信息安全行业人员除了黑产还有其他赚外快的途径么？

我自己是一个将要从学校滚蛋的大四学生，从大一开始接触信息安全到现在，各种收入大概能买几千个屁股先锋了吧。我可以介绍一下作为这个行业的学生（包括研究生、实习生等）可以靠哪些方面挣外快。

答案内涉及到利益关系很多，我围绕『钱』这个角度来说明问题，至于一些厂商服务、管理、法律上的问题我就不牵扯了。

一、挖通用程序漏洞，挣奖金

通用程序漏洞，顾名思义就是被大众大量、普遍使用的应用程序，这类程序的漏洞通常危害性巨大，可能可以影响数以万计的使用者。国内、外各大平台对于此类漏洞都有奖励机制，如果你挖掘到通用程序的漏洞并提交到这些平台上后，将会被给予一定的现金奖励。

比如国内漏洞平台乌云，对于通用漏洞有不错的奖励，这是乌云白帽子gainover的一页漏洞截图：

其中标示着『$』符号的漏洞都是通用漏洞，$的数量决定了奖金的数量，一般来说有这样的规则：

• 奖金100~500：一个$
• 奖金1000~2000：两个$
• 奖金2500+：三个$

所以你可以算算他仅一页漏洞，就赚了多少奖金。

2016年，阿里巴巴公司旗下的安全情报平台『先知』也加大了对通用漏洞的奖励力度，5月份的排行榜中：

前五名的白帽子，大部分奖金都来自通用漏洞。其中维尼熊宝贝拿到了税前146300人民币的奖金，这是很多安全从业者一年的薪水，而白帽子可能通过一个月的兼职挖洞就拿到了。

360公司旗下的补天平台也是国内较早提供通用漏洞奖金的平台，早期我也在该平台获得过数万元奖金，但总体来说其对通用漏洞的奖金较少。该平台最大的优势在于其对事件型漏洞有一定奖励，我后面会说到。

除了国内的第三方漏洞平台以外，国外的一些漏洞收集平台的奖励更为可观，不过难度也更大。

国外有一个专门收取通用型漏洞的计划叫Internet Bug Bounty（

），在知名漏洞平台hackerone上标示着ibb的厂商就是这个计划支持的。白帽子挖掘到一些知名开源程序或库，诸如Ruby on rails、nginx、openssl等漏洞后，提交到hackerone，将可能得到数千美刀以上的奖金。注意啊，这里是美刀。

著名的『心胀滴血』漏洞，当初在hackerone上被给予了15000美元的奖金（

），着实让人羡慕不已。

不过白帽子将其捐给了自由基金会，也是很令人敬佩的。

另外，谷歌的Project Zero也会收集并奖励一些通用漏洞，特别是像Windows、Linux、Android、IOS之类的操作系统漏洞，还有Chrome、Firefox之类的浏览器漏洞等，其奖金也从数千到数万美刀不等。国内的一些天才少年、白帽子和组织（如腾讯科恩实验室），通过挖掘安卓、IOS等漏洞，相信也从谷歌换取了不少奖金。

