信息安全行業人員除了黑產還有其他賺外快的途徑么？

01-08

如題

我自己是一個將要從學校滾蛋的大四學生，從大一開始接觸信息安全到現在，各種收入大概能買幾千個屁股先鋒了吧。我可以介紹一下作為這個行業的學生（包括研究生、實習生等）可以靠哪些方面掙外快。

答案內涉及到利益關係很多，我圍繞『錢』這個角度來說明問題，至於一些廠商服務、管理、法律上的問題我就不牽扯了。

一、挖通用程序漏洞，掙獎金

通用程序漏洞，顧名思義就是被大眾大量、普遍使用的應用程序，這類程序的漏洞通常危害性巨大，可能可以影響數以萬計的使用者。國內、外各大平台對於此類漏洞都有獎勵機制，如果你挖掘到通用程序的漏洞並提交到這些平台上後，將會被給予一定的現金獎勵。

比如國內漏洞平台烏雲，對於通用漏洞有不錯的獎勵，這是烏雲白帽子gainover的一頁漏洞截圖：

其中標示著『$』符號的漏洞都是通用漏洞，$的數量決定了獎金的數量，一般來說有這樣的規則：

獎金100~500：一個$
獎金1000~2000：兩個$
獎金2500+：三個$

所以你可以算算他僅一頁漏洞，就賺了多少獎金。

2016年，阿里巴巴公司旗下的安全情報平台『先知』也加大了對通用漏洞的獎勵力度，5月份的排行榜中：

前五名的白帽子，大部分獎金都來自通用漏洞。其中維尼熊寶貝拿到了稅前146300人民幣的獎金，這是很多安全從業者一年的薪水，而白帽子可能通過一個月的兼職挖洞就拿到了。

360公司旗下的補天平台也是國內較早提供通用漏洞獎金的平台，早期我也在該平台獲得過數萬元獎金，但總體來說其對通用漏洞的獎金較少。該平台最大的優勢在於其對事件型漏洞有一定獎勵，我後面會說到。

除了國內的第三方漏洞平台以外，國外的一些漏洞收集平台的獎勵更為可觀，不過難度也更大。

國外有一個專門收取通用型漏洞的計劃叫Internet Bug Bounty（ The Internet Bug Bounty ），在知名漏洞平台hackerone上標示著ibb的廠商就是這個計劃支持的。白帽子挖掘到一些知名開源程序或庫，諸如Ruby on rails、nginx、openssl等漏洞後，提交到hackerone，將可能得到數千美刀以上的獎金。注意啊，這裡是美刀。

著名的『心脹滴血』漏洞，當初在hackerone上被給予了15000美元的獎金（ #6626 TLS heartbeat read overrun ），著實讓人羨慕不已。

不過白帽子將其捐給了自由基金會，也是很令人敬佩的。

另外，谷歌的Project Zero也會收集並獎勵一些通用漏洞，特別是像Windows、Linux、Android、IOS之類的操作系統漏洞，還有Chrome、Firefox之類的瀏覽器漏洞等，其獎金也從數千到數萬美刀不等。國內的一些天才少年、白帽子和組織（如騰訊科恩實驗室），通過挖掘安卓、IOS等漏洞，相信也從谷歌換取了不少獎金。

相比於國內的平台，國外平台對於通用漏洞有以下特點：

獎金單位為美刀，獎金確實高
難度大，獎勵範圍小，一般僅限於用量巨大的應用或庫
一般在漏洞修復後會公開，不會藏著掖著

所以，如果你對閱讀開源程序代碼、調試逆向客戶端等方向感興趣的話，挖掘通用漏洞賺取獎金絕對是一個非常實在的選擇。我個人賺取的絕大多數外快也來自於這個方面。

推薦指數：☆

二、挖掘互聯網漏洞，掙獎金

互聯網漏洞就是存在於互聯網任何一個角落的漏洞，可能是XX大學教務系統的SQL注入，可能是XX電商0元購買商品，也可能是XX社交平台任意用戶登錄等。

挖掘互聯網漏洞是一個很敏感的行為，有時候就可能從白帽子變成黑帽子。但既然你前提是『非黑產』，這條路也是行得通的。

之前提到過的補天平台，對互聯網漏洞有一定的獎勵，如果你能挖掘到一些影響數據量較大的廠商、政府機關的漏洞，在補天平台上也可以換取數百元到上千元不等的獎金。

比如這個這個還有這個：

很多白帽子通過補天平台也賺取了不少獎金。除了補天以外，國內另一家漏洞平台『漏洞盒子』也對互聯網漏洞進行獎勵：

相對而言，漏洞盒子更加關注企業的漏洞。不過其獎勵力度較小，月度排行榜上首名的獎金也不高。

烏雲對互聯網漏洞的收集範圍是最廣的，但普遍沒有獎金，只會給予一定的積分和rank值。使用積分可以購買一些日用品、電子產品與書籍，但總量還是有限。不過烏雲上有的廠商對白帽子有一定的回饋，廠商曾經寄送給我京東卡之類的禮品，我想這也算隱形的收入之一吧。

