在过去的一年里,我两次听到过来自不同人的不同声音,例如:
这不是漏洞,而是功能...
当我第一次听说这种情况时,大约是一年前,在一次网络会议上的一次对话中,这件事并没有引起我的注意。
昨天,我在一次技术会议上再次听到了,一位高级安全专家对另一个人的回答是他犯错了:
产品X中的
PE(特权升级)不是漏洞,而是功能...
后来我问他这个问题,他简单地解释说X是Microsoft的乘积,并且行为(特权升级的源)是通过设计声明的,因此它是功能而不是漏洞。
这种解释当然可以清楚地说明给定的情况,但是那对我来说还不够,我在Google上找到了更多的内容。 我在搜索:“功能VS漏洞”,“漏洞与功能”,“功能与漏洞之间的差异”等...
不幸的是,我没有发现两者之间有任何明显的区别。
还有许多其他解释,例如Bug VS Feature甚至是Bug VS Vulnerability。
例如Difference between bug and vulnerability,传说中的 Jon Skeet 给出了他对该主题的见识。
但是如上所述,我的问题相对不同。
漏洞和功能之间的核心区别是什么,可以明确地使用它们来区分它们?