也想知道啊

首先得学会编程，其次会开发项目。最后挖掘漏洞是忽悠人的玩意。企业首先讲究收益，才会讲究安全。
很多人被某些个别别有用心的企业给忽悠了。互联网本身就是泡沫，安全更是泡沫。就像有人炒作抢劫能赚钱。实际上互联网法律不健全。到健全的时候，你就会发现安全跟抢劫差不多。抢劫只要懂得逃跑和找到合适的机会，而一个警察或者一个侦探需要学习很多年，研究犯罪动机，犯罪心理学等等。

孩子还是学习开发吧。大家都想转行，为何还有那么多人往这个坑跳？

不妨以安全为兴趣,开发为辅,去学习研究

应该以开发为主，安全为辅。安全是附加技能，没有也并无不可。

路线不同，个人对安全方面比较感兴趣

我不这么觉得，你看国内那么多家安全公司不是都红红火火的吗，开发和安全是两条路线

等存在银行的钱都被黑客偷光了，就会知道安全有多重要了。什么泡沫，忽悠的。说的这么像砖家说的，“最后挖掘漏洞是忽悠人的玩意”，挖掘漏洞所带来的商业价值，有些人也许做了一辈子的开发都还没弄明白是怎么回事。
IT行业中，每一个分支，都有它存在的必要性和相互依赖性。

大牛跟我说过，只有自己根据与别人不一样的思维才能开发出与别人不一样的 Fuzzer，才能找到别人发现不了的漏洞，开发也要学。

大牛的技能都是非常全面的，单单的开发和逆向只是其中一些部分，还有你看不到的能力（惊人的学习能力，惊人的自制力等等。。）

没必要讨论了。。
企业需要利益。先利益再安全是对的哈。
挖掘漏洞的价值，不就是偷鸡摸狗的事情嘛。。
如果你真的是国家队，也是偷鸡摸狗。

路过，同样想进入安全领域~~~~

不同意某楼说的安全是泡沫，前段时间参加GITC碰到道哥，他说前几年安全确实是收益少，因为毕竟应该是产品引导安全，不可能说是搞安全的比搞开发的还多，但现在移动，云，智能设备，物联网越来越普及，腾讯TSRC也说2015年开始可能会是智能设备爆发的关键阶段，道哥也说未来有一天黑客能轻松进你们家，控制你的汽车，到这个时候安全还会不重要？

楼主喜欢搞安全就努力去做，我记得我刚入门的时候先是天天泡在看雪看那些大牛的分析，把poc下下来自己调，不懂就问，后来我就经常自己写一些漏洞的程序，然后自己黑自己玩，再后来就慢慢能够自己调poc了，然后就开始在这个基础上自己写exploit，确实开发和安全相辅相成，我大学也是学计算机的，C有一定基础，现在也是在慢慢往web和移动端的漏洞分析与利用转型，我也是真心喜欢这个行当，慢慢去干

感谢你提供的思路，我想我还在 “把poc下下来自己调” 这个阶段，似乎你侧重的是分析，请问有涉猎挖掘这块吗？

光想着学挖掘漏洞肯定不行   漏洞也是程序员在编程期间的疏漏造成的，多编程，多经验，漏洞自然就好发现了，漏洞光不是凭什么工具一个一个的漫无目的的挖出来的，就像C++逆向反汇编那本书上坛主所说，需要一种sence，而这个sence是要靠经验决定的。

互联网企业大多数都是，先生存，再讲发展，黑客是一个随时会放木马在你网站上的定时炸弹，雇佣黑客是有风险的，游戏公司首选第一条规定就是不雇佣做个黑客的程序员和运维。因为谁也不知道你会不会把裤子脱走。我一向秉承编码是主道，安全是附加技能，可有可无。代码安全性难道只有黑客能发现？程序员就发现不了？哥，你把黑客想的太美好了
还有一肚子话要说的，不想说了
不过说道泡沫问题，那么周鸿祎如果不整天喷，谁会关注他们？企业专注于产品研发，用户专心于自己的需求。安全说白了就是在传播911事件即将发生蛊惑。很多人被蛊惑了，迷失了

web安全工程师在互联网企业的地位排名
开发>运维>安全

开发是产生效益的，安全是内耗的，有时候你还不知道他们给企业带来什么，不会开发的黑客还敢称自己是黑客的人，我只对他们笑呵呵。优秀的程序员学习代码审计难道不比一个连什么是TCP都不懂的人接受能力快？有些人懂但是不说他们懂，你就认为他们真的不懂了。