總體來說，挖掘互聯網漏洞對於賺外快來說更累，因為大部分互聯網漏洞是沒有獎金的，但如果你擁有相對準確度高、效率高的掃描器的話，坐享其成也未嘗不可。

推薦指數：☆☆☆三、參與眾測項目，賺取獎金

眾測應該是普通白帽子們最佳賺錢途徑了，當然也是競爭最為殘酷的途徑。眾測通常是沒有私有SRC的廠商在一些第三方平台收集自己漏洞的一種方式，白帽子通過挖掘指定廠商的漏洞，能夠換取數百到數千元不等的獎金，相比於挖掘互聯網漏洞，難度較大回報也較高。

國內最早開展眾測的是烏雲眾測平台，累計到現在已經超過395期了。我參與過一些項目，最低的項目獎金是這樣（高的可能到5k至1w）：

高危漏洞：2000
中危漏洞：500
低危漏洞：100

通常一個項目挖到5個高危就心滿意足了。有時候如果你能找到一個突破口，挖到20個高危也不是不可能，我也曾一個項目拿下4w+的獎金。

烏雲眾測參與的門檻較高，一般是要求在烏雲主站提交過有一定質量的漏洞，並且通過積分換取參與門票，這就導致烏雲眾測中大牛比較多，所以經常會出現挖到的漏洞重複的問題。但其回報相對於付出足夠高了，依稀記得今年3月的項目，有一個業餘白帽子（其工作非信息安全）一個月挖掘到16w獎金：

烏雲眾測最大的長處就是項目眾多，幾乎每個月有十來個項目，粗略統計了一下6月份烏雲眾測有19個項目，這甚至比一些初創的眾測平台所有的項目還多。所以，雖然烏雲眾測競爭激烈，但其餅子的數量也足夠讓一些有技術的白帽子賺到不少外快。

之前提到的先知安全情報平台也有一定的眾測項目，但因為其創立時間不長，項目數量有些少，在寫這個答案的時候進駐先知的廠商只有9個。但其獎勵力度也不小，通常一個高危漏洞可以有3000以上的獎金。

感謝 @笑然777 的糾正，先知平台有些項目測完後就不在列表裡展示了，所以並不是只有9家。按照阿里雲在國內雲安全方面的地位與輸出能力，之後的項目應該會更多。

先知平台最大的特點就是其打款速度驚人，其依託支付寶可以做到『今天確認，明天打款』。但其對漏洞審核較為嚴格，也導致很多界限模糊的漏洞得不到承認。

另外一點，先知平台對每筆獎金收取20%的稅，這個是業內稅收最高的。當然稅收是國家政策也無可厚非，就是不知道其他平台是怎麼規避的。相比於之前說到的烏雲平台，先知的稅高打款快，烏雲的稅低打款慢，如果急需用錢的話先知是個好選擇。

360公司的補天平台推出了私有SRC模式，其實也就是眾測的一種。補天的私有SRC項目相對比較簡單，很多傳統企業甚至12306進駐補天，但獎金也較低：

上圖是百年人壽的漏洞提交記錄，可見高危漏洞從1000到3000不等。但更多廠商的高危漏洞僅有1000元獎金。但因為這些廠商漏洞好找，所以數量上也彌補了金額上的不足。

漏洞盒子也是一個老牌眾測平台，現在平均每月能有1~2個項目，很多大牛也通過漏洞盒子賺到了不少獎金。

漏洞銀行是國內新出現的一個第三方眾測平台，入駐（有不少廠商雖然入駐但不接受漏洞）廠商有近千個，其多數只接受高危漏洞，且獎勵不高。暫無現金獎勵，白帽子只能使用該平台的積分換取京東卡等物質獎勵。

國內還有sobug、威客眾測之類的第三方眾測平台，但其項目有限，我也沒參與過，就不做評價了。

總體來說，國內各大眾測平台有如下特點（一般是這樣，也不是沒有特例）：

烏雲眾測：獎金高，項目多（機會多），打款慢，門檻高
補天：獎金中，項目數量少，打款快，門檻低，難度低
先知：獎金高，項目數量少，打款極快，門檻高，難度高
漏洞盒子：項目數量中，獎金中，打款速度一般，門檻低，難度中
漏洞銀行：廠商數量大，獎金低（無現金），門檻低，難度低
sobug：項目少
威客眾測：項目少