相比于国内的平台，国外平台对于通用漏洞有以下特点：

• 奖金单位为美刀，奖金确实高
• 难度大，奖励范围小，一般仅限于用量巨大的应用或库
• 一般在漏洞修复后会公开，不会藏着掖着

所以，如果你对阅读开源程序代码、调试逆向客户端等方向感兴趣的话，挖掘通用漏洞赚取奖金绝对是一个非常实在的选择。我个人赚取的绝大多数外快也来自于这个方面。

推荐指数：★★★★☆

二、挖掘互联网漏洞，挣奖金

互联网漏洞就是存在于互联网任何一个角落的漏洞，可能是XX大学教务系统的SQL注入，可能是XX电商0元购买商品，也可能是XX社交平台任意用户登录等。

挖掘互联网漏洞是一个很敏感的行为，有时候就可能从白帽子变成黑帽子。但既然你前提是『非黑产』，这条路也是行得通的。

之前提到过的补天平台，对互联网漏洞有一定的奖励，如果你能挖掘到一些影响数据量较大的厂商、政府机关的漏洞，在补天平台上也可以换取数百元到上千元不等的奖金。

比如这个这个还有这个：

很多白帽子通过补天平台也赚取了不少奖金。除了补天以外，国内另一家漏洞平台『漏洞盒子』也对互联网漏洞进行奖励：

相对而言，漏洞盒子更加关注企业的漏洞。不过其奖励力度较小，月度排行榜上首名的奖金也不高。

乌云对互联网漏洞的收集范围是最广的，但普遍没有奖金，只会给予一定的积分和rank值。使用积分可以购买一些日用品、电子产品与书籍，但总量还是有限。不过乌云上有的厂商对白帽子有一定的回馈，厂商曾经寄送给我京东卡之类的礼品，我想这也算隐形的收入之一吧。

总体来说，挖掘互联网漏洞对于赚外快来说更累，因为大部分互联网漏洞是没有奖金的，但如果你拥有相对准确度高、效率高的扫描器的话，坐享其成也未尝不可。

推荐指数：★★☆☆☆

三、参与众测项目，赚取奖金

众测应该是普通白帽子们最佳赚钱途径了，当然也是竞争最为残酷的途径。众测通常是没有私有SRC的厂商在一些第三方平台收集自己漏洞的一种方式，白帽子通过挖掘指定厂商的漏洞，能够换取数百到数千元不等的奖金，相比于挖掘互联网漏洞，难度较大回报也较高。

国内最早开展众测的是乌云众测平台，累计到现在已经超过395期了。我参与过一些项目，最低的项目奖金是这样（高的可能到5k至1w）：

• 高危漏洞：2000
• 中危漏洞：500
• 低危漏洞：100

通常一个项目挖到5个高危就心满意足了。有时候如果你能找到一个突破口，挖到20个高危也不是不可能，我也曾一个项目拿下4w+的奖金。

乌云众测参与的门槛较高，一般是要求在乌云主站提交过有一定质量的漏洞，并且通过积分换取参与门票，这就导致乌云众测中大牛比较多，所以经常会出现挖到的漏洞重复的问题。但其回报相对于付出足够高了，依稀记得今年3月的项目，有一个业余白帽子（其工作非信息安全）一个月挖掘到16w奖金：

乌云众测最大的长处就是项目众多，几乎每个月有十来个项目，粗略统计了一下6月份乌云众测有19个项目，这甚至比一些初创的众测平台所有的项目还多。所以，虽然乌云众测竞争激烈，但其饼子的数量也足够让一些有技术的白帽子赚到不少外快。

之前提到的先知安全情报平台也有一定的众测项目，但因为其创立时间不长，项目数量有些少，在写这个答案的时候进驻先知的厂商只有9个。但其奖励力度也不小，通常一个高危漏洞可以有3000以上的奖金。

感谢

的纠正，先知平台有些项目测完后就不在列表里展示了，所以并不是只有9家。按照阿里云在国内云安全方面的地位与输出能力，之后的项目应该会更多。

先知平台最大的特点就是其打款速度惊人，其依托支付宝可以做到『今天确认，明天打款』。但其对漏洞审核较为严格，也导致很多界限模糊的漏洞得不到承认。

另外一点，先知平台对每笔奖金收取20%的税，这个是业内税收最高的。当然税收是国家政策也无可厚非，就是不知道其他平台是怎么规避的。相比于之前说到的乌云平台，先知的税高打款快，乌云的税低打款慢，如果急需用钱的话先知是个好选择。

360公司的补天平台推出了私有SRC模式，其实也就是众测的一种。补天的私有SRC项目相对比较简单，很多传统企业甚至12306进驻补天，但奖金也较低：

上图是百年人寿的漏洞提交记录，可见高危漏洞从1000到3000不等。但更多厂商的高危漏洞仅有1000元奖金。但因为这些厂商漏洞好找，所以数量上也弥补了金额上的不足。

