最近一段时间，比较喜欢去逛一个论坛——i春秋，关于安全的论坛。内容比较优质，其中一篇帖子：
你还会再为了黑客精神 而不是利润去渗透吗?

这个帖子，和我最近的一些思考、想法有点相近，就胡乱说说。

最近面试了好多即将毕业的同学，几乎每个同学都在简历上写着“攻击过某某网站”、“在某某平台提交过漏洞”，写这些当然是好的，可以说明自己在安全方面有实战经验。不过仔细问一下他们攻击的具体过程，实事求是的讲，我觉得回答的预期并不理想。

大家大部分回答都是：
利用工具扫 --> 扫出漏洞 --> 利用漏洞实施攻击 --> 上传个“马儿”

目标网站包括学校、传统行业某公司官网、电网内部某业务网站等等，漏洞原理主要是struts漏洞、新闻详情页存在asp sql注入、php开源框架某版本可上传shell漏洞等，检测手段都是利用成熟的工具。

而当我深入问：
1. 关于struts漏洞利用的原理
2. 如果一个存在sql注入的网页并不打印任何信息，那么如何通过sql注入获取表名
3. 有没有办法在服务器层面杜绝sql注入，而非代码层面
4. 通过什么机制向服务器上传shell，如何知道要上传到哪个目录的

得到的答复都不是很满意，还有的同学回答不出来。我也在反思，是不是我问的太难了，但是想了几次、也修正了几次面试问题，效果还是不理想。我得出的结论是：这些学生所具备更多的是如何攻击，而我面试提出种种问题的目的是考察攻防。学生更多的是只管攻击，漏洞利用，获取数据和权限；而我希望的是理解攻防，理解漏洞，进而理解企业如何保护数据、保护服务器权限。

再说一个问题，我会问他们为什么选择安全行业。回答也是蛮有趣的，也值得思考：
1. 有个学长做安全的，和他交流过几次，那种神秘感让我很触动。
2. 和同学一起打CTF，打多了，就打算入这行了。
3. 我不太喜欢写代码，感觉攻击什么的不用总写代码。
4. 我初中就热爱黑客技术，初中我买过一本《黑客x档案》，感觉很帅，所以大学就学了安全。
5. 我本来是学***专业的，但是听说安全以后会火，所以花了差不多一年时间自学黑客攻击。
目前为止，筛选后一共面试了17个，木有一个同学的梦想或者目标是希望在安全方面做贡献。

好了，事情说完了。

再说我的想法：
1. 安全行业是紧缺，但是企业招人主要是两类，一类是渗透攻击，一类是安全防护。我觉得安全防护是最急缺人的，不过学生从最开始的成长之路，貌似对防护很少了解。
2. 相比过去，现在安全资料更加健全了，但是感觉学生关注点，更多的是工具使用、如何绕过狗、这个框架有没有什么漏洞，而原理本身接触的较少，或者不够深入。
3. 给我感觉，每年会有越来越多的黑客，虽然大家的初心各不相同，但是黑客精神却没有这么多，安全领域的奉献精神也没有意识。
4. 学习安全，很多学生对于某些必备的技能存在盲区，比如数据库、linux、TCP/IP、HTTP/HTTPS等。来到企业以后，经常会因为这些短板，导致不好推进工作。