對滲透感興趣、日站能力比較強的話，你可以選擇性地參與這些眾測項目，並通過眾測項目賺取外塊。

推薦指數：

四、挖掘大廠商漏洞，在SRC換取獎金

互聯網漏洞的另一個去處就是私有SRC。隨著國內公司對安全逐漸重視，很多都成立了自己的應急響應中心，其中代表性的有騰訊公司的TSRC、阿里巴巴的ASRC和360公司的360SRC等，上述幾個SRC對於自家公司網站、產品的漏洞獎勵不菲，甚至對於一些威脅情報也有很高的獎金。

我個人混SRC不多，但身邊很多朋友都或多或少在各大SRC提交過漏洞。TSRC是國內最老牌也是比較體貼的SRC，我曾經提交過一個騰訊公司的高危漏洞，很快獎勵了相應的積分。TSRC的積分可以直接換取現金（無稅），這是很多SRC沒有的福利，並且在隨後的一年裡（哪怕這一年我再也沒有提交其他漏洞），過節均會寄送禮物，像情人節的巧克力、端午節的粽子、中秋節的月餅等等，並且年底每人都會收到至少500元京東卡。

TSRC的獎勵一般是一個嚴重（比如能夠注入出用戶數據的SQL注入漏洞）能拿到等於5k+RMB的積分，高危（比如QQ空間的存儲型XSS等）能拿到等於1.8k+RMB的積分，並且如果漏洞優質能夠領到額外現金獎勵或每個月的即時現金獎勵，比如TSRC著名白帽子rasca1，在今年3月和5月均獲得了額外總共8w的現金獎勵：

其他實物獎勵我就不多說了。除了騰訊自身的漏洞，TSRC前段時間開始收集威脅情報。讓我印象最深的一次是，一個白帽子在玩騰訊某款遊戲的過程中，發現有人在遊戲里出售遊戲幣，並且比官方價格低很多，他向TSRC反映了這一情報。官方人員很快根據他的情報發現了一處刷金幣的漏洞，及時彌補了被黑產竊取的金幣。

後來TSRC給予了這個白帽子三萬元現金獎勵，這讓我有種玩遊戲玩著玩著就成土豪的感覺，實在很讓人羨慕：

類似的SRC還有阿里的ASRC，其獎金力度稍高於TSRC，但人文關懷不如後者，額外獎勵（隱形獎金）也稍低。

國內還有諸多企業自建了SRC，獎勵一定會比在第三方平台提交互聯網漏洞要高，但有兩個問題還是影響白帽子們提交漏洞的積極性：

許多SRC的積分不能換取現金，只能兌換等值獎品，可能和稅務有關
部分SRC還是在以白菜價收購漏洞，一個getshell漏洞可能只能換兩百元的紅包，中低危漏洞可能只有公仔

總體來說，挖掘諸如騰訊、阿里、360等自建SRC的廠商漏洞較難（也不是無技巧可尋），但其金錢上的回報也絕對夠份。

推薦指數：☆

五、參與培訓，擔當講師

當你有一定的技術後，就可以開始嘗試去做一個知識的傳授者。安全界有幾種授課方式：

私人培訓，個人做一些視頻教程，通過售賣視頻教程獲利，如某月的教程
在一些團隊（論壇）擔當版主或講師
在一些在線教育平台授課，如愛春秋等

前兩種多半會給人以『很坑』的印象，實際上確實是魚龍混雜，但如果你真的愛好傳授知識，去做一套視頻教程不光是一個可以獲取收益的行為，也是一個傳遞火炬的善舉。

這是某安全團隊做的一個培訓的介紹截圖，其價格在培訓中屬於偏低的，但如果其宣傳手段得力，視頻質量過關的話，薄利多銷也是能夠獲得很多收益的：

本人也做過一些授業的視頻，個人收益通常少則可能50~100一節課（10~20分鐘），多則可以到300~1000一節課。如果有一定能力的人，能夠參與一些實地脫產培訓的話，數千元乃至上萬元報酬一天也是不少的。

這樣的話，通常一套課程（可能30+節課）做下來，能賺數千元到數萬元。

近幾年新創的平台愛春秋也是信息安全在線教育的一個龍頭，我曾有意向申請愛春秋的講師但最後還是因為時間關係放棄了。此類新興的在線教育平台可能（我不知道愛春秋什麼情況，但我和其他一些平台有談過此類問題）會以『收看量』、『購買量』來給予講師報酬，其實和一些直播間類似了，收看你的教程的人數越多你的收益就越多。

