我是黑客，年薪60W，站出来说点真相-优快云博客

本文链接：https://blog.youkuaiyun.com/chengxuyuanyy/article/details/139736105

先做一点自我介绍。我从事网络安全行业已经近 5 年了，目前在某⼀线互联网公司的攻防实验室，从事安全评估类的工作。

在小白眼里，或许我就是黑客。

没错，我当然能搞一些破坏，要不怎么防止别人攻击呢。但是，我不想干违法的事，不想赚黑心钱，所以我就成了白帽子，找了一份安全类的工作。

站长为了流量，title 里非让我说自己是黑客，其实我更喜欢说自己是搞安全的。

写这篇文章的目的，一是回答站长的问题：

网络安全好就业么？前景和钱景如何？

⼆是想静下心来，写⼀下自己对这个⾏业的感悟和理解，可以给准备从事安全行业的小伙伴一点指导。

网络安全的现状和前景

网络安全是互联网不可或缺的⼀部分，工作岗位肯定是有的，但是在过去的⼏年⾥，特别是在经历了“凭码通⾏”的三年，几乎所有⾏业，包括互联网在内的企业，都受到了各种程度的影响，网络安全也不例外。

总的来说，这几年行业内对技术的要求越来越高。

以我自己为例，21 年底准备换工作时，⼀线互联网公司对从业经验的要求是 3 年。当然，如果你的学历还不错（985毕业），或者在业界有较大的影响力，2.5 年的经验也是可以考虑的。

但是，当我进⼊新的工作环境，从事攻防实验室的工作大约半年后，也就是 22 年中旬，招聘要求就从 3 年变成了 5 年。

本人靠着一点幸运，在寒冬来临之前上岸了。

如果对比其它的技术方向，比如 Java、Web 前端等，网络安全的行情会稍微“暖和”一些。虽然现在的人才需求和 15 年左右没法比，但只要是从事安全的技术人员（只会嘴上功夫的那种不算），找到一份满意的工作是没问题的。

另外，各家公司对安全从业人员的学历要求也低一些。比如，20 年某一线安全厂商招聘研发，要求本科起步，而招聘安全，大专学历就行。

网络安全的工资

这几年，我认识了很多行业内的朋友，下面我来说一下他们的情况。

朋友A

朋友A的整体⽔平很菜，属于只懂⼀些书本上的安全知识，⼜或者毕业报个培训班、学个半年的水平（毕业2年内且只要有⼤学毕业证就⾏），在国内⼀家安服公司⼯作，属于偏国企类型的。

具体的工作内容就是基础的安服仔，给甲方爸爸做基础的驻场&咨询，安全测试，人工看设备日志，甚至给甲方领导拿快递等等都干。

公司很多政府的项⽬，所以说公司整体的营收还是很 ok 的。当然这种公司要求的门槛大多也不高，薪资也⼀般嘛。

朋友 B

朋友B的整体水平依旧菜，和A的水平差不多，在⼀家相对很小的公司（<=500⼈）做安全负责人，属于干啥都自己说的算的那种。

公司的所有安全问题都会找他，无论是员工社工被骗、还是 WAF、HIDS、EDR 等等，只要沾边，朋友B都要去搞。与其说技术岗位，不如说是运维岗位。

朋友B的整体薪资也还 ok，绩效压力几乎没有（就 1~2 个人管安全，谁跟他比呢，哈哈)。

当然这种公司要求的门槛同样大多也不⾼，薪资也⼀般嘛。

朋友C

朋友C的整体水平符合4年左右的大多安全从业者，在国内一家专门安全乙方工作。

他的工作地点是成都，巴适得很，平时主要从事些公司内部的漏洞挖掘、代码审计、安全研究的类工作。

薪资的话，在⼆线城市超过绝大多数的打工人了。

朋友D

朋友D的整体水平符合3年左右的安全从业者吧，从事了类似于区块链的黑灰产行业。

这部分比较敏感，工作内容的话其实和甲方建设企业安全的 roadmap 是⼀样的。不好的地方就是有⼀些法律⻛险，好的地方是工资相对于同行业高，而且可以长期远程办公。

我这边的建议是，如果不是走投无路，就不要去了。

朋友E

朋友E从业5年，⼀线互联网从事内部攻防演练的工作。技术门槛要求相对较⾼，无论是社工钓鱼，⼜或是 web 突破撕口子，又或是内网免杀横向等，都需要很懂。

技术门槛大多网上找不到，起码国内的博客技术很少有，需要更多的研究开源代码 or 国外博客 or 论文。

当然，⼀分技术⼀分钱，薪资相比A高了很多。

朋友F

朋友F从业 8~10 年，在⼀线互联网从事安全评估 or 安全攻防组长工作。对外的话是高级专家级别，团队大概 15 人左右，薪资很⾼的。

说完了他们的情况，再说说他们的工资，也许大家对这部分更感兴趣。我本不想藏着掖着，但基于保密协议，我只能提供大致的范围。

我的薪资应该略低于朋友E，大约年薪在 48~68W 之间。

其他朋友的薪资如下：

朋友F的年薪起步在 200W 以上；
朋友A的月薪大约在 12K；
朋友B的月薪大约在 20K；
朋友C的月薪大约在 25K，这在⼆线城市算是很舒服的；
朋友D和朋友C的薪资相当。

整体来说，安全从业人员的薪资比普通的应用开发要高，大概和底层开发，或者算法工程师差不多吧。

另外，很多人还都有外快，懂的都懂，不多说，下文会稍微透露一点。

感悟与思考

作为⼀位即将步入职场，又或者⼀位职场老兵来说，首要的是具备扎实的专业技能和持续学习进步的心态。我认为职业所需的技术门槛不仅仅源自于书本知识，更重要的是要追随业界专家的步伐，勇于挑战自己，并具备坚韧不拔的品质。

除了主业你还可以？

这部分我分为正途和邪路来讲。

正道的光

这里举几个例子：

安全漏洞报奖金（SRC奖励）：只要你有独特的思路和优秀的技术，发现⼀个高危漏洞就能获得几万元的奖金。
博客和⽂章：就像我正在撰写的这篇文章⼀样，撰写技术博客和个人感悟，每篇都能获得几百块钱的稿费。
培训：将自己的知识整理成课程，在自媒体平台上进行销售。这不仅可以帮助他⼈，还能获得⼀定的收⼊。

我认识一个老哥，兼职挖 SRC 漏洞，有时候一个月能拿 10W+ 奖金。

当然，还有其他兼职收入的机会，这只是其中的⼀部分。

歪路

说白了，就是通过黑客手段盗取信息或攻击服务器，或者成为诈骗团伙的技术帮凶。出于职业底线的考虑，不能讲了。。。

在职场中，我们应该坚守职业道德和法律底线！！！

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。