SRC 与漏洞挖掘经验

Author: rowen Date: June 9, 2026 10:03:00 Category: 面试知识点

SRC 与漏洞挖掘经验

面试官想考什么

你有没有真实漏洞提交经历。
你是否只会靶场题。
你是否理解真实业务漏洞挖掘思路。

你真实情况

目前没有正式提交过 SRC 漏洞，也没有企业真实渗透项目经验。

不要只回答“没有”，要补充你已有基础和后续入手方向。

标准回答

1
2
3

目前还没有正式提交过 SRC 漏洞，真实项目经验也还在积累。现在主要通过 CTF/AWD、靶场渗透和公开漏洞复现来打基础。

我理解 SRC 更看重真实业务场景，不只是打靶场。后续我准备从越权、信息泄露、弱口令、未授权访问、文件上传、XSS 这类更贴近业务的漏洞入手，练习资产梳理、接口分析、参数测试和报告编写。

SRC 入门测试思路

资产收集：主站、子域名、后台、API、App、小程序。
功能梳理：登录、注册、找回密码、用户中心、订单、上传、搜索。
接口分析：抓包看参数、token、userId、orderId、roleId。
常见漏洞测试：
- 水平越权。
- 垂直越权。
- 信息泄露。
- 弱口令。
- 未授权访问。
- 文件上传。
- XSS。
- 敏感接口暴露。
报告编写：漏洞位置、复现步骤、影响范围、修复建议。

常见追问

Q：你觉得 SRC 怎么入手？

我会先从资产和业务功能入手，比如登录注册、用户中心、订单、文件上传、搜索、后台接口和 API 文档。测试时优先看越权、信息泄露、弱口令、未授权访问、文件上传和 XSS。比如越权会准备两个账号互换 ID 测试，信息泄露会看接口返回、JS 文件、历史接口和敏感路径，最后按 SRC 要求整理复现步骤、影响范围和修复建议。

Author: rowen

Permalink: https://forkmmat.github.io/2026/06/09/03-SRC%E4%B8%8E%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E7%BB%8F%E9%AA%8C/

License: Copyright (c) 2019 CC-BY-NC-4.0 LICENSE

Slogan: Do you believe in DESTINY?

Tag(s): # 面试 # 安全服务 # SRC

back · home