@曲子龙:你个搞安全的能有什么成本?

观点 作者:有料 2015-08-03 14:17:02
我把文章取这个标题,主要原因是我前段时间偶然读到的《你个做设计的能有什么成本?》有感,停下来一个月的时间,睡觉、见朋友、顺便和小伙伴们做一些有意思的工具,感悟了很多事情,也想清楚了很多,于是决定写点什么出来,正巧看了这个标题忽然有感,于是就有了今天这个文章,成本的定义是什么?搞安全的成本在哪? 如何定义成本? 不只是设计,很多在互联网技能类相关的朋友,我想都遇到这个问题,大部分的人认为看的到的实物就是有成本的,而通过互联网工具而产生的就没有成本,或者成本很小微乎其微。于是提供一个服务器就有了成本,而为服务器程序找漏洞就被认为是没有成本的。 可是做为安全研究者,我们要测试一个网站的时候需要付出什么呢? 搞安全的成本在哪? 我们要用扫描器先进行扫描、进行人工挖掘、需要从注册、到业务逻辑、到支付、到数据。。。我们要熟悉网站整个流程,我们要用几个甚至十几个小时去研究这些事。 这就不全部吗?当然不是,我们不但要发现漏洞,很多的时候我们还要与研发对接解释这个漏洞,或者提供漏洞解决方案,实在不行还得撸起袖子上,干点研发要干的活,最后测试完毕撰写报告,整个流程若是一个人做,基本干完活就成狗了。。 我们生来就会这些技能吗? 当然不是,我问很多网络尖刀的小伙子,他们要么是初中、或者是高中就开始学习搞安全,所用于学习的时间也基本都是用“逃课”、“逃寝”的方式换来的,最主要的是就是我之前提及过的那句,基本上没有哪个搞安全的,是因为“你妈逼你当你黑客!”而开始搞安全的,大家都是从家人的反对、不理解开始。 我经常喜欢半夜发测试红包,抢的最多的群体基本都是搞安全的,然后早上醒来发现他们也醒了,好像搞安全的就不用睡觉一样,基本平均大家的休息时间也就4-6个小时左右,其他的生活时间大部分都被研究漏洞而占用。 从13、4岁开始,一搞可能就是6-7年,终于得了小小的一技之长,可以挖的出“有价值的漏洞”了,然后行业是什么样的? 在乌云出现之前,你挖到了漏洞都不知道能干嘛? 乌云的出现,让白帽子有了一个成长和学习交流的根据地,大家交流技术的同时,乌云与厂商建立联系,让漏洞开始变得有价值。 而在TSRC建立之前,你挖到了漏洞也很少有人来埋单! TSRC的出现,让各厂商SRC如同雨后春笋般出现,白帽子从积分奖励到获得现金支持,加上互联网漏洞频发多事之年,让安全爱好者渐渐走幕后走到台前,被企业、厂商逐渐认可。 于是才有了今天的画面,我们说回我们文章的主题,你个搞安全的能有什么成本? 搞安全的成本就在于我测试漏洞所耗时的时间成本、多年来学习技术的成本、放弃青春学习代码的成本、积累经验搭建测试工具的成本。。。。 但这一切在大部分人眼里,可能就变成了: 找到了几个URL、截了几个图、花了点时间写了个PDF亦或者DOC。 设计师也好、安全爱好者也罢、其实靠脑力工作的人,他的成本就是他的智慧、他的时间,这些都是他最宝贵的财富,而这些财富原本是可以与实物成本等同的,但由于人的思维观念,往往就变的不公起来。 我写这篇文章,别无他意,只想解释一些好解释又不好解释的事情,为用脑力工作的朋友们,正个名! 我们不是没有成本,而是我们的成本没被得到应有的认同! 谨以此文,代表网络尖刀团队,向坚守底线的正义白帽子们,致敬! 番外 分享不易,转载请注明 作者:曲子龙,来自网络尖刀(公众号mcbang_com) 后天晚上(8月5日)19:00 我在爱糖咖啡开启了我们的首次公开课,由网络尖刀联合创始人凌风,为创业伙伴们带来关于《为初创团队造一套标准的安全解决方案》欢迎成都的技术爱好者、研发牛们,一起交流,本次沙龙免费,无任何广告植入,安慰费非必选项,感觉对自己有帮助的,可以自由打赏。 参与活动可以通过下面的方式进行活动报名,活动报名表单由“麦客CRM”驱动。 <iframe style="width: 100%; border: none; overflow: auto;" src="http://ijiandao.mikecrm.com/f.php?t=9jHkmA" width="300" height="600" frameborder="0"></iframe>

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接