5月，月神开始筹备第二期的《SRC漏洞挖掘实战班》，他表示：“新的课程太牛逼了，说不定能改变网络安全现状！”

年初开始，月神决定把自己这些年挖洞的经验通过培训分享出来。几乎大部分取得一些成绩的白帽子都会考虑做培训，不管是出于哪方面的考量。月神毫不避讳的袒露，做培训是为了赚钱。但是但凡学员对购买课程表现迟疑，他都会劝说学员再考虑清楚，甚至放弃。

「因为我希望能进入这个行业的，都是真心喜欢这个行业的人。」

身处其中的所有人明显感觉到这个行业的培训陈出不穷。名气可以转换成流量和财富，也可以招致“割韭菜”的质疑。一段时间，网上一份关于网安培训机构评价的腾讯文档流传开来，用词非常直白，甚至粗暴。月神喜欢参与这种“热闹”，他乐呵呵的把自己的名字标注上去，然后写道「没事，我是月神，大家畅所欲言」，末了似乎没过瘾，继续补充「没人喷我自己来吧，只会点业务逻辑漏洞，到处嘚瑟。」

以下，是月神讲述他第一次开办培训后的心得感受。

Part 1

刚开始办这个培训的时候，你们还老是担心我的定价太高，报名的人不多。你看，事实打脸了吧。哈哈～

我对自己挺有自信的，先不说我的成绩和名气在这里，只说这个课程内容，我也能保证这是在外面绝对看不到。反正有人来问我，我和别的老师的课程哪个好，我都是给他们推荐别的老师的课程，我觉得能问我这种问题的没什么眼光，不适合做我的学员～

第一期培训开得挺圆满的，我也挺开心。每次原定1个小时的课程，结果大家都不愿意下课，我们的课程进度就快了好多。有些完全0基础的同学也回本了，有些同学挖到了src排名，也有些同学说学习后对代码审计和ai也同样适用，因为逻辑是通用的。大家切实从这个课程中受益，我觉得就值了。

Part 2

第二期我们的课程在原来的基础上又升级了。第一期核心的内容会保留，然后增加三部分的内容。

期待已久的“游戏安全”课程来了

游戏漏洞挖掘是一个新赛道，有人问我，是不是我把游戏都挖光了所以出来讲手游漏洞挖掘？

了解我的白帽子都知道，我这个人很懒，平时没事就喜欢躺着看电影解说，挖掘游戏漏洞完全是为了锻炼思路，我喜欢那种边玩边挖洞的过程，不枯燥。所以在拿到TSRC年终奖证明自己“宝刀未老”后，就没怎么挖游戏漏洞了，继续躺平。

游戏漏洞对于SRC漏洞挖掘来说是一个巨大的缺口，目前很多厂商都有游戏业务，但是能挖掘游戏漏洞的人寥寥无几，更别提能挖到很多漏洞了，所以目前市场上，游戏漏洞竞争没有那么激烈。在第一期培训结尾，我给学员讲了2节课，第1节是工具如何使用，第2节是挖掘漏洞的思路。

这是学员挖掘tsrc游戏漏洞的一小部分截图，所以我打算在第二期将游戏部分进行一个深入讲解。

而且挖游戏漏洞不需要很深的基础知识，工具很简单，我们挖掘的是业务逻辑漏洞，主要靠思路，去找他业务逻辑上面的错误和危害点。

也不需要会逆向、二进制基础，因为我也不会，但是我依然可以吊打国内各大手游厂商，还是那句话，思路才是最重要的。

新增大招——“内存安全”

去年我发现很多聊天软件的聊天记录都可以进行伪造，在这个基础上，又发现很多聊天软件可以越权发消息（把自己的身份改为任意人的身份），随着不断的深入测试我发现对于http以外的协议居然有如此多简单到离谱的漏洞。

为什么十几年来，这么简单的漏洞可以存在这么久？我想了一下，应该是由于传统测试都是使用抓包工具进行测试，而抓到的包无非就是2种，HTTP和websocket包，对于抓不到包的功能，好像大家都没有方法进行测试了。在这个想法的基础上，我决定对各个厂商的app重新来一次检测，检测后惊呆了我，居然全是这种最简单的漏洞，越权使用别人的钱包、越权开启直播、越权发消息、越权踢人。

这些漏洞真的使我震惊了，原来在这些公司内部，也是只针对http的接口做安全测试，对其他协议的接口完全没做过测试，所以我觉得，也许这次真的会开启一个网络安全的新时代，网安从业人员不再是抓包修改参数进行测试！！！