這樣對於一般的講師來說有點吃虧，因為收看量（購買量）除了和講師的水平有關係外，其實和平台的推廣、用戶體驗、防盜版手段也有很大的關係，而這些原因是講師無法控制的，所以我覺得如果你要在這些平台做培訓的話，最好讓平台能一次性買斷，這樣收益可能更大。不過如果你自信你的視頻能夠靠量來盈利，甚至能給平台帶來額外的訪問量，和平台合作也不失為一個好方法。

做講師是一個需要口才的兼職，如果你感覺自己表達能力強可以嘗試。並且做講師通常沒有太高的風險，而挖掘漏洞是有一定風險的——假如一段時間你什麼漏洞都沒挖到，那麼可能這段時間一分錢收益都沒有，而做講師只需踏踏實實將自己的知識說出來，就有穩定的收入。

推薦指數：☆☆

六、為一些掃描平台開發插件

這是一個新興的職業，我將其稱之為——掃描器插件開發工程師。隨著國內各大廠商推出『可擴展』的『社區形式』的掃描器產品後，這個兼職也隨之產生，白帽子可以通過為一些商業掃描器開發插件來賺取收益。

Tangscan是烏雲平台依託其強大的漏洞庫孕育的一個社區化的商業掃描器，白帽子可以為其有償編寫插件並獲取積分。Tangscan在商業運營中，如果某個白帽子編寫的插件掃描到安全漏洞，將會給予該白帽子一定的分成；即使其編寫的插件沒有命中目標，Tangscan每個月也有一定的分紅：

這是Tangscan今年一月份的一次分紅，可以看到排名第一的白帽子分到了2400塊收益，但相比於挖掘漏洞來說確實還是太少了。我想的話，命中目標的獎金可能會比分紅要高吧，不過我寫的幾個插件沒有命中過目標，暫時不清楚情況。

Seebug是知道創宇公司運營的一個漏洞庫平台，其實也是為其掃描器收集插件。創宇當時號稱用百萬元懸賞插件，實際上其獎勵確實不低，我曾在該平台提交過數個漏洞詳情與漏洞POC，通常一個漏洞+POC能換取總共100~300元不等的獎勵。

這是Seebug第一期打款的截圖，可見其獎勵的力度確實比Tangscan要高一些：

對編程能力突出的同學而言，編寫POC是一個很好的工作，而且收益相對來說較高，一樣穩定。只要有耐心慢慢寫，穩賺不賠。

推薦指數：☆☆七、打CTF賺取獎金

對於學生來說，打CTF比賽無疑是提升能力的最好途徑之一，當然其豐厚的獎金也是外快的好來源。

我有時會混跡於CTF比賽中，但多數CTF比賽的獎金不高，有的可能只有禮品，所以很多人並不將其作為金錢來源，而是學知識認識朋友的好地方。高獎金的CTF比賽也不是沒有，Alictf是阿里巴巴公司舉辦數年的CTF比賽，其第二屆比賽的獎金創造了國內CTF比賽之最：

10萬元人民幣獎金+美國拉斯維加斯BlackHat之旅，被香港中文大學的香米小組獲得。我還記得當年第一屆阿里CTF預賽，每個打進前30名的隊伍的所有隊員都獲得了一部手機等等不記得的各種獎品。幾乎是只要你打了比賽，做了幾題就能獲得禮物，對學生來說是一個非常大的激勵。

這幾年國內的CTF比賽如雨後春筍，有一些長期參與各種比賽的同學（熟稱賽棍）憑藉自己打CTF的經驗，積累了不少獎金。不過畢業後能參與的CTF會逐漸減少，打CTF的時間、精力、小夥伴也逐漸減少。最後能一直堅持下來的同學可能更喜歡的是競賽的感覺而非金錢上的回報。

不過現在CTF比賽在獎金上也有一些亂象，總結一下大概有：

很多比賽因為稅務的原因，將獎金摺合成禮品發給獲獎者，甚至比賽完後才告訴參賽人員這個事情，很沒品
發禮品就算了，有的比賽獎金10000所以發一台Mac，可是CTF隊伍通常有三人，於是隊員還需自行處理禮品分配問題，導致獎勵貶值
有的比賽受到贊助商影響，在路費、住宿費歸屬、報銷問題上存在麻煩
有的比賽為了防止參賽者在互聯網上討論題目，甚至不允許參賽者上網，偏離了實戰環境，導致做題做的很憋屈。有種因噎廢食的感覺。（不過這一條和錢無關了）

