За последний год я дважды слышал, в разных случаях от разных людей, что-то вроде:
Это не уязвимость, это особенность ...
Когда я впервые услышал об этом, это произошло почти год назад во время разговора в кибер-конференции, который не привлек мое внимание в данный момент.
Вчера я снова услышал это на техническом совещании, где один из старших экспертов по безопасности ответил другому человеку, что он ошибается и:
PE (Повышение привилегий) впродукт X не уязвимость, а особенность ...
Позже я спросил его об этом, и он объяснил это просто, что X является продуктом Microsoft и такого поведения (источникповышения привилегий) объявляется задуманно, поэтому это особенность, а не уязвимость.
Это объяснение, конечно, ясно объяснило данный случай, но этого было недостаточно для меня, и я погуглил, чтобы найти больше.Я искал: «Уязвимость Feature VS», «Уязвимость по сравнению с функцией», «Разница между функцией и уязвимостью» и т. Д. *
К сожалению, я не нашел четкой разницы между этими двумя.
Есть много других объяснений, таких как Bug VS Feature или даже Bug VS Vulnerability.Например, это Разница между ошибкой и уязвимостью , где легендарный Джон Скит дает свое понимание предмета.
Но, как я объяснил выше, мой вопрос относительно другой.
В чем заключается основное различие между уязвимостью и функцией , которую можно однозначно использовать для различия между ними?