第一，普遍的渗透测试中，专用工具自始至终仅仅輔助，无论是知名专用工具還是全新的专

用工具，仅仅你渗透测试的一部分，你要用它立即扫到注入点或是后台管理，没办法。大量地

還是靠知识结构、工作经验、英雄熟练度及其自身科学研究的深层去手工制作发觉系统漏洞。

第二，我反对如今的实例教程內容愈来愈不宜如今的互联网的叫法，将会导致你不容易去找书

籍，先不用说在网上的各种各样新材料，就拿十多年前那本《黑客攻防宝典web实战篇》来说，

依旧是全球最火爆的黑客书藉。第三，给初学者练习的服务平台许多 ，无论是SRC還是众测平

台，亦或是自身搭建的自然环境，发掘系统漏洞的情况下要是不急于求成，全是合适任何人的。
 

综上所述，提议大家放平心态，继续学习安全常识，完善自我的管理体系，并多去实战演练。

系统漏洞是挖不完的，渗透测试不容易有终点站。

 

 

自然，这儿要多一嘴就是说中国渗透测试的大环境：实际上每日探索与发现的系统漏洞远小于

程序猿新写出去的系统漏洞，只可是并不一定的生产商都高度重视安全性并想要而为资金投入

，导致中国渗透测试，也就是挖漏洞的局势不那麼明亮，因而中国的全职的赏金猎人远远地小

于海外。因此寻找一份工作中并学习培训发展趋势是现阶段最妥当的方法，发展前途的事儿没

有必要担忧。伴随着安全的发展趋势，门坎上升越来越规范化早已是必定了，现如今初学者要

想从基本期衔接实际上更难了，由于基本材料过多，抄来抄去的，深层次的文章内容却太少。

 

 

以前别人常说的注入点、后台管理都早已是上一十年的游戏玩法了。但是你看一看各种src，

在有技术专业安全性团体的安全防护下，每个月還是有这么多系统漏洞，更何况这些只靠承包

方甚至于沒有安全工程师的站呢？一个想要深层次挖src的安全性工程师，基础一个月挖漏洞的

收益就能有好几千。渗透这一方位還是特别有发展前途的，甚至于比之前更有发展前途，由于

更为靠谱+國家促进（HW）。只不过是，一个达标的安全性工程师的低限愈来愈高了。

 

 

附一下我觉得的一个达标安全工程师的规范。
 

1.针对基本系统漏洞，基本原理及深层次不在话下，每一个系统漏洞都亲自挖出过相匹配案例，

并了解这种系统漏洞非常容易在什么地方出現；有自身的trick，了解一些不普遍的戏法。
 

2.有自身的安全社交圈，可以持续学习较新的tip，掌握现阶段较火爆的研究内容。
 

3.可以单独发掘CVE（就算是水），可以在各种src不断产出率系统漏洞，而不是欺负一些小站。
 

我彻底不那么觉得。今日才行，還是很多关键总体目标被拿下，在一些实战演练防御比赛眼前

，防御方工作压力非常大。将来对安全的要求就跟很多年前对产品研发要求一样，安全还不久

踏过幼儿阶段，进到少年期，远未到青壮年。渗透是一个基本的一致性要求，一定時间内只增

不降。返回题目，我认为2个难题给你深陷了茫然：为何渗透测试只覆盖网站？及其这一行业

你早已达到顶尖了没有？将来渗透测试将是一个知识要点极为广泛的课程，不只是网站，也有

网络层协议，二进制，无线网络，数据库查询，物联网技术，运用等等。并且，在深度广度拓

展的另外，对每一项的深层次度规定也在逐渐提高。相信在很多政策支持的状况下，校园内逐

渐进行技术专业课程的状况下，在很多学生就业职位提前准备的状况下，将来的优秀人才会愈

来愈多，市场竞争会越来越大。之前能搞简洁明了注入黑网站的“大神”，之后在正规部队眼前

，总是愈来愈难混。小结一下：网络信息安全要求还在迅速发展期；网络信息安全的系统漏洞

伴随着互联网的复杂性提升，安全需求会愈来愈多；将来网络信息安全对优秀人才的规定会愈

来愈高。因此，提升对自身的规定，提高自己的工作能力才算是唯一的发展方向。