第一單------------------------------------------，周四。。，需求文檔只有一頁(yè)半，預(yù)算不高，但要求很明確：列出漏洞，給出修復(fù)建議，一周內(nèi)交付。，回了接單確認(rèn)。然后打開(kāi)對(duì)方發(fā)來(lái)的系統(tǒng)訪問(wèn)憑證，開(kāi)始看。[檢測(cè)到目標(biāo)系統(tǒng)為自建PHP框架，版本較舊。][核心框架版本對(duì)應(yīng)2011年左右的寫(xiě)法。存在多處已知漏洞模式。]——注釋混亂，變量命名隨意，SQL查詢(xún)沒(méi)有參數(shù)化。他花了大約二十分鐘掃完，標(biāo)注了三處明顯的問(wèn)題點(diǎn)。[還有兩處潛在風(fēng)險(xiǎn)，需要進(jìn)一步驗(yàn)證。]——真實(shí)可利用，經(jīng)典的單引號(hào)閉合，完全沒(méi)有做過(guò)濾。標(biāo)注：高危。，但利用條件苛刻。標(biāo)注：中危。，登錄前后session ID不變。標(biāo)注：中危。[另有信息泄露和弱密碼策略各一處。共5處漏洞。]。這種單子的客戶(hù)通?？床欢夹g(shù)細(xì)節(jié)，所以報(bào)告要寫(xiě)得清楚——問(wèn)題放前面，風(fēng)險(xiǎn)程度用顏色標(biāo)注，修復(fù)建議寫(xiě)得越具體越好。。他覺(jué)得一份寫(xiě)得清楚的報(bào)告本身就是能力的證明。[你寫(xiě)報(bào)告的時(shí)間比分析漏洞的時(shí)間長(zhǎng)。]
"客戶(hù)付的是報(bào)告的錢(qián)，不是分析的錢(qián)。"
小龍蝦沒(méi)有再說(shuō)。
下午四點(diǎn)，報(bào)告寫(xiě)完了。林凱從頭讀了一遍，改了兩處措辭，刪掉一段廢話。然后提交，等客戶(hù)確認(rèn)。
第一單，完成。
他在收入記錄文件里加了一行：+680元（待到賬）。
數(shù)字不大，但這是第一個(gè)。
---
林凱把瀏覽器關(guān)掉，重新打開(kāi)一個(gè)干凈的終端窗口。
他有一個(gè)習(xí)慣：每次任務(wù)結(jié)束之后，把用過(guò)的工具、測(cè)試記錄、臨時(shí)文件都整理一遍，該刪的刪，該歸檔的歸檔。不是為了掩蓋什么，而是為了下次用的時(shí)候不被之前的殘留干擾。
整理完了，打開(kāi)筆記文件，加了一個(gè)新條目：會(huì)話固定漏洞——常見(jiàn)于舊PHP框架，修復(fù)方式是登錄后重新生成session ID。
知識(shí)點(diǎn)要記下來(lái)。這次遇到了，下次就不會(huì)陌生。
[知識(shí)庫(kù)新增條目：1。當(dāng)前總條目：23。]
[上周新增4個(gè)。本周目前新增3個(gè)，今天是周四。]
他關(guān)掉筆記文件，靠在椅背上休息了一會(huì)兒。今天的工作時(shí)間比預(yù)期長(zhǎng)，但值得——第一單做完，有了第一份收入記錄，有了第一個(gè)可以回顧的案例。
以后再接到類(lèi)似的單子，他會(huì)更快。
陳浩下午回來(lái)，看了一眼林凱，說(shuō)："你今天挺精神的。"
林凱說(shuō)："接了個(gè)單子，做完了。"
陳浩點(diǎn)了點(diǎn)頭，去倒水，沒(méi)有再說(shuō)什么。他不太問(wèn)細(xì)節(jié)，林凱也不太解釋。這是他們之間的默契。
林凱重新打開(kāi)電腦，開(kāi)始找下一個(gè)單子。
---
