一、写在前面：一次被插件点燃的学习之路

我第一次了解到 key 神是在 2022 年，那时我刚刚入门，开始尝试进行 SRC 漏洞挖掘。也是在那个时候，我接触到了他开发的著名插件 —— HaE。凭借这个插件，我在初期挖洞的过程中捡到了不少“意想不到”的漏洞。

记得当时我在 key 神原有的规则基础上，自行新增了一条针对地图 API 的匹配规则，结果一举挖出了一个对我当时来说意义重大、收益颇丰的漏洞。从那一刻起，我就成了 key 神的忠实粉丝。

时间来到 2025 年 5 月 8 日，我有幸受 key 神邀请，提前内测他正在开发的一款模糊测试 Burp CaA2.0（github：https://github.com/gh0stkey/CaA）。在使用插件的过程中，我阅读了 key 神在 2018 年和 2019 年分别发表的两篇经典文章：

• 《我的 Web 应用安全模糊测试之路》
• 《WebFuzzing 方法和漏洞案例总结》

这两篇文章不仅为我打开了模糊测试思维的大门，也促使我系统地回顾和研读了 key 神过去多年的博客内容。让我震撼的是——许多我们在 2023、2024 年才逐渐熟知的漏洞挖掘思路，key 神早在 2017-2018 年的文章中就已经提出，并辅以完整的案例分析。

正是出于这种敬佩和启发，我萌生了一个念头：想做一个小项目，专门推荐那些真正值得长期关注的白帽大神博客。我希望通过这个系列，能帮助更多像我一样起步阶段的安全从业者，减少信息差，也能更深刻地理解那些走在技术前沿的大佬，是如何一步步成长、思考与积累的。

这既是一次个人向技术致敬的记录，也是一份想要与同行分享的路线图。

二、博主简介：从插件到思维的传火者

在信息安全领域，有些工具以简洁高效闻名，有些人则凭一己之力打造出圈内神作。今天要推荐的这位技术博主就是 HaE 插件 及CaA插件的作者，江湖人称 —— key 神。

他的个人博客地址是：https://gh0st.cn/

key 神是一位极具实战经验的白帽黑客，也是一位热衷于开发效率工具的插件作者。他最知名的作品是 HaE（Highlight and Extract）插件，被广泛应用于 Burp Suite 中的信息提取与识别场景，是无数白帽的“视觉外挂”。同时，我相信他最近放出的CaA2.0依然能够在白帽黑客挖洞的未来，成为人人必备的插件。

除了插件，他还是一位重视“流程效率”、“实战复盘”、“漏洞细节挖掘”的实战派博主。他的博客并非更新频繁，但每篇都是干货，风格简洁、直击重点、充满经验主义的智慧。

三、📚 博客亮点内容推荐

1. 实战漏洞技巧

2017年

（1）鸡肋点搭配ClickJacking攻击-获取管理员权限

https://gh0st.cn/archives/2017-12-20/1

2018年

（2）OAuth2.0认证缺陷-第三方帐号快捷登录授权劫持漏洞

https://gh0st.cn/archives/2018-02-12/1

（3）读取型CSRF-需要交互的内容劫持

https://gh0st.cn/archives/2018-03-22/1 

（4）二维码登陆的常见缺陷剖析

https://gh0st.cn/archives/2018-04-08/1 

（5）Web安全测试学习手册-业务逻辑测试

https://gh0st.cn/archives/2018-04-18/1 

（6）CSRF之你登陆我的账号#业务逻辑组合拳劫持你的权限

https://gh0st.cn/archives/2018-04-28/1 

（7）密码重置思路-小密圈的一道题

https://gh0st.cn/archives/2018-05-05/1 

（8）记一次对某企业的渗透测试实战

https://gh0st.cn/archives/2018-06-20/1 

（9）我的Web应用安全模糊测试之路

https://gh0st.cn/archives/2018-07-25/1 

（10）GET请求Referer限制绕过总结

https://gh0st.cn/archives/2018-08-01/1 

（11）组合拳出击-Self型XSS变废为宝

https://gh0st.cn/archives/2018-08-28/1 

（12）浅析PDF事件导致的安全漏洞

https://gh0st.cn/archives/2018-11-14/2 

（13）一探短文件名

https://gh0st.cn/archives/2018-11-14/1 

（14）iOS URL Schemes与漏洞的碰撞组合

https://gh0st.cn/archives/2018-12-08/1

2019年

（15）WebFuzzing方法和漏洞案例总结

https://gh0st.cn/archives/2019-11-11/1

（16）浅谈WebSocket跨域劫持漏洞(CSWSH)

https://gh0st.cn/archives/2019-03-20/1

2020年

（17）利用SourceMap还原网站原始代码(前端)

https://gh0st.cn/archives/2020-01-08/2

（18）[XSSI]动态JS劫持用户信息

https://gh0st.cn/archives/2020-01-08/3

（19）Web层面上的那些拒绝服务攻击(DoS)

https://gh0st.cn/archives/2020-06-22/1

当然这里知识key神博客中的一小部分，对于其他部分感兴趣的师傅可以直接访问key神的博客：https://gh0st.cn/

四、🧠 为什么这个博客值得常读？

✅ 技术扎实，贴近实战

不是纸上谈兵，每一篇都来自真实案例的复盘与思考。

✅ 插件开发思维引人深思

教你不仅做“会用工具的人”，更成为“造工具的人”。

✅ 文字不多，信息密度极高

阅读成本低，回报极高，适合收藏后反复研读。

✅ 技术风格务实直接

没有“术语堆砌”或“套路化废话”，句句击中技术要点。

🌐 博客信息

• 📍 博客地址：https://gh0st.cn/
• 🧩 key神Github地址：https://github.com/gh0stkey
• 📆 更新频率：不定期，但每次都是精品

✍️ 地图大师的话

在我眼中，key 神的博客不仅仅是技术输出，更像是一个“个人武器库及个人研究成果”的公开版本。他的文章让我意识到，工具不只是用来提效，更是思维的一种延伸。我们学习的不仅是技巧，更是他那种“把复杂问题拆解成插件思维”的能力。

如果你也希望成为那种“动手能力强、技术视野开阔”的白帽子，那么——

📌 这个博客，必须读。

https://gh0st.cn/

原文始发于微信公众号（地图大师的漏洞追踪指南）：白帽黑客必读博客精选之 HaE及CaA 作者 key 神的个人博客推荐