发现漏洞与开发漏洞的成本

Question

从希望针对某个软件应用程序或目标开发零天攻击的人的角度来看，攻击者必须执行以下两项任务：(1)在软件中发现新的可利用漏洞；(2)为该漏洞开发可靠的武器化攻击。

例如，模糊分析、反向分析和静态分析可能有助于发现漏洞；但是，构建一个可靠的漏洞需要进行单独的分析和工作。

这两项任务中哪一项的平均成本更高？我想知道这两项任务的经济状况是什么，并了解成本的比例。我知道，如果您查看单个漏洞，代价将取决于漏洞，但我要问的是一般情况。例如，如果我们看一家公司的业绩，总的来说，我们会期望更多的预算用于1，还是2呢？

假设我们攻击的是一个广泛使用、相对成熟的终端用户软件应用程序。

Answer 1

对于一个有经验的程序员来说，编写一个利用程序的实用程序是没有意义的。而且它不是给终端用户的软件，所以你不需要一个用户友好的界面，也不需要花哨的东西。它只是一个快速肮脏的实用工具来利用漏洞，所以这不是一个大的昂贵的软件，它是一个微小的廉价软件。你可以谈一谈ETA。你知道当你拿回你的投资。

与开发漏洞相比，在成熟的软件中发现新的漏洞要困难得多。你不知道你是否能很快，或者永远，没有ETA，你不知道什么时候你能得到你的投资，或者永远。您正在寻找开发人员不希望存在的东西。也有一个竞争，别人会在你面前发现的。

如果软件是一个重要的软件(例如OpenSSL)，它会因为竞争而变得异常困难。因为发现一个关键的漏洞就等于发明了一种用于网络战争的超级武器，比如HeartBleed。美国国家安全局每年可能要花费大量的钱来进行这类研究，而且他们可能已经有了一些严肃的0天时间。

因此，与搜索一个全新的漏洞相比，编写一个漏洞的成本可以忽略不计。

有数据吗？请参阅https://www.exploit-db.com/中的一些漏洞--这些漏洞几年来一直未被检测到，但它们的利用非常简单，而且使用了100至200行Python。

3-4周前，OpenSSH在7.2p2之前公开发现了一个新的漏洞(所有版本，可追溯到20年前)，该漏洞允许远程认证用户通过精心编制的X11转发数据绕过预期的shell命令限制。

下面是https://www.exploit-db.com/exploits/39569/的漏洞:Python150行。

顺便说一句，别忘了检查你的操作系统服务器包。我安装了Ubuntu14.04，升级后我仍然有6.9p1版本。