---

name: security-bounty-hunter description: 在代码仓库中寻找可利用的、值得赏金的安全漏洞。专注于远程可达的漏洞，这些漏洞符合真实报告的标准，而非嘈杂的仅本地发现。 origin: ECC direct-port adaptation version: "1.0.0"

安全赏金猎人

当目标是为负责任披露或赏金提交进行实际漏洞发现时使用此技能，而非进行广泛的最佳实践审查。

何时使用

• 扫描代码仓库寻找可利用的漏洞
• 准备 Huntr、HackerOne 或类似平台的赏金提交
• 分类判断中问题是"这实际上能获得赏金吗？"而非"这在理论上是否不安全？"

工作原理

偏向远程可达的、用户可控的攻击路径，丢弃平台通常以信息性或超出范围为由拒绝的模式。

范围内模式

这些是持续重要的问题类型：

| 模式 | CWE | 典型影响 | | --- | --- | --- | | 通过用户控制的URL进行SSRF | CWE-918 | 内部网络访问、云元数据窃取 | | 中间件或API守卫中的认证绕过 | CWE-287 | 未授权的账户或数据访问 | | 远程反序列化或上传到RCE路径 | CWE-502 | 代码执行 | | 可达端点中的SQL注入 | CWE-89 | 数据泄露、认证绕过、数据破坏 | | 请求处理器中的命令注入 | CWE-78 | 代码执行 | | 文件服务路径中的路径遍历 | CWE-22 | 任意文件读取或写入 | | 自动触发的XSS | CWE-79 | 会话窃取、管理员账户沦陷 |

跳过这些

除非项目另有说明，这些通常是低信号或超出赏金范围的：

• 没有远程路径的仅本地 pickle.loads、torch.load 或等效操作
• 仅CLI工具中的 eval() 或 exec()
• 完全硬编码命令上的 shell=True
• 单独的缺失安全头
• 没有利用影响的通用速率限制投诉
• 需要受害者手动粘贴代码的Self-XSS
• 不属于目标程序范围的CI/CD注入
• 演示、示例或仅测试代码

工作流程

1. 首先检查范围：项目规则、SECURITY.md、披露渠道和排除项。
2. 找到真实入口点：HTTP处理器、上传、后台任务、webhook、解析器和集成端点。
3. 在有帮助的地方运行静态工具，但仅将其视为分类输入。
4. 端到端阅读真实代码路径。
5. 证明用户控制到达有意义的汇聚点。
6. 用尽可能小的安全PoC确认可利用性和影响。
7. 在起草报告前检查重复项。

示例分类循环

semgrep --config=auto --severity=ERROR --severity=WARNING --json

然后手动过滤：

• 丢弃测试、演示、固定数据、第三方代码
• 丢弃仅本地或不可达的路径
• 仅保留有明确网络或用户控制路由的发现

报告结构

## Description
[漏洞是什么以及为什么重要]

## Vulnerable Code
[文件路径、行范围和小段代码片段]

## Proof of Concept
[最小可工作的请求或脚本]

## Impact
[攻击者能实现什么]

## Affected Version
[测试的版本、提交或部署目标]

质量关卡

提交前：

• 代码路径从真实用户或网络边界可达
• 输入确实是用户可控的
• 汇聚点有意义且可利用
• PoC有效
• 该问题尚未被公告、CVE或开放工单覆盖
• 目标确实在赏金项目范围内