前两天收到一位读者的私信，我觉得这个问题问的有点模糊，今天就特意写一篇文章来说说我的看法，仅代表个人建议，供有同样疑惑的各位参考，如果你不认可，没关系，出门左转就是了。

关于白帽子：

首先先来看看白帽子的定义：

白帽子描述的是正面的黑客。他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。这样系统可以在被其他人（例如黑帽子）利用之前修补漏洞。

百科

在国内的话，“白帽子”绝大多数都是兼职，国外的话会有一些专职的“白帽子”，国外俗称“漏洞赏金猎人”，毕竟在国内靠专职白帽子养活自己还是比较困难的。

骨哥曾听过一位参加早期Black Hat大会的大佬讲过一个故事（各位权当八卦来听吧）：说国外有兄弟俩，专职挖微软漏洞，上半年挖漏洞，然后到微软安全大会卖洞，下半年把赚的钱带一家老小各种旅游度假……咳咳～

像这位读者所问，如果你要找公司就职，从事白帽子的漏洞挖掘相关工作的话，并没有专门的“白帽子”职位，国内一般叫“安全工程师”。

关于方向：

其实白帽子在漏洞挖掘方面也有很多方向，比如有专门针对操作系统的漏洞挖掘（比如Windows、Linux、Macos、Android、iOS等），还有专门针对驱动层面的漏洞挖掘，也有专门针对浏览器的漏洞挖掘，还有网络层面比如通信协议的漏洞挖掘，当然最被大家熟知的可能还是Web漏洞挖掘吧。

另外漏洞挖掘技术大致可分为黑盒、白盒、灰盒漏洞挖掘，所谓白盒，就是直接可以看到程序的源代码，然后对其开展代码审计，从而发现漏洞；黑盒的漏洞挖掘，就是完全无法得知程序代码的情况下对其进行漏洞挖掘；灰盒漏洞挖掘，有点类似前面二者的结合体，通过逆向手段获得程序的部分代码、汇编代码或是伪代码，然后进行漏洞挖掘的过程；

所以从白帽子漏洞挖掘的角度来说，也是有很多细分领域的，你擅长哪方面呢？

网络/信息安全从业者的自身修养

如果你准备入行或已经入了这一行，请务必明白一个道理，“想要在任何一行里做到优秀，都需要付出比别人更多的努力！”，千万不要觉得自己懂了一点Web的SQL注入、XSS利用的皮毛，就以为自己是一名合格的“白帽子”了，你要学习的知识有很多很多…

而对于本行从业者的自身修养，骨哥崇拜的大牛“泉哥”（对，就是《漏洞战争》一书的作者）推荐过一个《信息安全从业者书单推荐》，文末的一个思维导图（大图可移步“漏洞战争”公众号查看），个人认为比较有参考价值：

各位可以对照上图，看看自己在哪些方面仍有欠缺。

关于知识的学习和积累：

在学习知识和知识积累方面，我专门写过一篇文章“谈谈知识积累”，这里不再赘述。

所以综上所述，有和这位读者有同样困惑的小伙伴，请先确定你自己的“擅长之处”，再在相应的方向发力、深耕，自然就能知道你应该选择什么样的岗位了。

当然，最后还是要提醒一句，请务必遵循网络安全法的前提下开展你的工作。