不過這一年，CTF比賽相對於前幾年收緊、少了很多，獎金也降了一些（特別是阿里CTF，今年的獎金不足去年的一半）。可能也是受到金融低迷的影響，也可能是各大公司招人招的差不多了。

推薦指數：☆☆

八、寫文章，賺稿費

10年前大家寫了文章通常發布在安全論壇中，當時的黑客論壇討論活躍、文章眾多，後來因為國家的政策，包括安全行業形式的變化，論壇逐漸冷卻，多數已不復存在。

現在的安全研究人員多數將文章發表在自己的博客，或者投稿給一些安全媒體賺取稿費。烏雲平台的博客烏雲drops對安全類文章的稿酬是比較高的，通常一篇文章有500元人民幣的稿酬，而精華文章的稿酬將翻倍。除了稿酬以外，drops還會獎勵給文章作者烏雲的通用積分（大概價值200元），作者可以自行去兌換獎品。

我平時的文章也會分享到烏雲drops，一是能夠換取一些稿酬作為生活費，二是能夠積攢自己的『簡歷』。後者屬於另一個範疇，與錢無關，不多說。

另外，如果你英文好的話，去翻譯一些國外的好文章也可以獲得同樣的稿酬，也就是說可能你的技術還達不到能夠自己寫出出彩文章的程度，但你去收羅一些國外的文章進行翻譯也可以賺不少生活費。

樓上有個匿名作者說的其實也不錯，安全圈和娛樂圈也就一牆之隔，寫一寫大眾喜歡的文字也許比寫純技術文章更吃香。但我還是希望作者們堅持本心。

除了烏雲drops以外，Freebuf、360安全播報、安賽等安全相關的媒體都對投稿的文章有一定稿酬獎勵，不過金額和drops差一點。

所以，如果你技術高文筆好，或者英文好，或者能夠抓住用戶痛點，能夠抓住實事，沒事寫寫技術與非技術文章賺稿酬，也是外快的一部分，只不過確實沒多少。

推薦指數：☆☆☆

九、給一些『安全公司』打工

兼職，主要是做一些滲透測試方面的工作，當然必須是合法的。

推薦指數：☆☆☆

暫時想到這麼多，之後有的再補充吧。。。睡了睡了，寫了兩個晚上~

允許轉載，但切勿修改原文，避免喪失公平性！

======

2016.11.23 補

有些人還質疑我，說幾十萬不可能。

除了井底之蛙，我還能說什麼呢？我如果只是想裝逼的話，沒必要匿名。我說的所有內容都可以考證，舉個例子，據我所知文中提到的維尼熊寶貝是一個大學生（曾經烏雲平台上的一位通用獎勵大牛），並且去年才高中畢業。他一個月的獎金就達到14w，相比起來我4年賺的根本不值一提。

謝某人邀。

既然@mtcmzh 又點名到了我，不出來是不行了，他的原答案我先貼著如下：

「張羅會議，吹牛逼，騙小黑，拉廣告，賣門票，比如某弦某con又是北京專場又是西部大會的，就是個此中好榜樣嘛。」

我來解讀下吧，這個說的是我，以及我辦了5年的 KCon 黑客大會。這並不是賺外塊的方式，這是公司行為，不切題。那麼，為什麼 mtcmzh 會這樣來黑我？因為這馬甲就是為黑我而存在的（他親口說的），我罵過這人「躲在陰溝里的馬甲」，他是圈子某團隊某黑客，混跡好幾處，現在上海，當然不排除又到處「亂搞」。

切到題主的正題上，賺外塊，其他人回答很多了，如果你處於我這個位置，恐怕方式更多，比如最近火的「值乎」、「分答」都是一種好方式，當然，我玩玩賺了點（以我玩的那種方式，月入可以上w），就沒什麼興趣繼續，機會成本問題。如果有點資本，玩比特幣、炒股都是方式，看個人。黑客是不是應該得有那種特別的思維？（不是去黑掉，而是去感知本後本質），所以，玩這些，怕？

那麼對於這位黑我的陰溝馬甲，你們猜我會怎麼處置？爆他老底，躲在陰溝里多不好呀，關注我的微信公眾號：Lazy-Thought，我會讓你們知道 mtcmzh 這個人的身份。

