定位。漏洞描述简洁通俗说明危害核心说明漏洞的位置、触发条件、潜在危害不用太专业新手用通俗的语言描述即可。示例1弱口令目标域名XXX的后台登录页面XXX/admin.php存在弱口令漏洞账号密码为admin/admin攻击者可通过该弱口令登录后台查看后台信息存在安全隐患属于低危漏洞未造成实际业务影响。示例2反射型XSS目标域名XXX的搜索框XXX/search.php存在反射型XSS漏洞输入测试脚本scriptalert(1)/script后页面会弹出弹窗攻击者可利用该漏洞注入恶意脚本获取当前用户Cookie属于低危漏洞未造成实际危害。复现步骤核心中的核心可复现是关键核心按照“1.2.3.”的步骤详细写下漏洞触发的每一步确保审核人员能跟着步骤顺利复现漏洞不能省略任何细节。示例1弱口令访问目标域名XXXCTFshow SRC指定可挖域名在浏览器地址栏输入后台地址XXX/admin.php进入后台登录页面在登录页面输入账号admin密码admin点击“登录”按钮成功登录后台漏洞复现。示例2反射型XSS访问目标域名XXXCTFshow SRC指定可挖域名。进入网站搜索页面XXX/search.php找到搜索框。开启Burp Suite代理确保能正常抓包在搜索框输入测试脚本scriptalert(1)/script。点击“搜索”按钮Burp捕获请求并发送浏览器页面弹出“1”的弹窗漏洞复现。漏洞截图必不可少佐证漏洞核心截图要清晰、完整能佐证漏洞的存在和复现过程低危漏洞至少需要2-3张截图每张截图都要包含目标URL避免模糊、无意义的截图。示例1弱口令截图1后台登录页面包含URLXXX/admin.php截图2输入账号密码后的登录页面截图3成功登录后台后的页面证明弱口令有效。示例2反射型XSS截图1搜索框输入测试脚本的页面包含URL截图2Burp Suite捕获的请求参数包含测试脚本截图3浏览器弹出弹窗的页面证明漏洞存在。注意截图不要拼接、不要裁剪关键信息如URL、弹窗直接上传原始截图即可CTFshow SRC支持多图上传。修复建议简单可落地加分项核心给出简单、可落地的修复建议不用太复杂体现你的专业性也能提高审核通过率新手可直接照搬以下建议。示例1弱口令强制修改后台账号密码设置复杂密码包含字母、数字、特殊符号长度不小于8位。开启密码复杂度校验禁止设置弱口令如admin/admin、123456。开启登录失败次数限制防止暴力破解。示例2反射型XSS对用户输入的内容进行过滤、转义禁止输入特殊字符如、、script等。开启HTTPOnly属性防止Cookie被窃取。对输出到页面的内容进行编码避免恶意脚本被执行。二新手撰写报告避坑要点不要省略复现步骤复现步骤是审核的核心省略任何一步都可能导致审核人员无法复现漏洞被驳回。不要伪造漏洞、虚假截图严禁提交虚假漏洞、拼接截图一旦被发现会被平台封禁账号取消所有赏金。不要使用专业术语堆砌新手用通俗的语言描述即可不用刻意使用复杂的网安术语避免审核人员看不懂。不要泄露漏洞细节报告中仅描述自己挖到的漏洞不要泄露其他漏洞信息、攻击方法避免违规。三、全程实操CTFshow SRC漏洞提交流程手把手教撰写完漏洞报告后我们就可以提交漏洞了以CTFshow SRC为例全程实操新手跟着步骤做就能顺利提交其他平台如360SRC流程类似可参考套用。第一步登录CTFshow SRC平台访问CTFshow SRC官网输入用户名、密码登录平台确保已完成实名认证否则无法提交漏洞。登录后点击页面右上角“提交漏洞”进入漏洞提交页面。第二步填写漏洞报告信息选择漏洞类型根据自己挖到的漏洞选择对应的类型如“弱口令”“反射型XSS”。填写目标地址输入漏洞所在的URL如XXX/admin.php、XXX/search.php确保地址正确。填写报告标题、漏洞描述、复现步骤、修复建议直接复制我们上面的模板替换成自己的漏洞信息确保内容完整、清晰。上传漏洞截图点击“上传截图”选择提前准备好的截图2-3张上传完成后可预览截图确保截图清晰、完整。第三步提交审核等待结果填写完成后仔细检查一遍重点检查复现步骤、截图、目标地址避免填写错误。点击页面底部“提交漏洞”提交成功后页面会提示“提交成功等待审核”。查看审核进度点击平台“我的漏洞”可查看漏洞的审核状态待审核→审核中→审核通过/驳回CTFshow SRC审核周期为1-3个工作日耐心等待即可。四、常见问题漏洞审核被驳回该怎么办新手必看新手提交漏洞后可能会遇到“审核驳回”的情况不用慌大部分驳回都是因为报告不规范、复现步骤不清晰只要根据驳回原因修改重新提交就能审核通过以下是4种常见驳回原因及解决方法驳回原因1复现步骤不清晰无法复现解决方法补充复现步骤增加细节如“访问哪个URL、输入什么内容、点击哪个按钮”确保审核人员能跟着步骤复现同时补充相关截图佐证复现过程。