以下都是我入行五年观察来的个人见解，被刺中的不提供安抚服务。

1. 水浅王八多，一堆高中，大专哥（泛指，包括但不限于）会点安全工具，做点测试就以为技术高超，典型取名特点是：xx学安全，xx安全实验室，中国红/黑/白客，白/黑/红/绿帽子团队

2. 互联网上95%的博客文章，包括各类安全社区文章都是垃圾文，同质化严重，永远逃不脱 记一次xxx内网/外网渗透测试，xxx漏洞复现，xxx反序列化漏洞，xxx不出网利用，文字可能变了但东西从我19年入行以来就没变过，永远在炒冷饭。

3. 同时包括GitHub上开源的代码，95%也同样是垃圾，换个皮改个ui，增加图形化就觉得自己写了个牛逼的工具，核心功能调的都是其他项目，观察大部分信息收集工具会发现都是缝合怪，把几个工具缝在一起就是自己的，具体研究原理的人少之又少。举个具体例子，google搜nuclei扫描器原理，大部分文章都是告诉你怎么使用，基本就是把别人官方教程中译了一遍，研究实现逻辑，工具优秀的原因有几篇？

4. 职业天花板低，工作内容繁琐低级（这与安全行业本身在企业内的定位也有关），技术含量极低（不包括二进制爷，特指web狗）

如果有初学者想听我一句忠告，我只能说 如果你的学历是985、211一律劝退安全，开发、算法才是正统；如果你是大专哥或者普通一，二本，那么安全行业将是你的温柔乡

内容来源：https://forum.butian.net/question/1288