你感觉他们红红火火，但是他们是怎么操作的？他们是怎么盈利的？他们雇佣了多少黑客？他们非技术人员和技术人员比例多少？他们真正招聘的黑客又有多少？
一个连代码逻辑都没有搞明白的人，整天说安全，我感觉很可悲
所以我说要会开发。好吧，我搞开发的

首先我只是打了个比方，我从来没把黑客想的太美好，其次我也从来没说过安全比开发重要，我说的是产品引导安全，只有产品上线了，才有必要去做安全，我只是表达安全是不能忽视的一部分，我觉得你可能看错了我回复的意思，我的意思是说，网络安全是现在这个互联网时代重要的一部分，并不是在企业中，安全是一个比开发还重要的部分，也希望你能冷静点看我的帖子。
至于你说的什么只有黑客能找到漏洞，我觉得在各自行业各有分工，如果你要所有搞开发的，在写了上百万行代码的之后，再回头去找哪行代码存在逻辑错误，那可能要累死个人吧。
互联网企业本来就是以开发为主的，我想这个都没什么好争辩，所以你说开发>运维>安全我觉得很正确，没什么好争辩的，要是安全>开发，那我反倒觉得不正常了，而且现在很多互联网公司都将自己的安全性寄托在众测平台上将自己产品的安全交给白帽子来分析，这样也省去了内部成立安全部门的损耗，再其次，我是在某个主营业务就是安全产品的公司，所以在我们公司搞漏洞分析，写exploit或者别的什么的薪水还是地位都是比较高的，我现在写代码和漏洞分析都在做，可能人和人不一样，我心中在开发和安全上没有排名，不想你觉得开发重要，安全可有可无，如果一定要说爱好的话我可能更喜欢安全多一些，仅此而已

等待大牛的指导

确实作分析比较多，我们公司大多数是对产品漏洞和通用性漏洞的应急响应，多数都是从我们产品抓到的样本或者网上的poc来做分析，我做挖掘比较少，但我们公司确实有fuzz的大牛，我感觉挖掘是一个非常耗时的过程，而且需要一定的运气，尤其是针对应用这一块，可能说web来说相对容易一些，这里肯定有挖掘的大牛，我就不献丑了

另外我想说我现在在乌云也是一名白帽子，也通过补天，乌云这些平台赚了一些钱，我认识的大多数在做众测的白帽子很大一部分都是在公司做开发的，我想将来如果我跳槽了，可能也会去搞开发，安全作为额外的一些经济来源，另外也是满足满足内心的欲望

溢出漏洞是不是通过ciso safec这类的安全函数库就可以完全避免的呀

作为互联网从业者，我想说大伙还是能够冷静下来看待问题，思考问题的
我也认真看了你发布的信息
程序员2年换一次工作为正常，那么一个项目一个人能接收两年，他很熟悉了这个项目了

