【T00ls十年有我】年尽三旬,事企单位的道很难走
离不开吐司,更离不开各位吐司的小伙伴,感谢有你们发的各种帖子,希望有跟我有同样经历或者类似困境的人,在盲人摸象的过程中,终有一日,把象给摸全了!
记不得哪位大佬说过,我们应该感谢多年前的各位搞黑产的元老,没有他们,安全这个行业不会在近几年,如此受到各方重视以至于达到飞速发展,可能很久以前你技术再精通都没法找到体面的工作,可是现在只要你有一技之长,大小公司的offer也算是伸手就来吧。
回归正题,聊聊现状,工作了两年整,尽管单位领导一口一个安全,多半离不开业务,谈到业务就涉及到了认证,谈到认证也就想到了等保测试、风评、符合性评测、运营商检查等等等,简单点来说就是标准/基线检查,所谓的娱乐圈?。。
说说自己,90后的先驱者,读了个211本科和硕士,本科专业是信息安全(说道这我自己都想笑,后文详谈),研究生也就无所谓专业了,读了这么多年说才明白,低能的高校远远不如实干的普本。
读书这些年也算是接触过真正的安全行业吧,早些年读本科的时候接触过CTF还参加过360举办的线下比赛(有多早呢?当年这东西都不叫CTF)。可是后来就完全跑偏了!学JAVA/C#开发,到后来的安卓,后来读研期间差点去学大数据分析,结果赶上学校和湾湾合作出了交流了一年,学了一年密码学!没错!是真正的密码学AES,RSA这些基础的,涉及到更深的双限行配对、Huffman、ORACLE证明,乃至后面真正的去写一个密码学协议方案,说真的整个过程是痛苦的、毫无希望的,因为我当初选择了这个导师完全是自己无知没有方向,并且还跟着大部分交流生随大流。。当然那段时间也挺过来了,后来书写的文章也发表到《计算机工程与应用》(在真大牛眼里也是很水的期刊罢了。),论文主题赶上导师自己都说这东西没有个10年没人会去研究,secure deduplication via certificateless signature ,这里有真大牛就不要喷我的论文真实水平了。
其实我说这么多读书过往,只是为了衬托下面的一件事。在说这件事之前,我也经常彻夜年面的时候回想,当初如果没有为了虚名去报考什么211,为了虚名竞选学生会部长,为了虚名通过各种小手段提高绩点拿到保研资格,不为虚名觉得去湾湾学些高大上的理论研究,就踏踏实实的学学自己感兴趣的,接上当初参加的CTF的路,现在自己是不是也会成为脚本小子眼里的大牛,混迹真正的安全圈呢?
论文被衬托的事情说来也简单,赶上16年找工作也算是海投简历,面试了当初刚被360收购的网康,聊了很多基础的TCP协议,py编程,也聊到了基础的WEB漏洞,当初我自己也觉得我没有各方面真的都是直知皮毛表现平平,随后聊到密码学,正当我觉得终于能说点自己了解的东西了,面试官说了句,你能破解RC4密文吗?说真的,当时我没有反应过来,我当时应该是听清了他的话,但是不敢相信他会这么问我,估计他看我吃惊的表情,笑了一下说,现在很多病毒壳都是RC4加密的,你能破解出来吗? 时间过去了两年,我可能已经忘记当时自己的感受了,现在回想起来,我只想问我台湾的导师,我研究生大学专门学习密码学的博士导师,您们能破解RC4密码吗?我不希望听到答复,也不希望把这些事情说给学弟学妹听。当你选择追求你认为对你将来发展有利所谓高大上的东西的时候,就已经没法走回头路了,你的心思已经飘了。说句简单的话,自己跟那种师范高校被天天豪车包养的妹子有什么本质区别吗?
