在南京的一年，聊聊一个非典型的安全公司

我在南京带了两个实习生，三个是我从b站上招聘的大学生。一年以后，这三个人，他们一个留在了本公司实习转正，一个去了甲方，一个回老家考了公务员。

还记得实习转正的时候，我给他们写导师评价。刚来的时候带他们配置漏扫服务器、做渗透测试。短短的几个月很快就过去了。

A觉得转正以后给8K太低了，B说要趁着秋招好好投简历。

我觉得，这个公司工作这么轻松，南京作为二线城市，给8K就等于北上广给13K了。但是年轻人都喜欢加班换钱的工作，我表示理解。

x01

刚来南京就被派去某cg局做渗透项目。印象深刻的是挖到一个前台登录界面的sql注入。当时很菜，只知道有注入，但是无法getshell，然后告诉了w哥。他一顿操作就发给我shell了。

渗透2天，然后局长就拉着我跑下属单位，排查弱密码。我说，让他们把密码发我，我看看是不是弱密码不就行了吗？

他们说，不行，密码不能发。

那我去下属单位怎么排查弱密码呢？

局长说，让他们输入密码，然后我远远的看一眼是不是像888888这样的弱密码。

…… 那好吧

最后该局还是被通报存在漏洞了。但是问题不大，都是一些目录遍历之类的，并未getshell

x02

半年后，还是该局。局长要求去给他们做简单做一个安全培训

于是那以前的安全培训PPT去给他们讲。这是现场第一次。

局长说，这样的PPT不行，要针对cg局的系统漏洞来说，知名度太高的漏洞不用讲。

于是重新写了PPT，再去给局长讲。这是现场第二次。

再修改，再讲。

最后整到第七八次，整的我都要奔溃了，客户崩溃了，公司也崩溃了。项目经理也不跟项目了，就扔我一个人在那跟客户扯皮。

不是说简单做一个安全培训吗？

然后又要重新给他们写PPT，增加时间到一个半小时，又要给开发做技术培训，又要给领导讲的听懂，还要通俗易懂。

最后我把PPT给了一个售前，让他去讲，竟然一次通过了。他做的是汇报，而不是技术培训。汇报我听了，不愧是销售，口才很好，嘴皮子很利索。

但是我是做技术的，不是销售啊， 一早让售前讲不就没事了吗。局长又要白嫖，要求还这么高。我也很郁闷。

x03

某厅被勒索了，叫我过去看看。

我一看，他们叫了长亭做渗透测试，但是漏洞没修。他们想杀毒，但是买了深信服edr。我一看还有个rce的漏洞，并且跟客户说，这个edr是只有告警没有终端杀毒功能的。客户一听，赶快给销售打电话，深信服的销售肯定恨死我了。

x04

某单位的系统时间被改了，叫我过去看看是不是被入侵了。

我喊着实习生一块，过去到处翻日志。最后出了一个未发现渗透痕迹的报告。

分析最有可能的是管理员误操作，但是又不想承认，说是黑客干的。

黑客闲的没事干，不写webshell，不搞勒索，去修改系统时间？

x05

我吃完饭，坐在餐厅的椅子上懒得动。又是没活的一天。上级白天睡觉晚上干活，去公司也没事干。

我找一个上海的人聊天，他说乙方就是这样的。

还说我应该抓紧时间学习，是拉开差距的好机会。

说他以前半个月没去公司都没人发现。

x06

南京的生活真的舒服。早上睡到9点起床，吃个早餐，9点20出门，9点30到公司。

11点20下班了，坐电梯下楼，不然晚了下不去。办公楼在26层，整栋楼都是办公用的。

午休到下午2点。去公司上班，有活就干一下，没活就搞自己的事情。5点20准时下班。

x07

w哥跳槽了，去了一家区块链安全公司，年薪翻了三倍。我估计应该有年薪百万了，具体有多少，我也没问，反正不是我的，问了有啥用。

换了一个学历很低的人当领导，开始查考勤，设置各种规章制度，晚上还叫我加班，加任务。

给我安排开发的活，但是不加工资，还得给其他同事保密（我也不懂为啥），连周报都得写两份。

工资低本来是劣势，但是因为工作清闲，就变成优点了（时薪高）。随着换领导，优点也没了，只剩下缺点。所以我就跳槽了。