现实中我们把贼当成犯罪，把一些有特殊心理和作为的人当作是恐怖分子，当然在此不做评价是过与非。
但是在网络中，法律不健全，红衣大炮轰来炸去的，把公司炒火了。马云制造了一个一个经典名言，有能力的人放个屁给你闻你都感觉是香的，没有能力的人很多人会鸡蛋里挑骨头。互联网本身就是泡沫化的形式来展开的，过去泡沫化，未来还是泡沫化，当然不说经济什么，我也不是高大上，我想说明的是，互联网从本质上来改变了我们的思想，改不了我们价值取向。很多人被曲解的意思引向了相反方向。比如某些黑客大拿，只会给你说说他今天岗位多屌，但是他们没有告诉你他拿什么赚钱，他们公司做什么项目。他实际工作岗位是干嘛的，比如黑哥，好多他的迷吧，试问，又有多少人知道他到底在干嘛了?有能力的人埋头做事，不张扬，没能力的人整天忽悠瞎咋呼乱喊嚷嚷，在出名的人，没有点实际的成果出来，整天喷来喷去的，又有何意义了？不就是为他们营造一个不小的名气吗？用实力来打造名气，才是最值得追捧的。而有些所谓的知名骇客只会把很多人引向错误的道路上，在那条路上越走越远，直到没有回头路。一直以来我看到有些黑客技术学习者，说他们有时候没事可干，对着电脑有莫名其妙的满足感，而我从来没有过，我喜欢编码，喜欢捣鼓运维方面的，有时间我就去解决和追问自己一个又一个问题，我也想在这个过程中记录自己的所思所想所为

我之前有做过骇客技术学习的家庭背景，是因为我看到了这个行业的不好一面。因为这是个非常能忽悠人的行业，稍有不慎，走向迷途，最终一无所获，再也无回头路

我想很多人本身学习骇客技术的往往不是因为好玩，也不是兴趣，这是他后来给自己加上去的标签。
而我认为很多人由于家庭背景不好原因，想学习来改变自己的命运，而又通过某些所谓的大牛说安全比其他出路好，就开始学习了，但是这个过程中被某些所谓的知名大牛，忽悠来忽悠去的。试问，你们问问那些所谓的知名骇客，当你问他问题的时候，他是怎么回答的了？又有多少个愿意回答，或者说他们研究的方向跟你相同？

我一直不愿意停留在简单的网络入侵方面，安全的方向是很广的，没有一定的知识面，对系统架构不清楚，怎么做安全？让你做安全，人家给你一个几百万的硬件，让你调试，你把人家网络搞死了，谁来负责？这是要一些专家才能做的，而很多没毕业，刚刚开始学习的人认为，他们可以轻易拿到高薪。会写exploit的人，没五年以上的拼杀能快速写出来？
而现在互联网公布的那些所谓的知名人，在微博看不到他们的技术帖子，大多数都是吹牛逼吹出来的大牛
软件测试跟漏洞挖掘又有什么本质区别了？漏洞挖掘本是软件测试的一个细小的点，为何要抛开软件测试而单独拿漏洞挖掘来显得高大上了？在企业要创造价值的，没有创造价值，还有什么理由呆下去了？

试问，百度请你去写exploit干嘛？每天都有好多exploit写吗？
那么，在乙方公司举例知道创于，他们要你写exploit干嘛？你每天都要写来干嘛？获取权限吗？对编码不熟悉的人能写的出exp吗？
我之前有个朋友在事业单位做渗透测试，他给银行做测试，发现问题，直接提交，连个webshell都不让你留，更不会让你提权的，因为谁也不知道你会不会搞到一些铭感数据，不能对外公布的，你搞到他们所有的权限，你让他们科技部门的经理至于何地？他们那么渣吗？他们会让你证明他们那么渣吗？实际他们很渣，他们也不会给你机会砸掉他们的前途把？工作不是玩玩，很多人把工作跟玩玩放在一起了
很多学习黑客的人，想想他们的玩玩跟工作能联系起来吗？老外社保不错，可以玩玩就能生活了，中国你确实要考虑生存问题

学习的时候要问自己几个问题。
自己能干嘛，自己想干嘛，自己以后的发展方向

不要因为喜欢黑客而搞黑客来浪费青春，迷途知返，退而结网不失为最佳选择方式

互联网每天都在变
pc逐渐的从过去的时代中走向消亡的时候，而移动应用不断的走向成熟，而我也在从事这个行业。过去搞web入侵的人，怎么搞以后的移动入侵了？

写了好多，本来还想写的，算了吧。留点思考给自己，反正我也没有这么多义务，当然写多了也成了喷。或许我写的多了暴露自己缺点也多了，欢迎指出和提醒

孩子，在互联网中，地位不是你技术多牛逼，也不是你长得多好看，互联网从业者不是搞艺术的，你最终也不是要成为艺术家，你的价值体现是为公司创造了多少价值，解决了多少难题，有多少科研成果
你在公司地位的提升，是你对公司的贡献，你对一个行业的理解程度，你对业务的理解。如果说安全在公司还有地位，那么，你还没有上到了。因为学习所谓的安全的人，大多数人都是比较单纯，容易忽悠的一群。褪去无知，走在一条正确的道路上