接着上面找工作的经历,说句实在的,以我的水平也就能糊弄一下事企单位的领导了,学历凑合还高过所谓的研究。聊聊吐司,是因为自己花了800块钱拜师,小师傅提起了吐司(为什么是小师傅?因为我真的比他大太多了。),当初做项目挖了一个链家的存储跨站提交到了吐司,才有了这个帐号。说实话看了很多网站论坛大部分都是一些基本漏洞的概述,抓不到更摸不透。真没几个有来个全套日站,加内网漫游域渗透的。可是看再多的帖子这些都不是自己的。这话打心底里,是既末落又不甘心。师傅们说多动手多实践,自己去提权完整走一边,才会有自己的体会。道理大家都懂,可实践起来困难重重。说句题外话,国家无论是在行业走向还是从政策角度出发,越来越倾向于把安全行业往合规行业发展,难听的说上层永远都希望安全防护立竿见影,总是缺失技术的发展和专研,我只能说我了解的,当初去GXB开会讨论WEBVIEW的APP克隆攻击,某cert、某通院去现场开会的人可能连webview是什么都不知道。我自然知道坛子里有圈内的人,这里我别无他意,我自然也知道两大机构人才辈出技术超群,可是也不少像我这样的咸鱼混迹于此,说句冷酷无情的话,虽然不能说国家在白养类似于我这样角色的一帮人,但是勉强身为一个安全行业的工作者,我,个人感到深深的无奈、自卑、自责。这可能也算应验了国人对不能立马变成现金的投入不感兴趣,可能这话更适合与国企、事业单位,绩效考核、年终任务可能要比私企赚钱说起来都繁重。
说了这么多,大家肯定会觉得,我无非就是在抱怨体制问题,抱怨自己水平太菜没有真材实料但是却没有付出努力在这里怨天尤人。我深知自己的缺陷和不足,甚至我一个接近30的人,看书看教程能看到下半夜2点,导致白天上班经常性迟到了;单位没有合适的人交流,我浪迹各种QQ群把自己当萌新去装疯卖傻。两年了,在事业单位,做合规测试,很心酸,很辛苦。以前的同事有去360的,也有去白帽汇、深信服的,可是想来想去自己为什么没有离开?可能在哪都一样吧,去了360去个厂商我也只是当一个普普通通的一线人员,就算有二线人员的支持,可是那些东西就像坛子各位发的渗透实战贴一样,没有一样的东西是自己的。说句大言不惭的话,还是想自学成才吧,再拼个2年,没有长进的话就放弃了,人生嘛,不见得所有事情都会以成功收尾,生活也不是理所应当会越过越好。
说了这么多,也算是一个快步入中年的安全行业的混子的深夜告白吧!离不开吐司,更离不开各位吐司的小伙伴,感谢有你们发的各种帖子,希望有跟我有同样经历或者类似困境的人,在盲人摸象的过程中,终有一日,把象给摸全了!
共勉...
回归正题,聊聊现状,工作了两年整,尽管单位领导一口一个安全,多半离不开业务,谈到业务就涉及到了认证,谈到认证也就想到了等保测试、风评、符合性评测、运营商检查等等等,简单点来说就是标准/基线检查,所谓的娱乐圈?。。
说说自己,90后的先驱者,读了个211本科和硕士,本科专业是信息安全(说道这我自己都想笑,后文详谈),研究生也就无所谓专业了,读了这么多年说才明白,低能的高校远远不如实干的普本。
读书这些年也算是接触过真正的安全行业吧,早些年读本科的时候接触过CTF还参加过360举办的线下比赛(有多早呢?当年这东西都不叫CTF)。可是后来就完全跑偏了!学JAVA/C#开发,到后来的安卓,后来读研期间差点去学大数据分析,结果赶上学校和湾湾合作出了交流了一年,学了一年密码学!没错!是真正的密码学AES,RSA这些基础的,涉及到更深的双限行配对、Huffman、ORACLE证明,乃至后面真正的去写一个密码学协议方案,说真的整个过程是痛苦的、毫无希望的,因为我当初选择了这个导师完全是自己无知没有方向,并且还跟着大部分交流生随大流。。当然那段时间也挺过来了,后来书写的文章也发表到《计算机工程与应用》(在真大牛眼里也是很水的期刊罢了。),论文主题赶上导师自己都说这东西没有个10年没人会去研究,secure deduplication via certificateless signature ,这里有真大牛就不要喷我的论文真实水平了。
其实我说这么多读书过往,只是为了衬托下面的一件事。在说这件事之前,我也经常彻夜年面的时候回想,当初如果没有为了虚名去报考什么211,为了虚名竞选学生会部长,为了虚名通过各种小手段提高绩点拿到保研资格,不为虚名觉得去湾湾学些高大上的理论研究,就踏踏实实的学学自己感兴趣的,接上当初参加的CTF的路,现在自己是不是也会成为脚本小子眼里的大牛,混迹真正的安全圈呢?