歡迎，公開 PK，小蒼蠅我無所謂，對你這種陰溝大馬甲，就這樣，非常有意思。

圍觀的人，也許你會明白我為什麼要這樣做，也許你不會明白，看看我 13w 多的關注者就知道了，罵我的如果有 1%，那也有 1300 個人，這種爭議太正常了，我怕？我只是覺得 mtcmzh 這種天生為黑我而生的馬甲太有意思了（黑了9個月了？），尤其是我深度剖析了他的行為與心理，知道他的真實身份後……

對吧？mtcmzh，B1n***

不好意思，題主，在這吵起來了。

既然@mtcmzh 點了餘弦和KCon西部大會的名，得站出來回應一下，很少玩知乎，給題主添麻煩了。他的原答案我先貼著如下：

「張羅會議，吹牛逼，騙小黑，拉廣告，賣門票，比如某弦某con又是北京專場又是西部大會的，就是個此中好榜樣嘛。」

我不認識@mtcmzh這個人，也無任何瓜葛，但我想他可能不是西部的安全技術人員，並非是對東南沿海發達地區的朋友們不敬，只是說這個人不了解西部安全技術圈子所處的資源環境。

IC是我多年的朋友，一個土生土長的西安人，也是陝西走出去成功的一批網路安全創業者之一，我們一直有個夢想，把家鄉的互聯網安全環境、氛圍做起來。憑什麼美國東部有紐約、華盛頓這樣的經濟、政治中心，西部有矽谷這樣的科技中心，而我們國家的西部就要維持現狀？

我是一個在西安學習安全多年的技術人員，每次想參加業內頂級的技術分享只能去北上廣深，路途遙遠不說，只能自己現場學點東西。思想和技術的傳播是需要途徑的，我自問沒有能力把這邊的朋友們全部帶到發達地區學習，所以想把KCon這樣級別的會議辦過來。在KCon西部這件事上，是我去找餘弦幫的忙，他給了我辦KCon西部的授權，@mtcmzh請你別想多了。

再就是，大會是賠錢的，何來賺錢一說……門票一張多少錢？包含了多少內容？三折的學生票200張，含酒店的自助午餐，這個成本用腳趾頭也想的出來……在賠錢這件事上，如果不是蔡老闆、風總、呆神、Oscar、張瑞東等各位前輩們、朋友幫助，賠的更多。

我從一開始就沒指望大會能夠收支平衡，我們團隊從始至終只關心會議質量。「這裡得特別感謝我們的議題演講者們，為我們精心準備了高質量的乾貨議題分享」

後面說點正題，技術人員想賺錢的話，Seebug會是很好的選擇。同時各大SRC也都有很棒的獎勵機制。現在全國比賽這麼多，有能力也可以去這些大賽試試。

參加安全眾測，而且不要被那些浮躁的人所影響，不要信他們所說，

大多數人找不到漏洞，是因為根本就沒儘力，而且也不怎麼堅持。

很想幫助一些人，又很怕得罪另外一些人。只能說，和我一樣年輕或者比我年輕的同學們，請在心裡裝著勢能和動能兩個維度，在自身有限的時間和有限的功率下做功，合理分配兩個維度上積累的能量，一味追求速度也許並不像看上去那麼炫。

我試著展開來表達下我的看法。

作為信息安全專業畢業的學生，畢業後也一直沒斷過和學生打交道，所以我知道那個匿名同學的高票答案很對學生們的胃口，我相信一定會對很多在校生的職業規劃產生很大的影響，我對這種潛在的影響感到不安，我嘗試著寫點什麼來做中和。

首先，題目問的是兼職，答主回答的也是在這個範疇內，所以請讀者千萬別把職業發展方向和兼職掙外快這兩個概念弄混。哪怕外快看上去掙得似乎比主業還多。

然後，即使是兼職，即使是業餘時間或者在校期間，也涉及到我一開始提到的動能和勢能的問題，哪個極端都不好，找到合適的平衡點最好。特別是在校生，在這個時期你掙錢的資本和花錢的地方都不多的情況下，著眼於積聚勢能也許比積聚動能更有利一些。掙錢的事情不一定不漲勢，比如做眾測、打比賽，都很鍛煉能力，但得分清主要矛盾，分清你要的是什麼；有些漲勢的事情並不掙錢，必如學好數學、英語，比如鍛煉自己的溝通能力、組織能力，比如通過實踐去養成良好的科學素養和工程素養，比如跟著老教授們學做人做事，但這些事情今後很可能讓你更多的掙錢或者更從容體面的掙錢。

