安全行业中，挖洞或者说攻击，只是一个比较亮眼的表现形式，容易让外行惊叹，出传奇或者神话故事。

一次在外界看起来很牛的攻击背后，或许是攻击者深广的技术知识和能力的综合体现和爆发，是大牛，比如针对HTTPS协议的BEAST；又或许是攻击者在某一个细分领域恰好比被攻击系统的开发者多知道了一点点，是小牛，比如XSS攻击的各种奇技淫巧；又或许是当年某个开发人员无心的小疏漏，隐藏在系统某个积满灰尘的角落里，某一天机缘巧合被攻击者发现，是运气好，比如openssl的HeartBleed漏洞；又或许只是某系统没有及时补丁，被脚本小子用工具扫到了而已，一点都不牛

安全漏洞的价值是有级别的

• 0。 最低级的，是系统级的已知漏洞，安全业界都知道，就那个客户不知道，你恰好发现了，没意思
• 1。稍高一点的，是应用级别的未知漏洞，开发者也许是无心的疏漏，知道怎么做但是不小心做错了，或者是本身的安全防御措施就有缺陷，现在你发现了漏洞，这个有点小意思，有点价值。这样的漏洞，也许稍微刺激了一下系统的开发者、使用者，让他们多学了一点安全知识，增长了一点安全意识。
• 2。再高一点的，是系统级别的未知漏洞，比如Windows的，Android的，IE的，特斯拉的，struts2的，被你发现了。这个和1的情况类似，但是开发者本身是业界一流大公司，并且相关的产品被广泛使用，所以一方面漏洞的影响很大，另一方面因为开发者技术水平高，发现漏洞的难度一般较高，所以发现这一级别的漏洞，才真的好意思自称是“黑客”了。这样的漏洞，早一点发现，就少一分被黑帽黑客利用的可能性。
• 3。真正牛的漏洞，是协议级别的漏洞，比如前几年利用网页中的JavaScript代码频繁发DNS请求，把DNS spoofing从理论上可行，变成分分钟成功，这个才是真正的技术专家，其实未必是安全专家，只是长期浸淫于某个技术领域，然后有了安全相关的发现而已。这样的漏洞，直接促进了IT技术的更新换代。