漏洞盒子也是一个老牌众测平台，现在平均每月能有1~2个项目，很多大牛也通过漏洞盒子赚到了不少奖金。

漏洞银行是国内新出现的一个第三方众测平台，入驻（有不少厂商虽然入驻但不接受漏洞）厂商有近千个，其多数只接受高危漏洞，且奖励不高。暂无现金奖励，白帽子只能使用该平台的积分换取京东卡等物质奖励。

国内还有sobug、威客众测之类的第三方众测平台，但其项目有限，我也没参与过，就不做评价了。

总体来说，国内各大众测平台有如下特点（一般是这样，也不是没有特例）：

• 乌云众测：奖金高，项目多（机会多），打款慢，门槛高
• 补天：奖金中，项目数量少，打款快，门槛低，难度低
• 先知：奖金高，项目数量少，打款极快，门槛高，难度高
• 漏洞盒子：项目数量中，奖金中，打款速度一般，门槛低，难度中
• 漏洞银行：厂商数量大，奖金低（无现金），门槛低，难度低
• sobug：项目少
• 威客众测：项目少

对渗透感兴趣、日站能力比较强的话，你可以选择性地参与这些众测项目，并通过众测项目赚取外块。

推荐指数：★★★★★

四、挖掘大厂商漏洞，在SRC换取奖金

互联网漏洞的另一个去处就是私有SRC。随着国内公司对安全逐渐重视，很多都成立了自己的应急响应中心，其中代表性的有腾讯公司的TSRC、阿里巴巴的ASRC和360公司的360SRC等，上述几个SRC对于自家公司网站、产品的漏洞奖励不菲，甚至对于一些威胁情报也有很高的奖金。

我个人混SRC不多，但身边很多朋友都或多或少在各大SRC提交过漏洞。TSRC是国内最老牌也是比较体贴的SRC，我曾经提交过一个腾讯公司的高危漏洞，很快奖励了相应的积分。TSRC的积分可以直接换取现金（无税），这是很多SRC没有的福利，并且在随后的一年里（哪怕这一年我再也没有提交其他漏洞），过节均会寄送礼物，像情人节的巧克力、端午节的粽子、中秋节的月饼等等，并且年底每人都会收到至少500元京东卡。

TSRC的奖励一般是一个严重（比如能够注入出用户数据的SQL注入漏洞）能拿到等于5k+RMB的积分，高危（比如QQ空间的存储型XSS等）能拿到等于1.8k+RMB的积分，并且如果漏洞优质能够领到额外现金奖励或每个月的即时现金奖励，比如TSRC著名白帽子rasca1，在今年3月和5月均获得了额外总共8w的现金奖励：

其他实物奖励我就不多说了。除了腾讯自身的漏洞，TSRC前段时间开始收集威胁情报。让我印象最深的一次是，一个白帽子在玩腾讯某款游戏的过程中，发现有人在游戏里出售游戏币，并且比官方价格低很多，他向TSRC反映了这一情报。官方人员很快根据他的情报发现了一处刷金币的漏洞，及时弥补了被黑产窃取的金币。

后来TSRC给予了这个白帽子三万元现金奖励，这让我有种玩游戏玩着玩着就成土豪的感觉，实在很让人羡慕：

类似的SRC还有阿里的ASRC，其奖金力度稍高于TSRC，但人文关怀不如后者，额外奖励（隐形奖金）也稍低。

国内还有诸多企业自建了SRC，奖励一定会比在第三方平台提交互联网漏洞要高，但有两个问题还是影响白帽子们提交漏洞的积极性：

• 许多SRC的积分不能换取现金，只能兑换等值奖品，可能和税务有关
• 部分SRC还是在以白菜价收购漏洞，一个getshell漏洞可能只能换两百元的红包，中低危漏洞可能只有公仔