安全是一個很特殊的領域，這個領域內有些事情可能需要相對不那麼高的難度就能起到相對而言更大的作用和效果，於是很容易因為事情的牛逼作用和效果而相對過高的放大了對自身能力的認識。這時候利用這些事情的重要性把自己往高了提，作用和效果的重要性是可以轉化為勢能並最終積累沉澱下來的，而如果轉化為動能，則最後留下來的還是自身做的那些功。

舉個可能會被噴的例子，比如我找到一個水平許可權的漏洞或者sql注入漏洞，可能導致某個公司受到很大的損失，而因為我，使公司避免了這一切，於是我膨脹了，把漏洞的重要性和發現漏洞的難度做了概念混淆，順其自然的認為自己（技術）很牛逼，然後呢，如果我沉浸在這種快感中，急著變現的話，等這個重要漏洞的影響過去，我還是什麼也不是，我會在從自己認為自己牛逼到社會並不認為我那麼牛逼（當然也有一定牛逼）的落差中把我之前多掙的那點錢再吐出來。而如果我在此基礎上利用一個個這樣的機會去往更深的層面去探索和發展的話，改變的是我掙錢的能力，而非我賬戶內錢的數額，未來我會過得更從容一些。

啟明星辰的大潘老師提到南向和北向的概念，南極點是純技術，北極點是純管理，那麼我的看法是哪怕慢一點也要往極點走，別繞著赤道高速轉圈。

答主提的那些眾測和比賽的事情本身都非常好，但在這個題目的背景下就很容易被理解成消耗勢能去換取動能的事情，事實上現在不少在校的學生還真就是這個狀態。

另外一個角度，我記得我小時候看過一個不知道是哪個版本的「黑客準則」，裡面有一條是「黑客不做重複的事情」，這一直指引著我，用在這些事情上，也可評估下你是一名身處底層但在不斷突破自我和世界邊緣的黑客，還是信息安全行業內一個賺著不少外快的外圍。

半睡半醒的胡亂抒發著自己的感情，爪機打字也顯得詞不達意，不當的地方等清醒了再去修改活刪除吧。特別是每每用動能和勢能來表達時，總是有一個聲音再我耳邊嗡嗡：「你特么不知道能量守恆嗎」……

不是回答題主的問題，只是針對高票回答的一個中和，請諒解～

為什麼沒有人說ctf，國內現在ctf辣么多，還有geekpwn這類破解show，獎金很可觀呀。

去年我司有幾個同事組團參加了geekpwn，拿到獎金後請全公司在盤古七星吃了一頓，那可是我第一次在盤古七星吃自助啊

不知為何地，我突然想到「當官的，除了貪污，還有什麼賺錢的手段」

還有比黑產快的？

如果我理解的沒錯，題主是問的是，除了黑產還有什麼掙錢快又合法的方式，換句話說，是問的有哪些打擦邊球的方式，你們都答的啥，做教程？刷src？刷插件平台？這些我用屁股都能想出來。

如果是這樣你也別指望別人告訴你實話，告訴你就相當於多了一個競爭對手。

當然我也不會告訴你的。

現在的話，可以給各個在線網安實驗室網站投稿，設計實驗。廣告我就不打了，目前在線網安教育方面，設計師需求量還是蠻大的。並且適合兼職賺外快。最大的好處是：不要求我們每人都達到TK教主的水平，只有自己夠用心，就可以搞出不錯的作品。

張羅會議，吹牛逼，騙小黑，拉廣告，賣門票，比如某弦某con又是北京專場又是西部大會的，就是個此中好榜樣嘛。

PS1:

辛苦 @Bruce 先生特地註冊了帳號來澄清會議背景和酸苦，並強調

再就是，大會是賠錢的，何來賺錢一說……門票一張多少錢？包含了多少內容？三折的學生票200張，含酒店的自助午餐，這個成本用腳趾頭也想的出來……在賠錢這件事上，如果不是蔡老闆、風總、呆神、Oscar、張瑞東等各位前輩們、朋友幫助，賠的更多。

我腳趾頭算不出來所以還是用腦子算，腦子不太好也算不對，所以想請教下大家：

Kcon西部大會據官方數據，普通外售票價是1024，學生票價是300（按 Bruce 所說 200 張），總與會500+人。也就是說不算廣告贊助，門票收入至少就有：