论文被衬托的事情说来也简单,赶上16年找工作也算是海投简历,面试了当初刚被360收购的网康,聊了很多基础的TCP协议,py编程,也聊到了基础的WEB漏洞,当初我自己也觉得我没有各方面真的都是直知皮毛表现平平,随后聊到密码学,正当我觉得终于能说点自己了解的东西了,面试官说了句,你能破解RC4密文吗?说真的,当时我没有反应过来,我当时应该是听清了他的话,但是不敢相信他会这么问我,估计他看我吃惊的表情,笑了一下说,现在很多病毒壳都是RC4加密的,你能破解出来吗? 时间过去了两年,我可能已经忘记当时自己的感受了,现在回想起来,我只想问我台湾的导师,我研究生大学专门学习密码学的博士导师,您们能破解RC4密码吗?我不希望听到答复,也不希望把这些事情说给学弟学妹听。当你选择追求你认为对你将来发展有利所谓高大上的东西的时候,就已经没法走回头路了,你的心思已经飘了。说句简单的话,自己跟那种师范高校被天天豪车包养的妹子有什么本质区别吗?
接着上面找工作的经历,说句实在的,以我的水平也就能糊弄一下事企单位的领导了,学历凑合还高过所谓的研究。聊聊吐司,是因为自己花了800块钱拜师,小师傅提起了吐司(为什么是小师傅?因为我真的比他大太多了。),当初做项目挖了一个链家的存储跨站提交到了吐司,才有了这个帐号。说实话看了很多网站论坛大部分都是一些基本漏洞的概述,抓不到更摸不透。真没几个有来个全套日站,加内网漫游域渗透的。可是看再多的帖子这些都不是自己的。这话打心底里,是既末落又不甘心。师傅们说多动手多实践,自己去提权完整走一边,才会有自己的体会。道理大家都懂,可实践起来困难重重。说句题外话,国家无论是在行业走向还是从政策角度出发,越来越倾向于把安全行业往合规行业发展,难听的说上层永远都希望安全防护立竿见影,总是缺失技术的发展和专研,我只能说我了解的,当初去GXB开会讨论WEBVIEW的APP克隆攻击,某cert、某通院去现场开会的人可能连webview是什么都不知道。我自然知道坛子里有圈内的人,这里我别无他意,我自然也知道两大机构人才辈出技术超群,可是也不少像我这样的咸鱼混迹于此,说句冷酷无情的话,虽然不能说国家在白养类似于我这样角色的一帮人,但是勉强身为一个安全行业的工作者,我,个人感到深深的无奈、自卑、自责。这可能也算应验了国人对不能立马变成现金的投入不感兴趣,可能这话更适合与国企、事业单位,绩效考核、年终任务可能要比私企赚钱说起来都繁重。
说了这么多,大家肯定会觉得,我无非就是在抱怨体制问题,抱怨自己水平太菜没有真材实料但是却没有付出努力在这里怨天尤人。我深知自己的缺陷和不足,甚至我一个接近30的人,看书看教程能看到下半夜2点,导致白天上班经常性迟到了;单位没有合适的人交流,我浪迹各种QQ群把自己当萌新去装疯卖傻。两年了,在事业单位,做合规测试,很心酸,很辛苦。以前的同事有去360的,也有去白帽汇、深信服的,可是想来想去自己为什么没有离开?可能在哪都一样吧,去了360去个厂商我也只是当一个普普通通的一线人员,就算有二线人员的支持,可是那些东西就像坛子各位发的渗透实战贴一样,没有一样的东西是自己的。说句大言不惭的话,还是想自学成才吧,再拼个2年,没有长进的话就放弃了,人生嘛,不见得所有事情都会以成功收尾,生活也不是理所应当会越过越好。
说了这么多,也算是一个快步入中年的安全行业的混子的深夜告白吧!离不开吐司,更离不开各位吐司的小伙伴,感谢有你们发的各种帖子,希望有跟我有同样经历或者类似困境的人,在盲人摸象的过程中,终有一日,把象给摸全了!
