漏洞知多少：一个"好"漏洞能给黑客带来多少收益

一般的网络用户都很讨厌漏洞的存在，正如黑客都很喜欢漏洞的存在。当然，漏洞之所以被"偏爱"，是因为给黑客带去的收益动辄就是几百万。即使是漏洞在收购平台，出价也是大家难以想象的，一个漏洞收购价格在几十万至上千万人民币不等。

在漏洞收购公司"ZERODIUM"（zerodium.com/program.html）的移动平台漏洞价目表中，可以看到，苹果iOS系统的RJB Zero Click（零点击、远程、永久越狱）漏洞以150万美金的起步价格高居榜首。一些常见软件的漏洞，如Chrome浏览器漏洞，价格在5至15万美元之间，安卓系统漏洞价格则在1.5万至10万美元之间。而微信、Telegram、iMessage等流行社交软件的0day漏洞收购价格也有着50万美金起步的高价。

而在电脑的桌面系统/服务器系统上，由于漏洞数量太多，单个漏洞价格相较移动平台有所降低。其中Windows系统的Win RCE  Zero Click（零点击、远程、代码执行）漏洞以30万美元起步的价格居于榜首，其价格会根据漏洞的影响范围而浮动，如"永恒之蓝"这种涉及主流Windows系统的超级漏洞，收购价格超过百万只是等闲。

 可以看出，一个常用程序或可用的系统漏洞，本身的安全价值便已达数万至数百万美元，在非法网络黑市上的交易价格更是该价格的数倍。而如果黑客制定了周密的漏洞利用计划，将其用作系统渗透或病毒攻击的武器，获得的收益足以达到该价格的数十倍。如果漏洞比较"优秀"，还会被不同的病毒利用，"创造的价值"也就更高了。

例如：2003年8月爆发的冲击波病毒，同年疯狂传播的Yaha蠕虫病毒，就都利用了RPC溢出漏洞"CVE-2003-0352" （如下图）。

  2005年出现的Phel木马以及ANI蠕虫，都利用了漏洞"CVE-2004-1049"（如下图）。

 曾被2010年大名鼎鼎的Stuxnet(震网)蠕虫利用的漏洞"CVE-2010-2568"（如下图）。

 所以说，漏洞和病毒就像是一对双生子，很多重大病毒的诞生，都少不了漏洞的参与，而一个漏洞的广为人知，也多是由相关的病毒引发了关注。