安全这个行业在世人面前一直披着神秘的面纱，它是一个特立独行的工种，或者称之为一门艺术。

黑客，就是传承这门艺术的艺术家。而黑客与艺术对话的途径，也许就靠挖洞这门口口相传的手艺了。

一、文化

“黑客”一词起源于20世纪50年代，大致与第一台计算机的诞生处于同一时代；中国黑客的起源就更近了，20世纪90年代，中国互联网起步的阶段。短短几十年的时间居然发展出了一个文化圈，不得不说是一个奇迹。相信任何圈内或者圈外的读者都能从脑海中蹦出几个“黑客精神”的关键词：Open，Free，Share，大大小小的影视或者文学作品也一直在宣传着这么一群神秘的人物，引人向往。然而，这种文化已经没落。

**现阶段的“安全圈”已经从“精神第一”慢慢变成了“技术第一”。如果你大学学的是安全专业或者工作与安全相关的，可能常常被亲戚朋友骚扰：“会盗QQ号吗？”，“能帮我找到那个骗子的详细信息吗？”**诸如此类的问题。

世人对黑客的概念逐渐模糊，包括圈内人，趋利性逐渐盛行。

无论是从事安全工作的“白帽子”，还是从事黑灰产的“黑帽子”，在经历了国内法律的健全以及生活成本的压力，逐渐变得低调，枪打出头鸟，还不如闷声发大财。所以，唯一保留下来的就是“挖洞”这门手艺。

其中，又以Web漏洞雄踞首位，据2019年HackerOne黑客报告统计，72.8%的黑客挖洞目标是网站，从后端到前端，从电脑端到手机端，从浏览器到客户，基本覆盖了Web开发的每一个环节。

同样是一段脚本，一个是构造Web，一个是破坏Web；一个是“立”，一个是“破”，达到了辩证统一，给黑客无限的想象。Web安全漏洞常常是初学者进入“安全圈”的敲门砖。

二、匠人

查了下“手艺”这个词，权威的解释是以双手与简单工具配合所产生的手工技艺和艺术，而手工工艺者被称为“匠人”。

在安全领域，最顶级的艺术品就是“0day”，手工打磨，万众瞩目，外行人看热闹，内行人看到的，十指灵动之间全都是挖洞匠人们的心血与智慧。

技术本来是无罪的，使用技术的人有的走向白道，有的走向黑道，于是便有了江湖，Web安全工程师，漏洞提交平台，白帽子，这一切正面的产物，都是为了对抗掌握同样技术的反派。

挖洞这门手艺并不好学，入门容易，精通不易。前人留下了很多工具，“模仿”是入门必须的，类比于编程入门的“hello world”。然而却没有类似的编程规范，因为挖洞靠的就是剑走偏锋的思路。

“一花一世界，一树一菩提”，每个挖洞匠人都是万中无一，都有着自己的方法论。

因为趋利性的因素，大家互相之间不可能有过多的交流，成为挖洞匠人这条路必定是曲折的。

“脚本小子”一词是对挖洞初学者的贬义称呼，但我却认为是成为“白帽子”的必经之路。使用工具挖洞无伤大雅，避免了重复造轮子的时间，现在是一个高效率的社会，你的挖洞收益必须与时间成本成正比。

我们需要掌握寻找和安装工具的步骤，才能琢磨透各种黑客系统，各种黑客命令的使用！

我们需要熟练使用前辈们开发的程序，才能明白挖洞的方法与原理！

我们需要从工具输出的漏洞报告中，甄别验证漏洞的真实存在！

我们甚至需要从工具的排列组合中，创造出属于我们自己的工具!

工具流的终极是手工流，手工流的终极是脚本流，脚本流的终极是系统流……一个处于安全鄙视链最底层的Web漏洞的挖掘就需要这么多的历练，思考一下一位出类拔萃的挖洞匠人的成长需要多久，很可能穷极一生，但是值得，我们需要始终保持一颗“匠心”！

三、匠心

台上一分钟，台下十年功，相信所有IT相关的手艺的练就都需要两个秘诀：持之以恒和动手实践 。

在这个日新月异，推陈出新的网络世界里，传统的挖洞手艺受到了强烈的冲击，甚至有些技巧只能在教科书里面还能看到它的存在。

但是，这并不是忘记初心的借口，传统手艺的思路永远不会过时，万变不离其宗，我们需要精益求精，而不是推倒重来。比如“注入”的思路，对象一直在更新，从命令注入，到SQL注入，再到前端的JS注入（XSS）；方法也一直在更新，从回显注入，到盲注，再到WafBypass注入。“注入”思路的掌握如同打怪升级，一步一个脚印。

“黑客精神”也许已经演变成了“匠心精神”。就我个人的经验来说，“纸上得来终觉浅，绝知此事要躬行”，作为工作在生产第一线的挖洞匠人，需要经历失败，更需要积累。

在自己学习过程中遇到瓶颈的时候，也许需要被漏洞平台忽略过10个以上的漏洞才能成功通过1个漏洞，也许需要熟练使用20个工具才能手工挖洞，也许需要挖掘50个以上的低危漏洞才能看到高危漏洞的希望，也许需要手工挖掘100个以上高危漏洞才能看到0day的影子……

四、传承

手艺需要传承，传承就需要传承者。现在的挖洞平台林立，挖洞处于僧少粥多这么一个尴尬的局面。一个高奖励漏洞常常让人热血沸腾，激情过后，似乎又高山仰止，心如止水。

业内开始关注这个问题，学术界平台的教学失衡必须由工业界的实战来弥补，各种CTF比赛，挖洞比赛，各种线上培训，线下培训开始出现。

让人欣慰的是，一大批对安全感兴趣的后起之秀在这些赛事和培训中崛起。如果按照以前的排行，这波后起之秀应该属于中国“第四代黑客”，前三代都是2010年之前崭露头角的人物。

有很多文章表示黑客江湖江河日下，一代不如一代**。**我却不这么认为，人是需要成长的空间的，就像以前80后鄙视90后，90后鄙视00后一样，大环境不同了，标准也不同了。

现在的环境对于挖洞来说是极好的，各种安全漏洞平台，安全众测平台，安全媒体平台通过各种宣传，运营，活动带给白帽子们极大的荣誉感和归属感，不仅保证了初学者可能的踩红线行为，也保证了学成者资金奖励的可靠性。

而这个大环境的缺点却是急功近利，初学者容易浮躁，产生自身价值定位错乱。“挖洞”的根本目的不是赚钱，而是自己技术的提升，这才是自己最大的漏洞收益！

挖洞匠人也是艺人，这门手艺可以养家糊口，干的好的还能扬名立万。“艺人拼到最后拼的是文化”，常听相声的读者应该很熟悉郭大师说的这句话。

在奖金之外，我们或许还应该思考一下没落的黑客文化如何复兴，如何返璞归真。

网安&黑客学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果需要可以点击链接免费领取或者滑到最后扫描二v码

👉[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享]（安全链接，放心点击）

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料，朋友们如果需要可以点击链接免费领取或者滑到最后扫描二v码

👉[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享]（安全链接，放心点击）

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接或者保存图片到wx扫描二v码免费领取 【保证100%免费】

👉[CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享]（安全链接，放心点击）