既然你是白帽子，肯定也挖过一些东西，其实我现在主要是有两个疑惑：一是挖漏洞主要靠fuzz，这个fuzz程序一定要我自己写吗，还是利用网上公开或收费的也可以？因为之前跑ftp、mail等等一段时间没什么收获，另外如果自己写的话，可能需要很长的一个提高的过程，而且怕有不完善的地方；二是目标的选取，这是最头疼的，扫那些公开的漏洞，感觉跟看重播的世界杯比赛一样无聊，扫那些普通的应用，太打击我的信心，再或者是自己编自己扫，感觉也不太合适。

不知道各位牛牛有什么经验。

只能说我还不能完全看懂,还是多谢前辈指点了。
我在线上有自己的团队,在线下也有一个团队,虽然刚毕业没多久但也赚了不少钱,我记得现在乌云CEO方小顿,就是那时候名声很噪的"剑心",还有现在在阿里安全专家吴翰清,就是那个道哥的黑板报的创始者,我听过他们的演讲，在零几年的时候所谓的黑客技术一直是能拿得出来分享的,可能因为现在各种各样的安全事件加上媒体炒作,导致真正的大牛不敢出来分享技术,有些不具备技术的人却在外面吹牛,导致他们被别人看作真正的大牛,包括前段时间freebuf策划的geek pwn，对智能设备的夺旗在竞赛的时候也是屏蔽了现场声音，不想公开他们的一些讨论细节，可能也是现如今网络安全这个词汇过于敏感了。
也不知道前辈入行多少年，不过看了前辈说的话确实有很多值得学习的，也让我成长了不少。我同意前辈说的，在做这行之前要考虑我在做什么，我今后要靠什么发展，靠什么生存，说的直白点，我将来怎么赚大钱。
我觉得我现在在从事安全工作，而且赚的钱也不少，至少三四年内能完成在北京买房的首付，而且我的兴趣也在这里，何乐而不为？当然，这不是针对所有人，盲目地迷恋黑客是不可取的。
我也有过自己的考虑，包括我现在也在私底下做一些移动端的开发，包括帮一个正在创业的朋友写他的网站前端，也是为了将来能有更多的路走。
总而言之，我可能之前也有些激进，跟前辈道歉，这里也要跟前辈一样提醒一下新手：不要盲目的迷恋黑客，不要盲目的跟风，要考虑好以后怎么生存，直白点就是怎么赚钱养老婆孩子，然后再去做。

漏洞挖掘本来就是一个枯燥的过程，如果你嫌烦就不要去做，不然就得耐得住寂寞，你自己也看过看雪那个fuzz的教程？其实调试应用就是挂着调试器，下好断点去一个个触发的过程，很有可能你点个打开的操作就需要断上百遍，所以我说漏洞挖掘也需要一定的运气。你说的第一个问题，我个人的角度来说，其实网上有很多现成好用的工具，如果你不会单独开发的话，用网上的就可以，我个人来说经常写一些小工具辅助漏洞挖掘，如果你觉得这对于你来说学习要很长时间的话，可以用一些开源的工具，这样你可以自己在这个工具的平台上添加一些自己的插件来辅助，这样一是可以用的更顺手，同时也提高你编码的能力，第二个问题，我就不太好说了，完全看你自己，我们做的时候一般都是跟乌云有合作的一些厂商，比如网易，新浪什么的，web的漏洞并不像网上那些，拿个什么流光啊D，在百度上爬一堆asp?id=，然后就可以准备用sql注入爆表进后台了，那些扫出来的很多都是一些很多年没有人管理的服务器，不过如果你刚入门可以拿他看看怎么手工注入的过程，真正到了难啃的目标就要自己抓包分析，自己手工闭合等等了