并不是每个工作都很清闲，都有时间摸鱼，但是时间嘛，挤挤总会有的，接下来我讲讲如何挤出时间来摸鱼

明确工作职责

这一点非常重要，你的主要工作是干什么，先把自己的工作干完干好

除了自己的工作内容，同事可能会让你帮他干一些活儿，要懂得学会拒绝，比如说我现在在忙，或者我还有什么工作没做完等

如果只是偶尔帮忙无可厚非，还有就是看他的态度，是不是只是单向的，他总是找你帮忙，但是你需要让他帮你做某个事情时，他却置之不理，这种同事能拒绝就拒绝

优化工作流程

对自己的工作流程进行一个梳理，平时要干什么，什么事情耗时，什么事情可以快速做完，要有一个清晰的认知

要学会掌控自己的工作进度，如果有很多工作是重复的，进行梳理，看能否通过编写程序帮我们完成，比如制作表格，或者需要将数据填写到表格中

我最开始入行时做漏扫，每个月需要定期将漏扫中的数据统计到表格中，重复性的动作每次做得头晕眼花，后来我写了python一个脚本，实现自动化，省下来很多时间

当时使用的是天镜扫描器，需要将扫描器中的内容按照公司要求填写到excel表格中，因为从之前那家公司离职很久了，相关数据已删除，没办法演示，代码很简单，用到的库也没几个，这里贴个截图

如果不会编程也没关系，可以利用ai帮你编写，比如豆包、文心一言、通义千问等，ai写完以后自己改改就能用，甚至不用改

我这里也准备了一些ai使用的相关资料，需要自取，夸克网盘链接如下：

https://pan.quark.cn/s/0358f15a1bb7

实在不行，可以去咸鱼上找个人帮你写，有很多人会在上面挣外快，1000以下大部分都能搞定，一定要去咸鱼而不是淘宝，咸鱼个人卖家很多，报价低，淘宝就不一定了

还有就是挖漏洞，burpsuite插件、yakit被动扫描、xray、ez用起来，可以帮你节省很多时间

比如你扫一个目录，你手动用dirsearch扫和burpsuite挖洞时自动帮你扫，谁更快？

手动测试一些基础的越权，和使用burpsutie的自动越权测试插件，谁更快？

手动测试sql注入和利用自己编写的poc放到burpsuite的插件中被动测试，谁更快？

好用的burpsuite插件和好用的工具可以看看我之前的文章：

【渗透测试4】为什么大佬总能挖到你挖不到的越权？

【安全工具6】为什么大佬总能发现你发现不了的目录？

两款超好用的burpsuite一键漏洞扫描插件

【渗透测试】深度解析微信小程序漏洞挖掘

【渗透测试3】常见系统和框架的指纹（11万nuclei poc）

用这些东西，是不是就成了只会用工具的扫哥？用这些工具就是为了提升效率，如果非要每一个参数去加poc测试，那也行，节约下来的时间可以深入学习漏洞原理，学习代码，了解这些以后就不是扫哥，你也不在乎别人说你是不是扫哥

不止工具，日报、ppt、工作总结都可以让ai帮你写，ppt可以直接使用wps帮你写，然后自己修改，但是需要wps会员，短期使用的话，咸鱼上面买一个wps会员也就一块钱左右

掌控工作时间

如果你是做技术的，领导让你兼职给他写一个ppt，下周三之前让你交给他，你可以周二早上再给他，不要给的太早，不然领导会让你一直改，晚一点给改的次数少一点

但如果你不是做技术的，是项目经理，或者你原本的工作职责就包括了写ppt，那就另说了

如果你做一个渗透项目，你一个小时就测试完了，可以不用立即发出来，可以等到要下班之前再发出来

比如一次给你发了四五个项目，你很熟练的一天就做完了，你可以当天只发2个，剩下的第2天再发出来，这样摸鱼的时间有了，第2天的工作量也有了

当然记得报告的修改时间，注意细节，做安全的我相信你这点意识还是有的，不要说你今天刚做完，结果一看报告的修改时间停留在昨天

学会合理表达

职场升值的往往都是做ppt会表达的，所以不要只顾埋头干活，也要把自己的成绩表达出来

比如领导想给你加派工作，或者将其他人的工作转移一部分给你，但这个工作并不能对你的技术水平和综合能力有所提升，平时就要说说自己有多忙，潜移默化的影响他

同事将你的工作成果据为己有时，要学会据理力争

如何摸鱼不被发现

首先看你是不是坐在领导或者甲方附近，然后就是领导或者甲方懂不懂技术，最后就是看领导和甲方的包容度高不高

包容度高就无所谓，可以看看视频学习，干啥都行，只要不是特别过分

如果包容度没那么高，可以看看安全文章、打一下在线的靶场，挖src或者cnvd这些没有那么容易被发现的，熟练使用Ait+Tab切换键

分享一些摸鱼时可以逛逛的靶场、论坛和娱乐网站

摸鱼网站：https://www.yikm.net/https://tophub.today/https://lines.frvr.com/http://slither.io/
免费靶场：https://portswigger.net/web-security/logic-flaws/examples/lab-logic-flaws-excessive-trust-in-client-side-controlshttps://vulhub.org/https://www.vulnhub.com/https://vulfocus.cn/#/login?redirect=%2Fdashboardhttps://pikachu.bachang.org/
收费靶场：https://www.mozhe.cn/bughttps://www.yijinglab.com/https://www.ichunqiu.com/https://buuoj.cn/https://ctf.bugku.com/https://ctf.show/https://ctf.bugku.com/
安全论坛：https://xz.aliyun.com/https://forum.butian.net/https://www.freebuf.com/https://bbs.kanxue.com/

综合分析

不建议摸鱼的情况：

• 刚到一个公司实习，对业务和工作还不熟悉，那你的首要任务是做好本职工作

• 专业素养不够，无法完成本职工作，首要任务是提升专业素养

• 准备在一个公司深耕，那么可以将更多精力放在公司业务、人际关系和向上管理上面

建议摸鱼的情况：

• 做好本职工作以后，有空余的时间

• 不准备在一家公司长期发展，找到下家准备跳槽之前

• 看不到晋升希望，多干一点少干一点都一样（我初略将晋升概括为以下几个条件：技术实力、管理能力、机遇、坑位、关系）

• 工作没有发展空间，对技术水平、管理能力、人脉等都没有提升

• 摸鱼能够创造的收益大于做好本职工作的收益，比如利用摸鱼来做副业和提升自己

结语

总结就是，自己根据实际情况权衡利弊后做选择

送给各位一句话：员工是公司的资产，公司是员工的跳板

最后提前祝大家新年快乐，万事顺遂，新的一年天天摸鱼！！！