驳回原因2截图模糊无法识别漏洞解决方法重新截图确保截图清晰包含目标URL、漏洞触发效果如登录成功页面、弹窗不要裁剪关键信息重新上传后提交审核。驳回原因3漏洞已被重复提交解决方法提交漏洞前先在CTFshow SRC“漏洞库”搜索漏洞关键词如“XXX后台弱口令”确认漏洞未被提交若已被重复提交可放弃该漏洞挖掘其他漏洞。驳回原因4漏洞不属于低危或无实际危害解决方法重新确认漏洞类型若确实是低危漏洞可补充漏洞的潜在危害如弱口令可能导致后台被入侵完善报告重新提交若漏洞确实无实际危害如信息型漏洞可放弃该漏洞。五、终章实操赏金领取与提现流程新手零门槛当漏洞审核通过后平台会自动发放赏金到你的账户接下来就是领取赏金、提现的环节CTFshow SRC提现流程简单新手可直接跟着操作全程免费、无手续费。第一步查看赏金到账情况登录CTFshow SRC平台点击“我的账户”查看“余额”审核通过后赏金会直接发放到账户余额中低危漏洞50-200元具体金额根据平台判定。同时平台会发送邮件通知你“漏洞审核通过赏金已到账”可查看邮件确认。第二步绑定提现账户点击“我的账户”→“提现设置”选择提现方式CTFshow SRC支持微信提现新手首选。绑定微信输入微信昵称、微信号完成绑定确保微信号正确否则无法提现。绑定完成后可查看绑定状态确保绑定成功。第三步申请提现等待到账点击“我的账户”→“申请提现”输入提现金额可全部提现无最低提现门槛。确认提现信息点击“提交提现”提交成功后等待平台审核提现审核周期1-2个工作日。审核通过后赏金会直接转入你的微信账户可在微信零钱中查看全程无手续费。补充其他平台如360SRC提现流程类似可绑定银行卡提现审核周期和到账时间略有差异具体可查看平台的“提现规则”。六、系列总结新手进阶建议系列核心总结到这里我们的「SRC漏洞挖掘系列」4期内容就全部结束了从第1期的SRC基础认知到第2期的挖洞准备再到第3期的低危漏洞实操最后到本期的漏洞提交与赏金领取我们全程围绕“新手零门槛、可落地”手把手带大家完成了从“不懂SRC”到“能挖漏洞、拿赏金”的完整流程。回顾整个系列新手只要记住4个核心要点就能顺利入门SRC合规第一严格在SRC平台授权范围内挖洞不碰野站渗透不破坏系统、不篡改数据。循序渐进新手优先挖低危漏洞建立信心后再逐步冲击中、高危漏洞不急于求成。注重实操多在靶场练习多动手挖真实漏洞理论结合实战才能快速提升。规范提交漏洞报告要清晰、完整、可复现这是审核通过、拿到赏金的关键。新手进阶建议后续提升方向完成本系列后你已经成功入门SRC漏洞挖掘拿到了第一笔赏金接下来可以从以下3个方向进阶提升自己的挖洞能力拿到更多赏金、积累更多实战经验深耕漏洞类型除了弱口令、反射型XSS可学习其他低、中危漏洞如存储型XSS、文件上传、权限绕过扩大挖洞范围。提升工具用法熟练掌握Burp Suite、SQLMap、Dirsearch等工具的高级用法提高挖洞效率。尝试其他平台熟悉CTFshow SRC后可尝试阿里SRC、字节跳动SRC等进阶平台冲击更高赏金积累大厂挖洞经验为后续求职打下基础。最后恭喜大家顺利完成SRC新手入门之路网安之路没有捷径需要持续学习、不断实操希望大家能坚持下去在SRC挖洞中积累经验、赚取收益逐步成长为优秀的白帽黑客、网安从业者。后续想学习哪些网安相关内容评论区聊聊一起交流学习、共同进步 关注我后续持续更新网安实战干货如果你也想靠SRC挖漏洞做副业、赚外快不想再走弯路、被杂乱教程浪费时间我把多年实战总结的全套挖洞教程 学习路线都整理好了。从零基础入门到漏洞挖掘实战工具使用、漏洞原理、SRC投稿技巧全覆盖跟着练就能上手。不用天赋异禀不用熬夜死磕掌握正确方法大学生也能靠技术赚到第一桶金。文章来自网上侵权请联系博主题外话黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2025最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2025最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。读者福利 |CSDN大礼包《网络安全入门进阶学习资源包》免费分享安全链接放心点击我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享安全链接放心点击

