今天一件事大火，是什么都知道就不说了，说说我的个人看法。这篇文章会惹很多人不爽，尤其白帽子，事先声明：1、你不喜欢可以不看，你看完要喷我也懒得搭理你。2、我不是任何甲方乙方人员，不是SRC上班的也不是黑白红绿帽子，3、本文章不针对具体某个人、某个团队、某个SRC，因为某个人、某个团队、某个SRC只是这矛盾中的一个爆发点而已，没有他们，这个矛盾也会由其他个人、团队、SRC暴露出来。

这一年里，我们都看到了越来越多的公众号文章抱怨国内SRC坑，不是漏洞定低了就是嫌钱少，最近的一篇我还能记起来的好像叫做《SRC发展到今天有必要考虑考虑了》，文章说了一个事情：报上漏洞就回复内部已发现，反正不给你通过。单从那个文章看，我也觉得这小白帽挺可怜。

我在这里想先问一句：什么是白帽子？什么是公司？这俩是一回事吗？

白帽子抱怨国内SRC给回报低，我也觉得低。但谁让你提交了？SRC拿刀子逼你了？你要非说“白帽子要为国内网络安全做贡献”，可以呀，那你们就做不就贡献不就完了，只要能帮助甲方修补了漏洞就是贡献，你还提钱干什么？再说高危低危，你非要说一个ssrf是高危，能探测内网，我承认可以探测端口，但是又如何？你真的拿这个漏洞干了有危害的事了吗？人家单独划分wlan了不行吗？你确实看到了一个内网IP 172.x.x.x，开放了80端口，但是就存在一台主机，就开了80端口放了个HTML页不行吗？你就非要说这个是严重吗？

退一步讲，你真嫌国内风气不行，那我可以帮你指条路，你去挖谷歌，谷歌chrome一个漏洞能给到$100000，注意是5个零，就算是谷歌网站的一个XSS也能到10000刀，再次点你去挖微软系统漏洞啊，最差不行你就去挖adobe和weblogic。上面说的很明白，你嫌国内低你找钱高的去挖不就好了，就像你找妹子：你嫌这个丑你去找刘亦菲嘛（其实我也不觉得刘亦菲好看，我喜欢王冰冰），难道你就一定要把这个丑的大喊出来：她太丑了！然后晚上还继续抱着人家***，第二天早上还又到处说这个妹子真丑。

要我说，国内挖洞回报确实低，但这就是你们白帽子给惯的，是你们自找的，明知道低你还去费劲挖漏洞提交，提交完了还嫌给钱低。俗话说的好，是骡子是马拉出来溜溜。你非说这个漏洞严重，SRC定位太低钱给少了不值，那你就别提交啊。直接学习谷歌做法：已野外利用的微软0day，7天了还没修补中公布。危害性所有黑白红绿帽子一起来判断，他SRC非要说这个xml注入是低危，那就公布等那些黑产们去搞他一炮嘛。对于SRC来说也一样，你非要说这个XML注入是严重，那就让黑产们来搞我啊，你什么系统都控制不了、什么shell都没有、什么信息都拿不到你非要说是严重，有意思吗？

当然，换到中国，直接公布漏洞，肯定会被抓，这就涉及到了更深的行业现状深层次的问题了，你公布漏洞也是需要点“技巧”（这个网站有人敢做吗？）。这里开始我们转换到SRC角度。SRC只是一个企业下属的小部门，他们能做的最多的也就是给你他们部门能给你的。他们部门一年预算就100块钱，你非要能换到200块钱的积分，你说你能拿到吗？中国企业为什么不注意安全？为什么不肯在安全上多投入，更何况SRC还只是安全中的一小块。话直白了说，中国法律规定企业发生安全事故直接罚款100亿，也就是法律不光规定了而且还真的实施了，你作为企业老板还会忽视安全吗？所以要真的是爱国为中国网络安全做建设的话，你们的对手应该是这整个信息安全行业的监管现状，而不是那某一个SRC里的两三个运营小姑娘--你就是把那某个SRC所在的某个公司整到倒闭了，中国的漏洞回报就会高起来吗？企业老板们的重视程度就会高起来吗？就算那俩运营小姑娘辞职不干了，你就是为国做贡献的“白帽子”了？真得想让国内安全行业好起来，那你们就去努力改变国内的安全监管方式，让安全机制真的有效运行起来。我说句实话：你真的不是为了钱？真的是为了国家做贡献？

你们好好看看ZDI、hackone，他们为啥就能钱多？就算是不能报漏洞，就直接卖给XX或者黑客团队，你管得着吗？你们谷歌微软不注意安全，那就倒逼着去安全起来，而不是像你们这种巨婴式的哭闹：他们给我太少钱，他们看不起我！我就要哭就要闹。不觉得可笑吗？另外补一句：我经常去某餐馆吃饭，真的不是跟餐馆就算是合作方，我只是个消费者，就算我哪天离开这个城市不去那吃饭了，我也不能叫终止合作，顶多叫不去消费了。别说国内没有地方体现你的价值，要在以前确实没有，但现在360bugcloud走得什么模式，你们好好琢磨琢磨，跟zdi对比一下收洞方式你就明白，另外还有天府杯“TFC”，你只要牛逼你就能报名参赛，这绝对不是没有平台的问题，我们都知道“TFC”的漏洞和某SRC的漏洞，孰轻孰重，哪个难，你们自然心里懂。到这里，可能会问：那那些个别企业的单独漏洞，怎么办？我的回答是：人家爱怎么办怎么办，皇上不急太监急，更何况你连太监都不是。

这些白帽子，都是乌云圈子里出来的。以前乌云还在的时候，还能有情怀可言--但是高Rank的那些人，人家本身也就是为了体现技术，至于那些分数、奖品他们谁在乎了？分高找工作什么的就是一个证明，这个本身也是好事--企业选择员工也有了个标准，你分高就行。但是分高也只是证明技术时才有意义，后来刷分（struts2、Imagetragick）后，RANK还能代表技术吗？你用Struts2验证脚本跑1000个站和跑10个站，会有什么技术上的本质区别吗？更何况这个脚本都是你网上下载或者别人发给你的。而乌云***了之后直接跟SRC对接了，现在的白帽子，反倒开始更注重回报、奖品了，还是白帽子吗？还是借了白帽子这个名字？

总结一句：你挖洞你就挖洞，你情怀你就情怀，你想拿钱你就想拿钱。没人管你，但是你可以不挖洞、不情怀、不拿钱，也没人管你。当然，你们也可以继续哭闹，继续消耗“白帽子”这个名词来拉圈子拉帮结派的去对付一个SRC。who care？最终不过就是把乌云好好建立起来的“白帽子”形象给毁掉。要为信息安全行业做贡献，你应该去帮助建设体制、建立行业标准，而不是拉上圈子靠人际关系怼那三两个小运营。