网络安全这个行业在世人面前一直披着神秘的面纱，网络安全工程师，我们口中的黑客，就是承接这门手艺的工种，而在黑客这个工种里面，挖洞也许是比较耳熟能详的了。

如果你大学学的是安全专业或者工作与安全相关的，可能常常被亲戚朋友骚扰：“会盗QQ号吗？”，“能帮我找到那个骗子的详细信息吗？”诸如此类的问题。世人对黑客的概念逐渐模糊，包括圈内人，因为趋利性逐渐盛行。

据2019年HackerOne黑客报告统计，72.8%的黑客挖洞目标是网站，从后端到前端，从电脑端到手机端，从浏览器到客户，基本覆盖了Web开发的每一个环节。

刀本身是没有错的，可以用于厨房，也可以用于犯罪。同样技术本来是无罪的，使用技术的人有的走向白道，有的走向黑道，于是便有了江湖，Web安全工程师，漏洞提交平台，白帽子，这一切正面的产物，都是为了对抗掌握同样技术的反派。

“脚本小子”一词是对挖洞初学者的贬义称呼，但我却认为是成为“白帽子”的必经之路。使用工具挖洞无伤大雅，现在是一个高效率的社会，你的挖洞收益必须与时间成本成正比。

台上一分钟，台下十年功，相信所有IT相关的技能的练就都需要两个秘诀：持之以恒和动手实践 。

比如“注入”的思路，对象一直在更新，从命令注入，到SQL注入，再到前端的JS注入（XSS）；方法也一直在更新，从回显注入，到盲注，再到WafBypass注入。“注入”思路的掌握如同打怪升级，一步一个脚印。

在自己学习过程中遇到瓶颈的时候，也许需要被漏洞平台忽略过10个以上的漏洞才能成功通过1个漏洞，也许需要熟练使用20个工具才能手工挖洞，也许需要挖掘50个以上的低危漏洞才能看到高危漏洞的希望，也许需要手工挖掘100个以上高危漏洞才能看到0day的影子……

业内开始关注这个问题，学术界平台的教学失衡必须由工业界的实战来弥补，各种CTF比赛，挖洞比赛，各种线上培训，线下培训开始出现。

让人欣慰的是，一大批对安全感兴趣的后起之秀在这些赛事和培训中崛起。有很多文章表示黑客江湖江河日下，一代不如一代。我却不这么认为，人是需要成长的空间的，就像以前80后鄙视90后，90后鄙视00后一样，大环境不同了，标准也不同了。

现在的环境对于安全行业来说是好的，各种安全漏洞平台，安全众测平台，安全媒体平台通过各种宣传，运营，活动带给白帽子们极大的荣誉感和归属感，不仅保证了初学者可能的踩红线行为，也保证了学成者资金奖励的可靠性。

而这个大环境的缺点却是急功近利，初学者容易浮躁，产生自身价值定位错乱。“挖洞”的根本目的不是赚钱，而是自己技术的提升，这才是自己最大的漏洞收益！

挖洞人也是艺人，这门手艺可以养家糊口，干的好的还能扬名立万。“艺人拼到最后拼的是文化”，常听相声的读者应该很熟悉郭大师说的这句话。