$1024 imes 300 + 300 imes 200 = 367200$

會議廳位於曲江惠賓苑賓館，估計網上報價，1200人的會議廳日租價格為100000，也就是說至少還結餘：

$367200 - 100000 = 267200$

大會總共9個議題9位嘉賓，算上每人4000的往來機票和兩晚2000住宿費，扣除後至少還剩餘：

$267200 - 6000 imes 9 = 213200$

當然我並不清楚9位嘉賓的出場費多少，大家感興趣可以私下請教下風寧、張瑞冬等演講嘉賓，然後大概就能算出Kcon西部大會到底是賺了還是賠了吧？

各種講課，（雖然我幾乎都是義務講師）或者一些獎金不錯的比賽，總體氛圍挺好可以去了解了解。

作為非信息安全行業人員，我的選擇是hackerone上的IBB，開源項目看代碼找漏洞省時省力：）

用黑產賺錢也並不是想的那麼好的，

我前師傅利用某d技術，一夜擼了深圳某新創業公司200W手機話費，結果還不是被抓進去關在局子里，我那時在他群里，只記得他群費一個月收入都突破30萬。

其實現實中有好多合法的暴利行業，不比黑產差，嗯，只是很多的一般人根本沒有發現的眼光而已。

其實只要你經常留意安全娛樂圈，方式還是有很多的，但需要結合自己的現狀，下面我來講幾個。

比如有一定技術可以找幾個公司同事參加些ctf跟大學生們搶錢，水平低可以找些比較差的比賽，最好別留名萬一沒拿第一被大學生打臉就不好了。當然如果圈裡比較有「面」其實組織ctf也是很能賺錢的，當然這票可能幹的略大不符合外快的定義。

沒功夫比賽的，其實寫文章也可以賺錢，當然不是技術文章，寫技術文章那有什麼用？這年頭看技術文章的有幾個？娛樂文有這麼幾個路數可以使用。

1，翻譯這招夠low但是屢試不爽。

2，借東風跟著火熱的安全事件扯些不痛不癢的蛋，什麼分析分析黑產現狀啊，講講最新漏洞的威脅性質啊。這招還需要些文筆，實在不行的還是看1，別告訴我你不會外語，機翻就行格式工整就好沒幾個人看你內容。

3，炒作垃圾事件這招可要有點真功夫，你要時時關注最新事件，懂得各種安全事件和漏洞的炒作手法，不要擔心你不是漏洞作者也無需考慮修復方案，但是一定要給漏洞起個好名字，要是會畫logo那就完美了，危害就往大里說，反正關注問題本身的沒幾個人。

方法多種多樣，沒事多刷刷微博，自會領悟其中奧妙。

沒有，去吧，做嘿鏟去吧

天天想賺錢……雖然用技術換錢很正常，但除了嘿鏟沒別的思路，八成也是沒什麼技術了

老闆說過一句話，很有意義：

這是個高危行業，你們可以看到跟我同時代的人，基本所剩無幾

我覺得樓主對信息安全行業人員的理解有點偏頗，真正的信息安全人員的價值是保護信息資產的，何來從事黑產一說？我舉個不太恰當的比喻，公安局和保安公司的人除了攔路搶劫之外還有其他賺錢方法么？

我覺得信息安全人員最大的價值是要保護信息資產，通常乙方的信息安全人員的收入來源於高質量的諮詢和技術服務，甲方信息安全人員的收入來自深度貼合業務的安全保護經驗。信息安全研究人員的收入來自高含金量的技術研究，信息安全管理層的價值來自於合理科學的管理方式和信息安全發展方向的指引。

如果硬要說外快的話，一般乙方的技術人員，通常會幫助一些信息安全資源不足的企業做做技術檢測和諮詢工作（可以理解為一個會計空的時候幫別的企業做帳，干私活），滲透測試工程師可以去合法的眾測平台挖漏洞提交獲取一定獎勵，當然像一樓這樣的牛逼人物可以去參加比賽獲得獎金。一些知名人士可以通過各種業內的活動和宣傳聚攏人氣和知名度，然後轉化為實際收益，甲方的信息安全技術就比較苦逼了（當然昧著良心拿回扣的違法行為我們不討論），相對乙方出路少了不少。

從事黑產是違法行為，尤其是明天（6月1日），新的網路安全法正式實施生效，很多行為都是分分鐘讓你進去的。從事黑產這種行為極為惡劣，嚴重損害了信息安全行業的口碑，實在不值得提倡。信息安全人員要嚴格自律，把極少數的害群之馬清除出信息安全行業。

來知乎回答問題。並升級為網紅......（大霧）

對剛剛涉及信息安全行業的人來說，對黑產這方面接觸不多，但是曾經有一個長者告訴我，他有個朋友就是做黑產，原因是為了給家人治病。早期一大批黑客能有幾個熬到現在這個重視信息安全的時代，生活所迫。。哈哈，不好意思我又跑題，其實答案上面幾位題主都已經說的很全了，我就只好說說別的啦

上遊走倒數據