本申请公开了一种漏洞挖掘的方法和装置，漏洞挖掘装置先获取终端设备上的应用程序通过云端服务器向IoT设备发送的流量信息；然后基于所述流量信息，对所述IoT设备上的客户端程序进行模糊测试；最后监听所述模糊测试中的异常，确定所述IoT设备的漏洞。可见，通过本申请实施例提供的方法，提供了反向(即服务端到客户端)的模糊测试，采用黑盒的方式让测试目标的适用性更为广泛，并且利用透明代理的技术进行流量中间人劫持，通过劫持云端服务器和IoT设备的通信链路，能够在例如消息队列通信等模式下挖掘IoT设备侧客户端程序所接收消息中的漏洞，提高IoT设备和云端服务器通信场景中的安全性。