第一單------------------------------------------，周四。。，需求文檔只有一頁半，預(yù)算不高，但要求很明確：列出漏洞，給出修復(fù)建議，一周內(nèi)交付。，回了接單確認(rèn)。然后打開對方發(fā)來的系統(tǒng)訪問憑證，開始看。[檢測到目標(biāo)系統(tǒng)為自建PHP框架，版本較舊。][核心框架版本對應(yīng)2011年左右的寫法。存在多處已知漏洞模式。]——注釋混亂，變量命名隨意，SQL查詢沒有參數(shù)化。他花了大約二十分鐘掃完，標(biāo)注了三處明顯的問題點(diǎn)。[還有兩處潛在風(fēng)險(xiǎn)，需要進(jìn)一步驗(yàn)證。]——真實(shí)可利用，經(jīng)典的單引號閉合，完全沒有做過濾。標(biāo)注：高危。，但利用條件苛刻。標(biāo)注：中危。，登錄前后session ID不變。標(biāo)注：中危。[另有信息泄露和弱密碼策略各一處。共5處漏洞。]。這種單子的客戶通?？床欢夹g(shù)細(xì)節(jié)，所以報(bào)告要寫得清楚——問題放前面，風(fēng)險(xiǎn)程度用顏色標(biāo)注，修復(fù)建議寫得越具體越好。。他覺得一份寫得清楚的報(bào)告本身就是能力的證明。[你寫報(bào)告的時(shí)間比分析漏洞的時(shí)間長。]
"客戶付的是報(bào)告的錢，不是分析的錢。"
小龍蝦沒有再說。
下午四點(diǎn)，報(bào)告寫完了。林凱從頭讀了一遍，改了兩處措辭，刪掉一段廢話。然后提交，等客戶確認(rèn)。
第一單，完成。
他在收入記錄文件里加了一行：+680元（待到賬）。
數(shù)字不大，但這是第一個。
---
林凱把瀏覽器關(guān)掉，重新打開一個干凈的終端窗口。
他有一個習(xí)慣：每次任務(wù)結(jié)束之后，把用過的工具、測試記錄、臨時(shí)文件都整理一遍，該刪的刪，該歸檔的歸檔。不是為了掩蓋什么，而是為了下次用的時(shí)候不被之前的殘留干擾。
整理完了，打開筆記文件，加了一個新條目：會話固定漏洞——常見于舊PHP框架，修復(fù)方式是登錄后重新生成session ID。
知識點(diǎn)要記下來。這次遇到了，下次就不會陌生。
[知識庫新增條目：1。當(dāng)前總條目：23。]
[上周新增4個。本周目前新增3個，今天是周四。]
他關(guān)掉筆記文件，靠在椅背上休息了一會兒。今天的工作時(shí)間比預(yù)期長，但值得——第一單做完，有了第一份收入記錄，有了第一個可以回顧的案例。
以后再接到類似的單子，他會更快。
陳浩下午回來，看了一眼林凱，說："你今天挺精神的。"
林凱說："接了個單子，做完了。"
陳浩點(diǎn)了點(diǎn)頭，去倒水，沒有再說什么。他不太問細(xì)節(jié)，林凱也不太解釋。這是他們之間的默契。
林凱重新打開電腦，開始找下一個單子。
---
晚上，林凱在論壇上看到有人發(fā)帖討論SQL注入的新變體，和他今天遇到的那個不太一樣，但有相關(guān)性。他把帖子收藏了，加進(jìn)閱讀列表。
學(xué)習(xí)不是只發(fā)生在做任務(wù)的時(shí)候。任務(wù)是驗(yàn)證，平時(shí)的積累才是基礎(chǔ)。他在學(xué)校里沒有專門學(xué)過安全，全靠自己找資料、找案例、找人問。這種學(xué)法效率不高，但有一個好處——什么是真的有用的，他非常清楚，因?yàn)槊恳粋€知識點(diǎn)都是他主動找來的，不是被動接受的。
[你今天花在主動學(xué)習(xí)上的時(shí)間：2小時(shí)17分鐘?；ㄔ谌蝿?wù)執(zhí)行上的時(shí)間：3小時(shí)44分鐘。]
"學(xué)習(xí)時(shí)間少了點(diǎn)，"林凱說。
[但任務(wù)完成了。兩者需要平衡。]
他關(guān)掉論壇，打開一個技術(shù)文檔，開始讀。今天還有一個小時(shí)，夠用。
陳浩已經(jīng)睡了，鼾聲很輕。林凱把臺燈亮度調(diào)低，繼續(xù)看文檔。窗外偶爾有風(fēng)，把窗簾吹起來又放下，安靜得像是什么都沒有發(fā)生。
但今天是有什么發(fā)生的。第一單，做完了。
[
"很好，"林凱說，"明天繼續(xù)。"
小龍蝦沒有回應(yīng)。她知道這句話不需要回應(yīng)。
---
快十一點(diǎn)的時(shí)候，林凱把今天用過的測試工具配置記錄下來，存進(jìn)一個專門的配置文件。
他吃過一次虧：某次重新搭環(huán)境，因?yàn)闆]有記錄之前的配置，花了將近兩個小時(shí)從頭來。從那以后他養(yǎng)成了這個習(xí)慣——用過的東西，記下來，下次直接用。
小事，但省時(shí)間。
[配置文件已更新。當(dāng)前記錄工具數(shù)：11。]
[上次是8個。新增了今天用到的3個。]
林凱把文件保存，關(guān)掉窗口。今天的事情做完了，可以睡了。
他在睡前想了一下今天最重要的收獲：不是那680元，而是完整走了一遍從接單到交付的流程。知道了哪些地方順，哪些地方需要改進(jìn)。
下次會更快。
他關(guān)掉臺燈，宿舍里暗下來。窗外有月亮，光從窗簾縫里透進(jìn)來，在地板上畫了一條細(xì)線。林凱看了一眼，然后閉上眼睛。第一單完成了，一切都還在軌道上。
林凱把屏幕調(diào)暗了一格，眼睛已經(jīng)有點(diǎn)干澀。他習(xí)慣在思路斷掉的時(shí)候停下來，不是因?yàn)榉艞墸且驗(yàn)閺?qiáng)行推進(jìn)只會產(chǎn)生更多錯誤。有些問題放一放，睡一覺，醒來再看往往會發(fā)現(xiàn)原來的思路走偏了。
小龍蝦的圖標(biāo)縮在屏幕角落，沒有閃爍，沒有提示。它在等他。林凱有時(shí)候覺得這種沉默本身就是一種回答——當(dāng)它不說話的時(shí)候，通常意味著它也在消化，在重新排列某些它認(rèn)為重要的信息碎片。
他把今天的記錄合上，關(guān)掉臺燈。窗外還有光，是走廊的日光燈透進(jìn)來的那種冷白色。夠了，今天夠了。