共勉...
关于作者
评论48次
漫漫安全路,此生吐司相伴
积极一点,考研党还准备上个211的网络空间安全专业呢。
很激励啊....
哈哈,事业单位会慢慢改变的。
一起加油
积极一点。你这样让我这种大三马上面临大四的慌得一批
+1+1 1 1 1 1
其实我也想喷一下 某末流211信息安全 还不如专科培养,教个工具还讳莫如深
我有点懵,RC4不是没法逆么,面试官为啥这么问?
人生嘛,不见得所有事情都会以成功收尾,重要的是体验过程,我也是个大白菜,一块加油。
古人云,哀兵必胜,但说的是哀而愤,不是说哀怨...也有人说,如果你不能从工作中获得乐趣,那说明你选错了工作。我想,能把事情做成的,大致就是这样,一定要有强烈的自驱力,否则,还是给自己换个方向好。三十岁并不老,除非你本人认定自己老了。
这句让我感觉我现在的状态有问题:抱怨工作都是重复性的东西,没有长进
说句大言不惭的话,还是想自学成才吧,再拼个2年,没有长进的话就放弃了,人生嘛,不见得所有事情都会以成功收尾,生活也不是理所应当会越过越好 这一句让我内心很不安
兄弟,按照你的学历和你读书的脑袋,学东西不慢的,可以去找一下现在的各大知名安全研究室进去跟着大佬们学xi一下,体制内是安逸,但是也会废的。
我靠,深有体会啊。我今年研一,大数据方向,学校都是搞学术的气氛,说到实战和企业差不少,导师还说这是培养你们管理能力,以后不可能敲代码敲一辈子啊。。。说的以后从业现在也很纠结,父母让进国企,自己却有着一颗搞技术的心。
我现在的实验室也号称大数据安全,论干货,简直坑的一批...
脚本小子和高手得区别,我认为主要是编程得能力吧,很多脚本小子思路也是有得
漏洞利用编程真的简单,一般就几十、百行代码。 关键找不到洞
hack 的本意是 专研。try haRDE4
看完也无法做到感同身受~
@polinload 术业有专攻,不是说合规性方面怎么怎么样,而是很多事情要通过一种体xi化的东西传播。 从防护的角度来看的话,也需要一个体xi化的东西借鉴或指导,不能说光知道sql注入怎么防,面对一大堆应用服务器手足无措。
谢谢大佬的这番话。
@polinload 术业有专攻,不是说合规性方面怎么怎么样,而是很多事情要通过一种体xi化的东西传播。 从防护的角度来看的话,也需要一个体xi化的东西借鉴或指导,不能说光知道sql注入怎么防,面对一大堆应用服务器手足无措。
表示菜鸡没看懂表哥在说个什么..但是我知道如果你没有底层0day前,是接触不到真正的黑客的。
两年国家队,三年国企,一年银行,211本科通信类专业,看着陆羽,看着80sec长大,刚开始学安全也想着找师傅带,后来自己搭环境,自己做渗透,自己写webshell,为了单位的名气,自己从头学打ctf,写python,然后有一天发现,当初觉得自己怎么也学不会的东西,怎么这么简单。动起手来,学好google,其实hack也只是万千计算机学科中的一角,没有那么神秘
学xi学xi。。。