當(dāng)然既然用戶的認(rèn)識(shí)只在這個(gè)階段，也沒(méi)措施，后面的測(cè)試我們就只能以滲透利用的方法去做和出報(bào)告了，但我一直在想，用戶需要的是提升自身業(yè)務(wù)系統(tǒng)的安全，持續(xù)滲透這套方法，我們難道又要回到賣防護(hù)設(shè)備被動(dòng)防護(hù)的方法嗎？在給微軟測(cè)試當(dāng)中，我提交的報(bào)告無(wú)需去寫(xiě)EXP，除了MDB那個(gè)例外，因?yàn)槲④浾J(rèn)為MDB不是安全文件，我給他們說(shuō)了可以利用來(lái)打IIS，但估計(jì)我拙劣的英文沒(méi)讓他們明白，最后才以BLUEHAT上的實(shí)際演示來(lái)證明。其實(shí)技巧發(fā)展到現(xiàn)在，安全漏洞具體怎么利用成為了一門(mén)藝術(shù)，但是漏洞理論上是否可被利用卻是基礎(chǔ)可以定性的，只要理論上可以被利用的漏洞，廠商都應(yīng)當(dāng)修補(bǔ)，因?yàn)槲覀儾荒芗僭O(shè)攻擊者不能通過(guò)深入研究達(dá)到本質(zhì)可利用，廠商也沒(méi)必要花費(fèi)大批的成本去研究本質(zhì)可利用。所以微軟無(wú)需我提交EXP，只要指出是否理論可利用就可以了。

其實(shí)攻擊者只要付出研究成本，大多數(shù)理論上可被利用的漏洞都是可以達(dá)到很高利用程度的，最近給相干部門(mén)提交了一個(gè)非常嚴(yán)重，影響國(guó)內(nèi)多個(gè)重點(diǎn)行業(yè)應(yīng)用的產(chǎn)品漏洞，但對(duì)方認(rèn)為這個(gè)漏洞太難利用了，因?yàn)橛欣�用自身編碼檢測(cè)請(qǐng)求，否則無(wú)法寫(xiě)自己可控內(nèi)容到文件；沒(méi)措施，只能花了一晚上時(shí)間熬夜逆向分析，最后寫(xiě)出了編碼的代碼，可以非常容易實(shí)行攻擊，證實(shí)這是個(gè)極度高危的安全漏洞。是的，雖然最終把利用代碼寫(xiě)出來(lái)了，讓任何說(shuō)不能實(shí)際利用的人都無(wú)話可說(shuō)，但是，這種成本花銷值得嗎？廠商會(huì)對(duì)發(fā)明自身安全漏洞支付成本，會(huì)對(duì)發(fā)明的安全漏洞寫(xiě)出可利用攻擊來(lái)支付成本嗎？房屋安全驗(yàn)收員發(fā)明了房屋存在空鼓就可以了，而不是非得貼上瓷磚等上2年讓墻磚呈現(xiàn)開(kāi)裂、脫落的現(xiàn)象才干給業(yè)主證明。