web渗透测试----30、0day漏洞

什么是0day

0day又称“零日漏洞”(zero-day)。0day的含义为破解，最早的破解是专门针对软件的，叫做WAREZ。
0表示zero，早期的0day表示软件在发行的24小时之内就出现破解版本。现在一般指的是没有公开，没有补丁的漏洞。

零日攻击或零时差攻击则是指利用这种0day漏洞进行的攻击。0day漏洞的利用程序对网络安全具有巨大威胁，从特征角度看，0day攻击与传统的黑客攻击有极大的相似特征，其区别仅仅在于0day攻击的对象以及渠道，是潜在的未知的，或者是虽然已经公布但尚未来得及修复的系统漏洞。

常见的漏洞信息库：
https://www.exploit-db.com/
https://www.seebug.org/
http://cnnvd.org.cn/

0day漏洞的防御

作为管理员或用户，永远不要使用未打补丁版本的软件。

作为开发人员，进行安全开发，安全测试人员进行安全测试等。

确保将错误报告提交给开发人员和公司。

基于已有规则防护与事后升级规则库应对等。