當(dāng)然既然用戶的認(rèn)識只在這個階段，也沒措施，后面的測試我們就只能以滲透利用的方法去做和出報告了，但我一直在想，用戶需要的是提升自身業(yè)務(wù)系統(tǒng)的安全，持續(xù)滲透這套方法，我們難道又要回到賣防護(hù)設(shè)備被動防護(hù)的方法嗎？在給微軟測試當(dāng)中，我提交的報告無需去寫EXP，除了MDB那個例外，因為微軟認(rèn)為MDB不是安全文件，我給他們說了可以利用來打IIS，但估計我拙劣的英文沒讓他們明白，最后才以BLUEHAT上的實際演示來證明。其實技巧發(fā)展到現(xiàn)在，安全漏洞具體怎么利用成為了一門藝術(shù)，但是漏洞理論上是否可被利用卻是基礎(chǔ)可以定性的，只要理論上可以被利用的漏洞，廠商都應(yīng)當(dāng)修補，因為我們不能假設(shè)攻擊者不能通過深入研究達(dá)到本質(zhì)可利用，廠商也沒必要花費大批的成本去研究本質(zhì)可利用。所以微軟無需我提交EXP，只要指出是否理論可利用就可以了。

其實攻擊者只要付出研究成本，大多數(shù)理論上可被利用的漏洞都是可以達(dá)到很高利用程度的，最近給相干部門提交了一個非常嚴(yán)重，影響國內(nèi)多個重點行業(yè)應(yīng)用的產(chǎn)品漏洞，但對方認(rèn)為這個漏洞太難利用了，因為有利用自身編碼檢測請求，否則無法寫自己可控內(nèi)容到文件；沒措施，只能花了一晚上時間熬夜逆向分析，最后寫出了編碼的代碼，可以非常容易實行攻擊，證實這是個極度高危的安全漏洞。是的，雖然最終把利用代碼寫出來了，讓任何說不能實際利用的人都無話可說，但是，這種成本花銷值得嗎？廠商會對發(fā)明自身安全漏洞支付成本，會對發(fā)明的安全漏洞寫出可利用攻擊來支付成本嗎？房屋安全驗收員發(fā)明了房屋存在空鼓就可以了，而不是非得貼上瓷磚等上2年讓墻磚呈現(xiàn)開裂、脫落的現(xiàn)象才干給業(yè)主證明。