总体来说，挖掘诸如腾讯、阿里、360等自建SRC的厂商漏洞较难（也不是无技巧可寻），但其金钱上的回报也绝对够份。

推荐指数：★★★★☆

五、参与培训，担当讲师

当你有一定的技术后，就可以开始尝试去做一个知识的传授者。安全界有几种授课方式：

• 私人培训，个人做一些视频教程，通过售卖视频教程获利，如某月的教程
• 在一些团队（论坛）担当版主或讲师
• 在一些在线教育平台授课，如爱春秋等

前两种多半会给人以『很坑』的印象，实际上确实是鱼龙混杂，但如果你真的爱好传授知识，去做一套视频教程不光是一个可以获取收益的行为，也是一个传递火炬的善举。

这是某安全团队做的一个培训的介绍截图，其价格在培训中属于偏低的，但如果其宣传手段得力，视频质量过关的话，薄利多销也是能够获得很多收益的：

本人也做过一些授业的视频，个人收益通常少则可能50~100一节课（10~20分钟），多则可以到300~1000一节课。如果有一定能力的人，能够参与一些实地脱产培训的话，数千元乃至上万元报酬一天也是不少的。

这样的话，通常一套课程（可能30+节课）做下来，能赚数千元到数万元。

近几年新创的平台爱春秋也是信息安全在线教育的一个龙头，我曾有意向申请爱春秋的讲师但最后还是因为时间关系放弃了。此类新兴的在线教育平台可能（我不知道爱春秋什么情况，但我和其他一些平台有谈过此类问题）会以『收看量』、『购买量』来给予讲师报酬，其实和一些直播间类似了，收看你的教程的人数越多你的收益就越多。

这样对于一般的讲师来说有点吃亏，因为收看量（购买量）除了和讲师的水平有关系外，其实和平台的推广、用户体验、防盗版手段也有很大的关系，而这些原因是讲师无法控制的，所以我觉得如果你要在这些平台做培训的话，最好让平台能一次性买断，这样收益可能更大。不过如果你自信你的视频能够靠量来盈利，甚至能给平台带来额外的访问量，和平台合作也不失为一个好方法。

做讲师是一个需要口才的兼职，如果你感觉自己表达能力强可以尝试。并且做讲师通常没有太高的风险，而挖掘漏洞是有一定风险的——假如一段时间你什么漏洞都没挖到，那么可能这段时间一分钱收益都没有，而做讲师只需踏踏实实将自己的知识说出来，就有稳定的收入。

推荐指数：★★★☆☆

六、为一些扫描平台开发插件

这是一个新兴的职业，我将其称之为——扫描器插件开发工程师。随着国内各大厂商推出『可扩展』的『社区形式』的扫描器产品后，这个兼职也随之产生，白帽子可以通过为一些商业扫描器开发插件来赚取收益。

Tangscan是乌云平台依托其强大的漏洞库孕育的一个社区化的商业扫描器，白帽子可以为其有偿编写插件并获取积分。Tangscan在商业运营中，如果某个白帽子编写的插件扫描到安全漏洞，将会给予该白帽子一定的分成；即使其编写的插件没有命中目标，Tangscan每个月也有一定的分红：

这是Tangscan今年一月份的一次分红，可以看到排名第一的白帽子分到了2400块收益，但相比于挖掘漏洞来说确实还是太少了。我想的话，命中目标的奖金可能会比分红要高吧，不过我写的几个插件没有命中过目标，暂时不清楚情况。

Seebug是知道创宇公司运营的一个漏洞库平台，其实也是为其扫描器收集插件。创宇当时号称用百万元悬赏插件，实际上其奖励确实不低，我曾在该平台提交过数个漏洞详情与漏洞POC，通常一个漏洞+POC能换取总共100~300元不等的奖励。

这是Seebug第一期打款的截图，可见其奖励的力度确实比Tangscan要高一些：

对编程能力突出的同学而言，编写POC是一个很好的工作，而且收益相对来说较高，一样稳定。只要有耐心慢慢写，稳赚不赔。

推荐指数：★★★☆☆

七、打CTF赚取奖金

对于学生来说，打CTF比赛无疑是提升能力的最好途径之一，当然其丰厚的奖金也是外快的好来源。

我有时会混迹于CTF比赛中，但多数CTF比赛的奖金不高，有的可能只有礼品，所以很多人并不将其作为金钱来源，而是学知识认识朋友的好地方。高奖金的CTF比赛也不是没有，Alictf是阿里巴巴公司举办数年的CTF比赛，其第二届比赛的奖金创造了国内CTF比赛之最：

