关于技术的纯粹
langu_xyz

这半年里,一直都在思考,安全是什么,黑客是什么,技术又是什么
为什么会想这些东西呢
在前边有篇随笔里记得说过挖过一段时间SRC,也就是现在很多人口中所谓的挖洞

1
Burp一开,见洞就插,遇URL就遍历

描述的有点夸张了,不过说实话,足够的时间加上足够的细心,这些总是会挖到的
这时候,会收到运营小姐姐的称赞,得到不菲的奖金,被称作“白帽子”“黑客”
说到这里,需要解释一下,不是说这种模式不好,在企业安全这是不可或缺的一环,也有真正厉害的师傅在用真本事
不过,这不是我想要的,在我看来,这并不能称之为“黑客”,所以我不再“挖洞”

在微信上偶然看到一篇文章,作者并不认识,但从字里行间可以看出作者是一个过来人,对于现在这个浮躁的圈子说的很中肯

1
2
3
4
5
6
7
8
第三代黑客
1、 挖洞
2、 挖洞
3、 挖洞
4、 缺少专业知识和系统化概念
5、 爱好混迹各种沙龙
6、 擅长斗图、getshell、各种互联网找洞。
7、 职业规划不明确,自身定位价值偏差

这是文中说的我们这代人,不可否认,大多数的确如此
代码是一个黑客最基本的技能,可又有几人能说自己是一个合格的程序员
这也是会思考上边那些东西的原因,对于自己,技术栈浅薄、通过这些行为的技术成长和时间不成正比,对于这个圈子,过于浮躁、过于追求名利

这里插一个小故事

tim 20171028155808

图片里是我的一个学弟,审计处某个CMS的漏洞,通过QQ告诉开发者,什么都没有索取,开发者请喝一杯咖啡就足够高兴
在我看来,这才是真正的黑客,技术且不论,单说这种对待技术的态度、对待金钱的态度是很珍贵的

对于此我自愧不如,到现在才真正的看透这一点

这里插一段上边文章中作者的建议

1
2
3
4
1、安全不只是挖洞,甚至挖洞在乙方的工作量都占不到一般,更遑论甲方
2、不要那么浮躁,静下心学些真正的安全技术
3、多写点东西总没错,安全本就是综合性的能力
4、进入安全圈,不是认识几个人,参加几次沙龙、提交几个漏洞、写过几篇挖洞或者工具利用的文章

这些建议在个人看来是很中肯的

本来在二十多天前就想写这篇随笔了,不过这段时间一是工作比较忙,更多的是还有一些地方没有想透,看到这篇文章的时候,好多地方写出了我所想的,遂打开电脑写下了这寥寥百字

现在的安全圈被许多大佬戏称为“娱乐圈”,事实上也确实是这个样子,圈外的人看到的总是那些所谓噱头的比赛、公众号、各种“黑客”字眼的文章,而恰恰这些东西的作者也是局外人,浮躁的局内人和他们一起就成了这个所谓的“安全圈”

并不是吃不到葡萄说葡萄酸,而是怀念以前的环境,更希望以后会重新变成以前的样子(不过随着国家的重视,各种心怀鬼胎的人涌入,注定会越来越浮躁)

在乌云笼罩的日子,一个帖子如果不能有绝对的干货,一定会被pass,一个漏洞提交,如果详细度不足以让审帖人员顺利复现,一定会被pass,厂商多久不修复,一定会被曝光,大家不为钱,不为名气,纯为技术,有几十个rank值是极大的荣幸,算是黑客乌托邦吧
这个乌托邦注定回不来了,我们可以做的也只能是构建一个小小的“世外桃源”,只为了那点技术的纯粹,享受技术的本身

==========================
好久没更新技术文章了,最近在研究浏览器挖掘领域,后边会更新一些学习笔记、漏洞分析
前路漫漫,匍匐前行

  • Post title:关于技术的纯粹
  • Post author:langu_xyz
  • Create time:2017-10-04 21:00:00
  • Post link:https://uxss.net/2017/10/04/关于技术的纯粹/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.