挖洞江湖(1)

挖洞江湖，讲讲故事，不然不知道发啥，公众号会掉粉。

我应该从12年开始挖洞的，到如今，他妈的十年了，见识无数大佬的成长，业界的变迁，就很有意思，属于最早一批干国内src的，记得微软是src界鼻祖，国内首发是腾讯、网易、新浪、携程... 到如今如此的产业化，可以正面理解"白帽子"是很正能量的事，也可以商业理解成"廉价安服"，可以说src是被乌云逼出来的，各司安全部深感来自从乌云爆出来的漏洞压力，我记的有哥们在乌云更漏洞，都是xxx内网漫游第几集，哈哈哈，现在看，确实存在的风险，如今因为等保的要求，和自身企业安全性和社会责任，具有影响力和用户量的企业基本都会建立对外的"安全应急响应中心"也就是SRC，乃至于现在好多高校好像都整了个"edu安全应急响应中心"，成常态化SRC了。

不过说实话现在真的没有16年之前好玩，之前是社区化的，技术社交的氛围很浓烈，现在只能github和自己圈子的私域关系，哈哈哈，之前可以炒作漏洞，通过漏洞制造影响力带来商业利益，现在就不行了，16年的网络安全法，21年的数据安全法，和种种行政规定都不允许再炒作安全漏洞，并且明文设置了很多的条条框框，让很多技术从业者投鼠忌器，有了不少法律方面的顾虑。

从10年左右讲起，时代决定行业的发展，2010年左右，互联网发展是围绕pc的web端内容信息展示为主流趋势，比如腾讯网、新浪网、搜狐网之类新闻内容展示，各种中小型公司也需要一个网站来展示自己公司信息，就以asp、.net之类内容管理系统为主，这个阶段主要漏洞是sql注入和弱口令，黑进网站内容管理系统后台，上传webshell控制网站权限。

2012年出来了以qq空间，人人网为首的社交互联网，还是pc的web端，社交互联网让xss、csrf之类前端漏洞大放光彩，社交系统后端大多由php语言写成，这年对php、JavaScript安全的研究很火热。

2013年，3g加上移动端，还有淘宝的电子商务，让java语言大火，毕竟主流电商阿里系淘宝就用java，Android开发语言也是java，安全从业者又开始侧重java语言的安全研究，因为java语言的一些特性，出现了很多严重的安全漏洞，之后随着阿里系壮大，电子商务之后电子政务的兴起，各级政府部门的电子政务系统也是java语言，真的是java黄金十年，万金油。

2016年，中国网络安全法制元年，因为计算机技术，互联网技术和人们的生活越来越息息相关，衣食住行等等等，网络变得越来越重要，政府监管也跟上了，出台了《网络安全法》，并且社会整体对网络安全越来越重视，网络安全从业被更规范要求，2016年之前，网安从业者人数的占比，草台60%，科班40%，草台就是我们这类纯兴趣入行的，科班就是正统大学网络安全相关专业的大学生，之后慢慢全是科班，2016年之后网络安全行业几乎少有草台再入行了，毕竟科班能更好服务于规范的工作需求。

这年很有意思，比特币很火，所带着区块链技术也很火热，就需要区块链安全，还有之前传统的idc机房时代已经不足以支撑当下互联网时代的发展，Google开源了k8s，带动了云技术普遍发展，自然也有了云安全。

之后到2022年底，都是围绕着，电子商务、电子政务、移动互联网、云计算、区块链、机器学习、深度学习在发展着，可以说这些方向，带动了中国经济发展的十年，腾讯、阿里、字节跳动、百度、新浪、美团、滴滴打车、携程旅游、12306就是在这个阶段，顺应时代成长起来的，安全技术也随着这些在变化，成长，服务于这个时代。

十余年的从业发现，最初的pc时代弱口令爆破、直接溢出、还是web时代sql注入、任意上传、xss、rce、反序列化，还是之后各种奇奇怪怪业务功能的逻辑漏洞... 漏洞是挖不完的，有业务发展，功能变更，就会出现安全隐患出现漏洞，无论什么态势感知、攻击面管理、资产测绘、edr、安全服务，都只缓解当时当下，攻防对抗一直会持续下去。

有人会跟随时代很好运的在某个节点入行了，学习到对应时代的技术，就如社交互联网的php，电子政务电子商务的java，云后端的golang，Ai的Python。

字节跳动的成长很有意思，从当下往回看，抖音的核心技术是依赖算法，通过算法把数据玩活了，精准偏好推荐给用户，这是在之前制定死代码逻辑规则时代，很难理解的，算法的艺术，也潜移默化的推动了ai算法时代的发展，让各大厂明白，数据是可以玩出花，玩出意想不到的价值的。

2023年，AGI元年，chatgpt开启了第一枪，从安全从业的角度，也是AI算法安全元年.... 时代给与挖洞者的新的攻击面。

 困了，睡觉....