国际惯例，给兄弟们看图

这是我们师傅挖国外SRC的部分赏金截图

就问你！挖国外漏洞赚美金香不香！

现在国内SRC越来越卷了，越来越多的白帽子开始挖海外漏洞赚美金。海外SRC真的比国内赏金高很多，不说高危漏洞，拿中危漏洞来说，国内一个中危漏洞300-500人民币，而国外平台大部分厂商中危都有300-500美刀(折合人民币2000~3500左右）！妥妥抵上国内一个高危漏洞了啊！

国外SRC相比于国内，优势还是很明显的，比如：

1、 在国内赚美金，赏金更高，海外SRC收的漏洞类型更多；

2、 审核速度更快，忽略的情况更少；

3、 因需要一定的竞争门槛，所以竞争者更少！

国外SRC玩法

当然，国外SRC也有自己的玩法，比如：

1、缓存服务器和CDN的引入可能会引起缓存相关的问题！

2、不同实践之间的差异化造成的问题，ChatGPT路径解析差异导致缓存欺骗帐户接管，相信这也是未来海外src关键思路之一！

3、反向代理，负载均衡的错误配置可能会导致403的绕过和某些奇怪的SSRF！

4、前端安全往往相较之下并没有那么受到重视，但基于Electron的桌面应用的发展这种偏见慢慢被打破！

5、无头浏览器直接将网页渲染成PDF的SSRF，以往只能弹窗或者弹Cookie的XSS现在摇身一变成为SSRF这样的高风险漏洞！

如果你感兴趣想要尝试的话，这里推荐给大家一些方法：

1、练习portswigger.net的靶场，非常棒的资源，通过这个靶场你能学到很多基础知识，做到快速扫盲

2、研读HackerOne的报告，HackerOne 上面的报告都能免费阅读到（6k+报告）

漏洞挖掘学习福利

不过，以后海外SRC的思路只会更刁钻，对于刚开始进行海外SRC挖掘的人来说，学习的时间成本无疑很高，可以先从国内漏洞开始挖掘，我整理了一份大佬亲自总结的挖洞攻略以及漏洞挖掘教程，微信扫码领取~