漏洞（网络空间安全真相）

最近收到清华大学出版社赠送的一本《网络空间安全真相》破除流传已久的行业谬论与偏见，这本书是老外写的，讨论了170多种网络安全中有争议的话题，在这里抛砖引玉，顺便发表我自己的简单看法，大佬轻喷。

ailx10

网络安全优秀回答者

互联网行业 安全攻防员

去咨询

1、误区：人们知道关于漏洞的一切

ailx10：我搞了一个鸡爪流漏洞自动化挖掘，提交的 N day 漏洞，过去半年了，厂商依然没有修复。

2、误区：漏洞很稀少

ailx10：从CNNVD发布的漏洞来看，近20年发布了25万个漏洞，光2023年发布了2.8万个漏洞。

3、误区：攻击者越来越专业

ailx10：都2024年了，态势感知平台上还能看到很多10年前的Shellshock攻击（cve-2014-6271）。

4、误区：0 day 漏洞最重要

ailx10：0 day 是这个漏洞目前没有披露， 1 day 是这个漏洞对外公开披露 1天了，N day 是这个漏洞对外公开披露很多天了。

5、误区：所有攻击都取决于某个漏洞

ailx10：往大的讲也是合理的。钓鱼，社会工程学，利用人性的漏洞。

葫芦兄弟变成了大山，可他们紧紧连在一起坚如磐石，光靠斧劈无济于事。眼下先要切断他们的联系，然后用挖墙脚、钻空子、找缺口的办法，才能动摇根基、各个击破，一个个抓起来。

6、误区：概念的利用和证明是错误的

ailx10：PoC (Proof of Concept) 就是验证漏洞，可以理解为一个工具。

7、误区：漏洞仅发生在复杂代码中

ailx10：简单的代码中也会有漏洞的，只是复杂的代码中漏洞相对多一点而已。

8、误区：先行者应该牺牲安全

ailx10：这里的先行者指的是产品的早期版本，最初一般以功能为主的，较少考虑到安全。

9、误区：补丁总是完美且可用的

ailx10：一些医院还在使用很旧的PC系统，可能打个补丁，软件就无法正常使用了。

10、误区：随着时间的推移，防御措施依然安全

ailx10：东西都有保质期的，安全产品也是一样的，旧的规则，拦不住新的威胁。

11、误区：所有漏洞都可以修复

ailx10：人性的漏洞无法修复。比如：有些人知道下载色情APP是有风险的，但是还下。

12、误区：对漏洞进行评分既简单又易于理解

ailx10：Common Vulnerability Scoring System(CVSS) 通用漏洞评分系统，打分涉及的点多，并不简单。

13、误区：发现漏洞后会及时通知

ailx10：未立即给工信部通报Log4j漏洞，却第一时间给美国的Apache厂商通报漏洞，阿里云被罚。

14、误区：漏洞名称反应其重要性

ailx10：名字只是一个代号，比如 WannaCry 勒索软件，利用 EternalBlue 永恒之蓝漏洞进行蠕虫传播。

已开启送礼物

所属专栏 · 2025-06-10 13:36 更新

信息安全入门

ailx10

​

网络安全话题下的优秀答主

最热内容 ·

零基础学习网络安全这一块，请问有哪些相关资料可以推荐一下？

发布于 2024-11-10 08:22・江苏