web安全會逐漸沒落嗎？

01-04

隨著安全意識的提高，各種web漏洞減少，現在後端的漏洞已經很少見了，那麼web安全會像系統安全一樣逐漸淡出主流嗎？

1. 形式化漏洞會越來越少，非形式化的（比如邏輯）該多少還是多少。只要互聯網公司仍舊加班，就不會有減少的可能。（目測）

門檻變高真不是因為壟斷，而是在大家攻擊也好測試也好，這個過程中，低級的漏洞被消滅，只剩下高級的，不好找的漏洞。攻防本來就是個動態平衡，攻擊技術發展的同時防禦方案也會逐步成型。

的確，幾年前插個尖括弧就能使頁面變形的時代一去不復返了，這是互聯網的進步。

2. 系統安全也是主流，只是門檻比 web高，搞得人少罷了。等哪天一群腳本小子真挖不到漏洞了，你猜他們會不會啃彙編玩溢出？？

答案是肯定的，會！用一個前輩的話講安全產業在變革，另尋出路。而現在的web安全也將慢慢的淪為「web業務邏輯安全」。web安全的落幕並不是說腳本小子就沒有出路了，而是平台快速的到了移動端，現在移動端成了主流，移動安全成了大熱。

不是沒落，是隨著安全的普及，大部分自然人或公司的安全意識不斷提升，導致一些基礎的東西都已經過時了，現在需求的是高素質/實戰經驗豐富/全方位的人才，要的精而不在乎數量，所以Web方向職位緊縮，導致很多像我一樣的單純的Web賽棍，沒實戰經驗的被拒之門外。現在的Web安全已經遠遠不是之前的Web安全了，要結合其他方向或者新的技術來學習，比如說機器學習，同時也要涉獵二進位方向，至少會個Rop吧，反正最終的目的還是用安全技術造福人類嘛，總是擺弄那些基礎的東西也是沒有用的，也是很無聊的～

web漏洞真的減少了嗎？

不過是攻擊的門檻越來越高罷了。

目前，找關於 Web 的工作，只能往大城市跑，小城市基本是一片死水，但是今年的關於網路安全法，在有限制的同時也發展了 web 安全。安全這個話題是相對的，每一項新技術的誕生，肯定是兩面性的，我不認為樓主所說的沒落性，反而覺得由於真正懂安全的人太少，像我們這樣的腳本小子太多 = = ！晉陞空間還很大。。。

呃……web漏洞我怎麼感覺越來越多……比以前越來越好找越來越明顯……

系統安全不是最近大火么，你看xxx的rb.py

(逃

謝邀~

目前安全行業的情況是這樣，腳本小子嚴重飽和，傳統安全公司大牛被一線互聯網或者360、創宇這樣的乙方高薪挖走，屬於青黃不接態。第一批進入BAT行業的已經完成了他們的知識經驗積累，懂得了互聯網企業正確造輪子以及體系化建設的方法。有點跑題，但想說明的是Web安全不會沒落，人才需求導向變為以web安全攻防為本進行分散式自動化掃描，流量分析等，我稱之為根據業務造輪子。入侵感知系統的建設以及體系化工作，幫助企業少出事兒，出事兒了也控制損失。目前這類人才很多一二線互聯網開出天價都招不到。

----------------------------------2017年4月28日補充----------------------------------------------------

看到大家這麼熱情，我來說點大實話吧。運營套路的事兒不搞。不用行業對於Web安全的定義是不同的，需求也是不同的。我來說說我的理解。

政府

他們的目標很簡單就是防篡改，這是他們Web安全最大的需求，基本上網頁很多asp，aspx的基本上13年的套路滲透成功問題不太大，同時還要做等保，在很多政府眼中等保=Web安全，這不是黑。

行業標杆國企、銀行、保險、國家重點基礎設施

這些單位對信息安全還是比較重視，但由於自身實力有限，自研能力有限，但由於付費能力強。再加上資產變更不頻繁和技術不想互聯網行業追的那麼時髦，所以基本傳統安全公司的解決方案能夠比較契合的解決他們的需求的。這些企業做安全的方法是犧牲易用性，保障安全性。記得銀行的U盾么，你知道XXX單位雙網隔離了么，上互聯網的上不了內網，能上內網的上不了互聯網，還有違規外聯，訪問個奇怪網站領導就要找你談話那種。這類行業的Web安全問題主要發生在哪裡呢，在於甲方運維人員沒有基本的安全意識。第三方廠商系統是突破口，因為系統都是外包開發的，基本上什麼架構很多甲方自己人也鬧不清楚，所以導致各種第三方0day，框架漏洞一打一個準。不信去看看wooyun歷史信息，每次S2爆發中槍的行業，甚至過了一個多月還有S2命令執行在往上提。等保也是他們重要的一部分，同時也是國家重點抓的等保項目單位。

