脚本小子真的没有优势吗？ – 作者:MZ0369

安全行业，不说百分之百，相信绝大多数人都听说过脚本小子，给人的印象是只会使用别人的工具，而自己却没有研发安全工具的技术，感觉干的活很LOW，好像处于价值链的最底端，有人可能会问，脚本小子与那些工具研发人员相比，真的没有优势吗？

在我刚开始从事安全行业之前，我也有过这样的疑问，直到我工作了一段时间之后发现，其实脚本小子并不是一无是处，也并不是很LOW，安全行业分的很细，每个细分行业的安全工程师都在默默地为行业做贡献，比如说安全运维工程师，每天的工作就是使用现成的工具完成客户交待的任务，有些内容很杂很琐碎，技术要求也不是很高，也没有必要自己去研发安全工具来完成客户的需求。客户更看重的是服务的价值，每天能否保质保量地完成好，这时候与客户之间的沟通和协调就变得很重要。

再举个例子，如果你所从事的是安全攻防工程师，特别是红队，往往需要专门定制一些特殊的工具，如果身边没有称手的工具，整个渗透的过程中可能相对比较被动，在该细分领域，那些精通工具研发的安全攻防专家相对来说更有优势。

安全行业相对比较特殊，以逆向思维为主，一个善于逆向思考和研究问题的安全从业者，往往更有优势，他们往往能看到别人看不到或者说是比较容易忽视的一些潜在的安全问题，我们平时也能看到一些新闻，一些技术积累尚浅的毛头小子，在安全比赛中却能屡获佳绩。难道他们是精通安全技术吗？其实并不是，靠的是深厚的兴趣驱动和一些奇特的思维，好的思路和一些怪异奇特的想法，往往能收获意想不到的效果。

脚本小子或者工具人不再是一无是处或劣势的代名词，“不管黑猫白猫能抓到老鼠就是好猫”理论，同样适用于安全行业，当然我不是让你去干违法的事情，而是无论是通过好的思路还是深厚的技术或者是其他的方法，只要能发现严重的安全漏洞的都是给力的，都是666，再次重声，千万不要去干违法的事情，切记。

其实技术方向只是安全从业者的其中一个方向，真正能在日后成为大才的少之又少，能数十年如一日专研安全技术的也是少之又少。由于安全行业的特殊性，做的又是企业级市场，服务意识成了重中之重，有很大一部分从业者主要是以顾问的角色参与其中，成为对接客户的桥梁。

来源：freebuf.com 2021-04-08 13:30:13 by: MZ0369