10万元人民币奖金+美国拉斯维加斯BlackHat之旅，被香港中文大学的香米小组获得。我还记得当年第一届阿里CTF预赛，每个打进前30名的队伍的所有队员都获得了一部手机等等不记得的各种奖品。几乎是只要你打了比赛，做了几题就能获得礼物，对学生来说是一个非常大的激励。

这几年国内的CTF比赛如雨后春笋，有一些长期参与各种比赛的同学（熟称赛棍）凭借自己打CTF的经验，积累了不少奖金。不过毕业后能参与的CTF会逐渐减少，打CTF的时间、精力、小伙伴也逐渐减少。最后能一直坚持下来的同学可能更喜欢的是竞赛的感觉而非金钱上的回报。

不过现在CTF比赛在奖金上也有一些乱象，总结一下大概有：

• 很多比赛因为税务的原因，将奖金折合成礼品发给获奖者，甚至比赛完后才告诉参赛人员这个事情，很没品
• 发礼品就算了，有的比赛奖金10000所以发一台Mac，可是CTF队伍通常有三人，于是队员还需自行处理礼品分配问题，导致奖励贬值
• 有的比赛受到赞助商影响，在路费、住宿费归属、报销问题上存在麻烦
• 有的比赛为了防止参赛者在互联网上讨论题目，甚至不允许参赛者上网，偏离了实战环境，导致做题做的很憋屈。有种因噎废食的感觉。（不过这一条和钱无关了）

不过这一年，CTF比赛相对于前几年收紧、少了很多，奖金也降了一些（特别是阿里CTF，今年的奖金不足去年的一半）。可能也是受到金融低迷的影响，也可能是各大公司招人招的差不多了。

推荐指数：★★★☆☆

八、写文章，赚稿费

10年前大家写了文章通常发布在安全论坛中，当时的黑客论坛讨论活跃、文章众多，后来因为国家的政策，包括安全行业形式的变化，论坛逐渐冷却，多数已不复存在。

现在的安全研究人员多数将文章发表在自己的博客，或者投稿给一些安全媒体赚取稿费。乌云平台的博客乌云drops对安全类文章的稿酬是比较高的，通常一篇文章有500元人民币的稿酬，而精华文章的稿酬将翻倍。除了稿酬以外，drops还会奖励给文章作者乌云的通用积分（大概价值200元），作者可以自行去兑换奖品。

我平时的文章也会分享到乌云drops，一是能够换取一些稿酬作为生活费，二是能够积攒自己的『简历』。后者属于另一个范畴，与钱无关，不多说。

另外，如果你英文好的话，去翻译一些国外的好文章也可以获得同样的稿酬，也就是说可能你的技术还达不到能够自己写出出彩文章的程度，但你去收罗一些国外的文章进行翻译也可以赚不少生活费。

楼上有个匿名作者说的其实也不错，安全圈和娱乐圈也就一墙之隔，写一写大众喜欢的文字也许比写纯技术文章更吃香。但我还是希望作者们坚持本心。

除了乌云drops以外，Freebuf、360安全播报、安赛等安全相关的媒体都对投稿的文章有一定稿酬奖励，不过金额和drops差一点。

所以，如果你技术高文笔好，或者英文好，或者能够抓住用户痛点，能够抓住实事，没事写写技术与非技术文章赚稿酬，也是外快的一部分，只不过确实没多少。

推荐指数：★★☆☆☆

九、给一些『安全公司』打工

兼职，主要是做一些渗透测试方面的工作，当然必须是合法的。

推荐指数：★★☆☆☆

暂时想到这么多，之后有的再补充吧。。。睡了睡了，写了两个晚上~

允许转载，但切勿修改原文，避免丧失公平性！

======

2016.11.23 补

有些人还质疑我，说几十万不可能。

除了井底之蛙，我还能说什么呢？我如果只是想装逼的话，没必要匿名。我说的所有内容都可以考证，举个例子，据我所知文中提到的维尼熊宝贝是一个大学生（曾经乌云平台上的一位通用奖励大牛），并且去年才高中毕业。他一个月的奖金就达到14w，相比起来我4年赚的根本不值一提。