互聯網行業

我現在依舊堅持這個觀點，如果你是一個對安全技術有追求的人，一定要去互聯網行業。為什麼？因為你發現互聯網行業技術更新的太快，版本迭代速度快，IT資產一天一變。如果用傳統的解決方案，那麼互聯網企業就別生產了。黑產盛行，動不動隨便刷你40多萬羊毛，還沒反應過來，錢就懵逼的沒了。行業由於面向大眾，又不能像銀行那樣犧牲易用性，那樣與互聯網的思想本身就是背道而馳的，所以必須有強大的技術。互聯網Web安全的幾大要害都是剛需：用戶賬號安全、用戶數據安全、生產數據安全、以及一些活動的資金安全，抗D，一點處理不好就全盤踩坑，而且由於用戶基數大，出事兒了就是大新聞，所以各大互聯網公司都怕了，所以才有各種SRC。所以互聯網Web安全的範圍特別廣，同時單純通過人去解決問題基本不現實，所以被逼無奈開始造輪子寫分散式掃描器，寫入侵檢測，由於數據量大被逼無奈只好用大數據技術。面對風控業務難題，也被逼無奈必須用一些大數據分析與機器學習的方法打擊黑產，門檻還是很高的。不過現在也要做等保了，不要忘記了啊2017年6月1日起不做等保是犯法哦~~

門檻變高了。也許腳本小子要成為腳本老子了？

至於以前。。搞系統安全的本來都是那種瞧不起我們搞web滲透的啊。

談什麼系統安全最近火。之前更火，落寞一段時間又起來了罷了。

不僅不會

而且隨著更多新技術投入使用，反而會出現很多非常具備技巧的漏洞

而這些漏洞的破壞力絕不亞於傳統漏洞

除非某一天世界上沒有了web，否則web漏洞就一定存在

web漏洞並沒有減少，只是wooyun關了大部分人看不到了而已

現在是炒概念的時代，始作俑者就是各大以安全為主的公司，為啥啊，因為人家得從投資圈錢啊，得從股市圈錢啊，得從各大公司圈錢啊，不把概念炒熱，不把問題說嚴重了，誰還記得你這個什麼xx安全公司啊

說的難聽點，現在各種所謂的「頂尖高手」／「大牛」／更是樂衷於炒，越火，他知名度越大，既得利益也就越大，不把自己（技術／手法）吹的牛x點，誰來關注你這個屌絲啊，工作能不能保住都難說

當大家的頭腦冷靜下來以後，這些東西只會轟然倒下，所謂web安全web安全，在「黑客」眼裡不就是日站（黑站／滲透網站），在安全部門眼裡，不就是防日么，該升級的升級，該防禦的防禦，哪兒來那麼多五花八門的東西

web安全，它既沒火過，也不曾沒落過，只是，這幾年炒的比較厲害罷了。

都是同步發展的

新漏洞將會替換老漏洞。還有你不知道的姿勢。

逐漸會被自動化取締！

只會越來越規範化，門檻越來越高。以前是安全意識差，腳本小子懂點安全知識，配合工具就能搞。現在的web開發框架都比較注重安全，想要挖洞只有老老實實搞代碼審計，還要會fuzz，這些都把門檻提高到了代碼層面。

怎麼能叫沒落呢越來越難是必然的可以參考一下系統安全的發展

要是覺得不保值就跑去移動安全佔個坑先吧

新聞聯播想用警察代替網路安全工程師

我們就在做 HTTPS、SSL/TLS 相關的事情啊，只不過很小眾的一個專業方向，而且沒有啥固定的模式，最近也沒啥大新聞，所以沒辦法拿出來做宣傳而已啦。

大概十年前我就說過這個話了，現在來看，沒我想的那麼悲觀，但是的確現在web越來越難搞出一個大新聞了。

第一眼看成了安全會，也就是安全會議，是的。會沒落的，整個圈子太浮誇了，一個月至少有2個會，我們一直在調侃，會議太多，白帽子都不夠用了。。太浮誇了。。。

web安全和系統安全現在都是主流啊，web的漏洞是永不會沒有的