@曲子龙：你个搞安全的能有什么成本？

我把文章取这个标题，主要原因是我前段时间偶然读到的《你个做设计的能有什么成本？》有感，停下来一个月的时间，睡觉、见朋友、顺便和小伙伴们做一些有意思的工具，感悟了很多事情，也想清楚了很多，于是决定写点什么出来，正巧看了这个标题忽然有感，于是就有了今天这个文章，成本的定义是什么？搞安全的成本在哪？ 如何定义成本？ 不只是设计，很多在互联网技能类相关的朋友，我想都遇到这个问题，大部分的人认为看的到的实物就是有成本的，而通过互联网工具而产生的就没有成本，或者成本很小微乎其微。于是提供一个服务器就有了成本，而为服务器程序找漏洞就被认为是没有成本的。 可是做为安全研究者，我们要测试一个网站的时候需要付出什么呢？ 搞安全的成本在哪？ 我们要用扫描器先进行扫描、进行人工挖掘、需要从注册、到业务逻辑、到支付、到数据。。。我们要熟悉网站整个流程，我们要用几个甚至十几个小时去研究这些事。 这就不全部吗？当然不是，我们不但要发现漏洞，很多的时候我们还要与研发对接解释这个漏洞，或者提供漏洞解决方案，实在不行还得撸起袖子上，干点研发要干的活，最后测试完毕撰写报告，整个流程若是一个人做，基本干完活就成狗了。。 我们生来就会这些技能吗？ 当然不是，我问很多网络尖刀的小伙子，他们要么是初中、或者是高中就开始学习搞安全，所用于学习的时间也基本都是用“逃课”、“逃寝”的方式换来的，最主要的是就是我之前提及过的那句，基本上没有哪个搞安全的，是因为“你妈逼你当你黑客！”而开始搞安全的，大家都是从家人的反对、不理解开始。 我经常喜欢半夜发测试红包，抢的最多的群体基本都是搞安全的，然后早上醒来发现他们也醒了，好像搞安全的就不用睡觉一样，基本平均大家的休息时间也就4-6个小时左右，其他的生活时间大部分都被研究漏洞而占用。 从13、4岁开始，一搞可能就是6-7年，终于得了小小的一技之长，可以挖的出“有价值的漏洞”了，然后行业是什么样的？ 在乌云出现之前，你挖到了漏洞都不知道能干嘛？ 乌云的出现，让白帽子有了一个成长和学习交流的根据地，大家交流技术的同时，乌云与厂商建立联系，让漏洞开始变得有价值。 而在TSRC建立之前，你挖到了漏洞也很少有人来埋单！ TSRC的出现，让各厂商SRC如同雨后春笋般出现，白帽子从积分奖励到获得现金支持，加上互联网漏洞频发多事之年，让安全爱好者渐渐走幕后走到台前，被企业、厂商逐渐认可。 于是才有了今天的画面，我们说回我们文章的主题，你个搞安全的能有什么成本？ 搞安全的成本就在于我测试漏洞所耗时的时间成本、多年来学习技术的成本、放弃青春学习代码的成本、积累经验搭建测试工具的成本。。。。 但这一切在大部分人眼里，可能就变成了： 找到了几个URL、截了几个图、花了点时间写了个PDF亦或者DOC。 设计师也好、安全爱好者也罢、其实靠脑力工作的人，他的成本就是他的智慧、他的时间，这些都是他最宝贵的财富，而这些财富原本是可以与实物成本等同的，但由于人的思维观念，往往就变的不公起来。 我写这篇文章，别无他意，只想解释一些好解释又不好解释的事情，为用脑力工作的朋友们，正个名！ 我们不是没有成本，而是我们的成本没被得到应有的认同！ 谨以此文，代表网络尖刀团队，向坚守底线的正义白帽子们，致敬！ 番外 分享不易，转载请注明 作者：曲子龙，来自网络尖刀（公众号mcbang_com） 后天晚上(8月5日)19：00 我在爱糖咖啡开启了我们的首次公开课，由网络尖刀联合创始人凌风，为创业伙伴们带来关于《为初创团队造一套标准的安全解决方案》欢迎成都的技术爱好者、研发牛们，一起交流，本次沙龙免费，无任何广告植入，安慰费非必选项，感觉对自己有帮助的，可以自由打赏。 参与活动可以通过下面的方式进行活动报名，活动报名表单由“麦客CRM”驱动。 <iframe style="width: 100%; border: none; overflow: auto;" src="http://ijiandao.mikecrm.com/f.php?t=9jHkmA" width="300" height="600" frameborder="0"></iframe>

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/