也有人可能会想，等以后技术公开了不用花钱也能学到。这当然可以，只是等技术公开可能一年后了，到时漏洞已经被这些报名课程的学员刷的比较干净了，对于不挖掘SRC漏洞的同学其实可以等以后公开的那一天，并不会有什么影响。

第二期课程彩蛋放送

我会邀请7个头部白帽大佬做不同方向的专题分享，作为彩蛋送给我们的学员。大家应该知道，平时要听他们的专题分享有多难，但是我们课程的学员还可以和这些大佬互动答疑。简单透露一个，这期课程会请到一位大佬，给大家分享AI运用与Bypass思路。相信一定会帮助大家开阔视野，打开思路。

我们的课程是可以终生反复学习的，所以第一期报名的学员真的太赚了，不仅早学早挖洞，还相当于我会一直免费帮他更新他的“子弹库”。

第二期课程手游安全这门课原本定价5888，内存安全的内容其实是我的“秘密武器”，目前市面上绝无仅有，学到就能赚，价值很难估算。但我们最终还是决定，打包第一期漏洞挖掘实战课一起送给大家，四大板块的课程（漏洞挖掘实战课&手游安全&内存安全&Top白帽专题分享）打包价8888，开课前享受早鸟价7888，并且三人成团7288。强烈建议大家提前报名，提前领取课前资料包预习，说不定能提前挖到几个洞，然后还能参与我们开课前的课前分享会。

最近我其实也听到很多唱衰网安行业的说法，我个人的感觉是进入行业的人越来越多，而行业的确是不景气，新增的app很少，更新进度也变慢导致了漏洞越来越少。我觉得还是要有自己独特的技术，虽然大家都说挖洞变难了，但是你看大佬们的收入还是没受影响，受影响的始终是技术不达标的，所以提升自己实力才能不被淘汰。

所以，大家和我一起见证这个新的时代吧，就像我们刚学会抓包时一样，我们一起把新漏洞挖掘一点点完善，相信以后关于新技术漏洞挖掘也可以有很多特殊的挖掘思路。

课程导师

主讲师——月神

● 曾经在某上市公司负责手游安全，百万期权，持续两年外部外挂风险为0个。

● 挖掘SRC共计获得漏洞奖金百万RMB

● 15年手游漏洞挖掘经验、7年业务逻辑漏洞挖掘经验

● 连续6年获得陌陌SRC年榜第一

● 2019-2020年饿了么SRC年榜第一

● 2019年美团SRC年榜第四

● 马蜂窝SRC总榜第一

● 2020年i春秋巡回赛第一名

● 2020年双十一保卫战军长

● 2021年携程SRC年榜第二

● 2022年腾讯SRC狙洞精英

课程介绍

一、本课程面向所有对网络安全有兴趣的群体，0基础，或者在公司上班，懂技术但是不知道该如何挖掘SRC漏洞，有思路，但是不懂业务逻辑。

二、本课程主要以业务逻辑漏洞挖掘为主、游戏安全为辅，课程会从0开始循序渐进，让每一个想进入这个行业的人都能轻松入行。

三、除传统测试外，本次会介绍内存的测试方式，这部分可能会改变网络安全现状，颠覆认知。对于基础依然是无要求。（让未来的安全从业者测试不在局限于HTTP协议）

课程特色

带领网安从业者进入下一个漏洞挖掘时代，对于我们以前束手无策的软件轻松可以挖掘出大量漏洞，并且还会对手游安全进行讲解,带大家深入了解手游漏洞。

课程大纲

课程福利

• 一次付费，终身听课；（本次报名后面开新SRC课都可以免费跟学）
• 部分商家平台的测试账号，特权账号让你挖掘漏洞更简单；
• 手游漏洞靶场，复现游戏漏洞；
• 1V1单独答疑：从报名开始每个学员的问题都会讲解；
• 根据作业完成度赠送SRC周边礼品：课后作业，部分课程会布置作业；
• 游戏人物内存ID共享：知道ID后可以更快的定位游戏漏洞；
• 工作推荐：公司招聘可获得内推资格，让你快人一等。

开课时间

开始时间预计是7月20日，有可能提前开课；

1、  每周预计三节课线上直播课，晚上8-10点，没赶上可以看录播；

2、  录播支持永久可回放。

报名咨询

课程原价8888

7月20日前限时优惠价7888

三人成团7288

报名链接：https://live.freebuf.com/detail/b6fb228de219f6abab0082ddaa0df244

课程详情可加助教咨询

并领取试听课，备注：月神课程

· FreeBuf知识大陆APP ·

苹果用户至App Store下载

安卓用户各大应用商城均可下载

如有问题请联系vivi微信：

Erfubreef121