文章总结： 本文是作者对安全职业生涯的回顾与感悟。由业内大佬将常见接口术语误认作暗网黑话的插曲引发对行业脱节的焦虑。作者回顾了从早期黑客启蒙、CTF竞赛、安服实习到甲方安全建设及重回乙方的历程，展现了安全人从充满激情到陷入麻木与职业迷茫的心理变化，反映了行业内普遍存在的热情消退与成长焦虑。 综合评分： 59 文章分类： 实战经验,CTF,安全建设,渗透测试

img

回想起来，当年的这一批 id，现在还在从事着安全工作的也不知道还有几个了……

然后挖坟到师傅的知乎，泪崩了。

开始旋转

真正开始从事安全工作，是第一份安服实习，那是一个连 AWVS 都需要有师傅教的年代，也是真正开始安全学习的开始。

从最开始的安服，到跟进安全项目，再到第一届的护网，我很庆幸在这个阶段遇到了一批极大程度帮助了我的朋友们，能让我从一开始的小菜鸡能够一步一步的做到了一个踩到了门槛的安全人。

在这个阶段也遇到很多趣事，是在乙方的朋友可能会遇到的，比如实习生被当作 ”安全专家“ 去驻场，但是由于年纪看着就很小，被驻场公司的师傅”羞辱“：”你知道 linux ls 命令是干什么用的吗？“；比如周五的下午，我们的经理会带着我们去打打球（从那以后再也没那么正式完整的运动过了）；比如在我们的合租的出租屋，一帮朋友们可以聚在一起吃一顿火锅，喝着领导从地里挖出来的黄酒。

那时候快乐真的很简单，简单的转瞬即逝。

步入社会

离开实习后，我终于能够合格的使用 burp、熟练的启动 sqlmap 、在莫名的网络环境一顿 nmap 输出了，但是安服长期接触的都是陈年的架构技术，ASP、.NET 等还停留在脸上的时代的眼泪，已经不能满足这个阶段的好奇心了。我想要到一线的互联网厂商看看，安全到底是个什么样的。

由此，我开起了我的第一份正式工作，在甲方做一名安全建设的工程师。

我的职业生涯中总是遇到了很多好老师、好伙伴，我很感激，也很庆幸；在互联网公司我开始有机会正式的尝试 coding ，写一些能够作为交付的代码而不是安服只有自己用的起来的工具，开始学习语法，设计项目，做白盒和黑盒扫描器，解决业务问题；当然也有作为甲方 baba 的时候，爽爽的白嫖试用各种产品，提各种需求。

然而在甲方的时间越长，我越发现一些无力感：每天处理的最多的是逻辑漏洞、业务风险、薅羊毛、数据泄露。好似我实习阶段掌握的那些，逐步已经不够我在这个环境下使上力气了；再怎么做，由于业务的特殊属性，我还是没办法阻止数据的被窃；面对各种微服务的架构，单纯的看业务的 java crud 代码已经没有任何的意义，从防护的期望角度来讲，只能从db的底层查询做好设计和支持，才有可能做到每一条数据有据可查，然而在甲方推进这种恐怖的业务是十分困难的等等。。。

新的启程

甲方的旅程不能称之为一帆风顺，但也没有太多的磕磕绊绊；我好似到了一个海面风平浪静但海底波涛汹涌的海域，陈年的水手都知道，越是这样暴风雨前的宁静越是恐怖，于是，我听从了另一艘船的老水手，放弃了这艘远行了两年的船只，跳到了另一艘向着更远处驶去的小帆。

重回乙方让我真的能够接触到了更多的安全属性的一线世界：读 P牛 N 年前的代码，像是在听高中的老师重新回到了课堂给我上一课；看到了曾经在甲方白嫖试用的众多产品，到底是如何一行一行的代码积累成的；曾经黑色的防护盾，到底是怎样的逻辑将我曾经的脚本拦截在外的。

也是从这个阶段，我开始追求问题的本质。”细节决定成败”，每一行的代码追求询问解决了什么问题？一个漏洞形成的原因最关键的函数是什么？同时开始尝试着修补我那摇摇欲坠的计算机基础底座，开始尝试思考和研究我对安全的理解，自己去思考问题和解决问题的方法论。

还是这个时期，我也开始真正的逐渐接触开源社区，认识了更多的小伙伴，发现了更多有意思的思考和想法，这世界真大，原来还有这么多人在做着很多有意思的事情，很多我所不了解的事情。

五彩斑斓的世界就像是一个潘多拉的魔盒，打开了种种不可思议的东西，同时也带来了焦虑：就好像是仰着头爬山，到了一个小亭子后才发现，哇，山上面还有这么远。

路在何方

回想了这么多，就如 ctf 时期所说的，那些曾经认识的 id，已经逐步渐渐的淡出了消息的获取范围。我不知道直到今年，还在从事着安全行业的还有多少。仿佛都和那些历史一样，逐步的沉没在了长河中。

迄今为止，我依旧没有达到那些传说级人物的高度，我也不知道还能坚持多久。我还没有拿到曾经期望的认证，没有拿到一个令我满意的 cve，没有能够 hack 到像从小看到大的故事中，道哥直接关服务器的传说。

令人恐惧的是，随着时间的推移，慢慢的这些热情好像也无所谓了。

再也没有当年看到赛博忍者的反制 goby 文章时候的激动人心，也没了提交 src 等待通过的热情，偶尔拉下来一些cms 代码，跟进后发现的一些问题也没有了第一个通用型漏洞的那种成就。剩下的就只有，这是什么，这个东西能做什么，有什么用，结束。

麻木，只有重复的麻木，然后是期望更好的焦虑，期望寻求更强烈刺激的那种无力。搞得安全好像什么禁品上瘾的东西一样。

寻不到更强烈的刺激，又看不到山顶的路，看到的只有 “xxx 也开始卖课了”、”xxx 又要裁员了“、”xxx 离职上岸了“ ……好像最后的终点都是殊途同归。

回到故事的开头，我不知道这样的讲述能否让你感受到这个小插曲对我的震惊感；就好像压断骆驼的一跟稻草、抽垮整个积木的一根木棍，曾经的知识与信仰好似都是一些站不住脚的东西了，而你又无法改变这滚动的大齿轮。都这样了，就这样吧，还能怎样呢，算了吧。

到底是如何从 “如果活着是为了做安全” 变成了 “如果做安全只是为了活着”,  我想不明白，也不想明白了。

结个尾巴

又担心好多刚入行的小伙伴看到了我的态度被感染打击到了，所以还是来一个心灵鸡汤高兴的结尾。

也许暂时的沉默都是为了日后更好的遇见。

就像肖申克的救赎说的，希望是个好东西，也许是最好的，好东西是不会消亡的。

Hope is a good thing and maybe the best of things . And no good thing ever dies.

如果真感觉扛不住了，就看看上面 2019 年的时候，知乎截图里师傅说的第一个词是什么。

狗日子没完没了，但狗日子总会到头的。

every dog has his day.

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：艾拉醒来的四月 DVKunion DVKunion《我的安全前半生》