晚上，林凱在論壇上看到有人發(fā)帖討論SQL注入的新變體，和他今天遇到的那個(gè)不太一樣，但有相關(guān)性。他把帖子收藏了，加進(jìn)閱讀列表。
學(xué)習(xí)不是只發(fā)生在做任務(wù)的時(shí)候。任務(wù)是驗(yàn)證，平時(shí)的積累才是基礎(chǔ)。他在學(xué)校里沒(méi)有專(zhuān)門(mén)學(xué)過(guò)安全，全靠自己找資料、找案例、找人問(wèn)。這種學(xué)法效率不高，但有一個(gè)好處——什么是真的有用的，他非常清楚，因?yàn)槊恳粋€(gè)知識(shí)點(diǎn)都是他主動(dòng)找來(lái)的，不是被動(dòng)接受的。
[你今天花在主動(dòng)學(xué)習(xí)上的時(shí)間：2小時(shí)17分鐘。花在任務(wù)執(zhí)行上的時(shí)間：3小時(shí)44分鐘。]
"學(xué)習(xí)時(shí)間少了點(diǎn)，"林凱說(shuō)。
[但任務(wù)完成了。兩者需要平衡。]
他關(guān)掉論壇，打開(kāi)一個(gè)技術(shù)文檔，開(kāi)始讀。今天還有一個(gè)小時(shí)，夠用。
陳浩已經(jīng)睡了，鼾聲很輕。林凱把臺(tái)燈亮度調(diào)低，繼續(xù)看文檔。窗外偶爾有風(fēng)，把窗簾吹起來(lái)又放下，安靜得像是什么都沒(méi)有發(fā)生。
但今天是有什么發(fā)生的。第一單，做完了。
[
"很好，"林凱說(shuō)，"明天繼續(xù)。"
小龍蝦沒(méi)有回應(yīng)。她知道這句話不需要回應(yīng)。
---
快十一點(diǎn)的時(shí)候，林凱把今天用過(guò)的測(cè)試工具配置記錄下來(lái)，存進(jìn)一個(gè)專(zhuān)門(mén)的配置文件。
他吃過(guò)一次虧：某次重新搭環(huán)境，因?yàn)闆](méi)有記錄之前的配置，花了將近兩個(gè)小時(shí)從頭來(lái)。從那以后他養(yǎng)成了這個(gè)習(xí)慣——用過(guò)的東西，記下來(lái)，下次直接用。
小事，但省時(shí)間。
[配置文件已更新。當(dāng)前記錄工具數(shù)：11。]
[上次是8個(gè)。新增了今天用到的3個(gè)。]
林凱把文件保存，關(guān)掉窗口。今天的事情做完了，可以睡了。
他在睡前想了一下今天最重要的收獲：不是那680元，而是完整走了一遍從接單到交付的流程。知道了哪些地方順，哪些地方需要改進(jìn)。
下次會(huì)更快。
他關(guān)掉臺(tái)燈，宿舍里暗下來(lái)。窗外有月亮，光從窗簾縫里透進(jìn)來(lái)，在地板上畫(huà)了一條細(xì)線。林凱看了一眼，然后閉上眼睛。第一單完成了，一切都還在軌道上。
林凱把屏幕調(diào)暗了一格，眼睛已經(jīng)有點(diǎn)干澀。他習(xí)慣在思路斷掉的時(shí)候停下來(lái)，不是因?yàn)榉艞?，而是因?yàn)閺?qiáng)行推進(jìn)只會(huì)產(chǎn)生更多錯(cuò)誤。有些問(wèn)題放一放，睡一覺(jué)，醒來(lái)再看往往會(huì)發(fā)現(xiàn)原來(lái)的思路走偏了。
小龍蝦的圖標(biāo)縮在屏幕角落，沒(méi)有閃爍，沒(méi)有提示。它在等他。林凱有時(shí)候覺(jué)得這種沉默本身就是一種回答——當(dāng)它不說(shuō)話的時(shí)候，通常意味著它也在消化，在重新排列某些它認(rèn)為重要的信息碎片。
他把今天的記錄合上，關(guān)掉臺(tái)燈。窗外還有光，是走廊的日光燈透進(jìn)來(lái)的那種冷白色。夠了，今天夠了。