有電腦，有網路，就有駭客，早期可能真的是耍帥惡搞，技術展示，或者說國安問題，等等有各種理由，但看著世代變化，現在大多就是…有利可圖。

註：接下來用黑帽來講，因為駭客也是有分出發點是好的跟壞的差別

黑帽再怎樣，也是要錢吃飯的！主機，程式製作，網路費等等也都是要錢（以前免費的學術網路滿滿的毒就是這樣，學生不用煩惱錢，學校資源免費用XD），集團化的黑帽也是要養自己人，肉不多的也不會浪費成本去打。至於已經財富自由，又想搞怪的那種應該數量不多（財富自由的人，大部份都是低調再低調，而且有更高竿的方式，不需要用犯罪的手法賺錢）。

總之網站只要防得住攻擊就好。正常來說，如果沒有成為被特別針對的目標，資安風險還是有高低之分。政府網站算是高風險的，不過政府網站在標案本身就有高規格的資安要求，相對出事率比較低。大企業有賺錢的財報就是公開的，賺那麼多，想來分一杯羹（勒索）的也比較多，因為付得出錢（油水多）。

網路資安，可以參考 OWASP(Open Worldwide Application Security Project，https://zh.wikipedia.org/zh-tw/OWASP ）提出的風險：https://owasp.org/Top10/zh_TW/ ，一般公司若有看資安，會至少依據TOP 10 最常見的做防範。

排名每過一陣子就會有換，目前最新的應該是2021年版。大部份的項目，其實就是初期設計多設想一點，網站該設定的好好設定，知道的機制擋一下，現代新的框架也都會內建有防範的作法，按步就班的乖乖實作就可以防掉。弱掃也可以做為一個輔助工具，只是就苦工，對工程師來說就是阿雜，事情變多了，但都是可以靠管理跟制定開發規則解決。只是這些累積起來的「小地方」「小麻煩」多了，在各種實際專案開發時，受限的情況下也是得有取捨。

原則上可以說舊系統有包袱可以不處理，或者用各種理由凹，但在新系統時，理論上知道，就應該要僅量避免。但說歸說，最後還是看業主的口袋，跟開發者的常識在那裡，只是想說一分錢一分貨，看似可以殺頭的生意，通常就是反應在品質跟風險上面。

想賺那個風險的錢，就是看業主的想法了，因為沒有風險，通常賺不了錢！但是風險發生時，能不能承擔就是看情況，有時後省那個錢不見得可以長久營運。不過說到這，現在很多商業模式也是不講長期經營，以短期快錢的生意模式在做，就不予置評了。說到底，如果照我想到的想法可以賺大錢的話，早就財富自由，環遊世界去了，那還需要當個阿宅工程師XD|||。