受宠的不一定是有用的

对于漏洞评估来说，前面我们一直都在吐槽CVSS评分体系，实际上在很多年前开始我们一直在强调“实战化”的漏洞评估，近几年网络安全热炒的概念也开始强调“实战”的视角，比如啥EASM/CAASM、BAS、VPT等等，都是开始强调攻击者的“实战化视角”，对于漏洞运营方面的可以参考2022年6月知道创宇404实验室发表在《中国信息安全》杂志上的一篇文章《专题·漏洞治理 | 面向实战的漏洞运营实践》对我比较关注的朋友，可能有印象历史上我在朋友圈或者推特上发布过很多我们漏洞应急评估的案例，都是CVSS评分非常高的，但是实际影响现实中的目标的寥寥无几甚至是没有的那种所谓的“高危”漏洞 ...当然今天我要说的不只是CVSS，而是被现实中攻击者“受宠”过“实战化”，但是也是那种实际影响可能非常有限的漏洞。因为关注度跟时效性的问题，今天 ………………………………