相关新闻

安装node.js,卡在Cloning into ‘/home/user/.nvm‘...

安装node.js,卡在Cloning into ‘/home/user/.nvm‘...

按照此官网命令行安装:https://nodejs.org/en/download # Download and install nvm: curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.40.4/install.sh | bash# in lieu of restarting the shell \. "$HOME/.nvm/nvm.sh"# Download and inst…

2026/7/5 18:44:19 阅读更多 →
OpenWRT+SFTP+cpolar三件套:手把手搭建家庭私有云文件服务器(含固定公网IP教程)

OpenWRT+SFTP+cpolar三件套:手把手搭建家庭私有云文件服务器(含固定公网IP教程)

从路由器到私有云:用OpenWRT与SFTP构建你的专属远程文件中心 不知道你有没有过这样的体验:手机相册快满了,想导到电脑里备份,结果发现数据线不在身边;出差在外急需一份存在家里电脑上的合同,却只能干着急&a…

2026/7/5 1:14:31 阅读更多 →
【JLINK Commander】从零到一:嵌入式调试的“瑞士军刀”实战指南

【JLINK Commander】从零到一:嵌入式调试的“瑞士军刀”实战指南

1. 初识瑞士军刀:JLINK Commander到底是什么? 如果你刚开始玩嵌入式开发,特别是用ARM Cortex-M这类芯片,那你肯定绕不开一个东西:调试器。市面上选择很多,但说到稳定、强大、生态好,JLINK绝对是…

2026/7/5 20:35:09 阅读更多 →

最新新闻

爬虫入门:requests+BeautifulSoup抓取网页

爬虫入门:requests+BeautifulSoup抓取网页

一、引言:为什么学习爬虫 在大数据时代,数据是驱动决策、训练模型、洞察趋势的核心资源。然而,并非所有数据都能通过 API 或数据库直接获取。大量的数据隐藏在 Web 页面中——新闻、商品信息、社交媒体、行业报告等。手动复制粘贴显然不现实,而网络爬虫(Web Crawler)就是…

2026/7/5 20:34:23 阅读更多 →
最简洁yolov8 C++配置教程

最简洁yolov8 C++配置教程

最简洁yolov8 C配置教程ubuntu22.04 安装Cuda TensorRT Cudnn Miniconda1 .Cuda TensorRT Cudnn配置步骤2. Miniconda的安装 在之前的安装完毕且成功的情况下yolov8的C使用1. github上有个大神开源了yolov8的使用,非常好用,[链接](https://github.com/tr…

2026/7/5 20:30:23 阅读更多 →
基于YOLO的计算机视觉项目实战:从数据标注到边缘部署全流程解析

基于YOLO的计算机视觉项目实战:从数据标注到边缘部署全流程解析

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Qwen 随心用,限时 5 折。 👉 点击领海量免费额度 这类项目最值得关注的不是“智能麻将机器人”这个听起来很酷的标题,而是它背后完整的 计算机视觉项目从开发到落地的全流…

2026/7/5 20:28:20 阅读更多 →
如何在无网络环境下快速提取图片文字?Umi-OCR离线文字识别终极指南

如何在无网络环境下快速提取图片文字?Umi-OCR离线文字识别终极指南

如何在无网络环境下快速提取图片文字?Umi-OCR离线文字识别终极指南 【免费下载链接】Umi-OCR OCR software, free and offline. 开源、免费的离线OCR软件。支持截屏/批量导入图片,PDF文档识别,排除水印/页眉页脚,扫描/生成二维码。…

2026/7/5 20:28:20 阅读更多 →
如何让2008年的老款MacBook Pro也能流畅运行macOS Sonoma:OpenCore Legacy Patcher实战指南

如何让2008年的老款MacBook Pro也能流畅运行macOS Sonoma:OpenCore Legacy Patcher实战指南

如何让2008年的老款MacBook Pro也能流畅运行macOS Sonoma:OpenCore Legacy Patcher实战指南 【免费下载链接】OpenCore-Legacy-Patcher Experience macOS just like before 项目地址: https://gitcode.com/GitHub_Trending/op/OpenCore-Legacy-Patcher 还记得…

2026/7/5 20:28:20 阅读更多 →
重塑音频创作边界:Audacity 开源音频编辑器的技术革新与实践指南

重塑音频创作边界:Audacity 开源音频编辑器的技术革新与实践指南

重塑音频创作边界:Audacity 开源音频编辑器的技术革新与实践指南 【免费下载链接】audacity Audio Editor 项目地址: https://gitcode.com/GitHub_Trending/au/audacity 你是否曾为音频编辑软件的复杂操作界面和昂贵许可费用而却步?是否渴望拥有…

2026/7/5 20:26:20 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