Exposure 暴露
可以被 threat 利用的失误。配置错了、敏感信息泄露了、端口开了不该开的——这些都叫 exposure。
Exposure vs Vulnerability
新手容易搞混。区别在于:
| 概念 | 性质 |
|---|---|
| Vulnerability | 系统本身的弱点(代码 bug、设计缺陷) |
| Exposure | 失误造成的”敞口”——配置错、信息泄露、流程漏洞 |
举例:
- Apache Log4j 有远程代码执行 bug → vulnerability
- 你把 admin 后台暴露在公网而且没设密码 → exposure
- AWS S3 bucket 配置成 public → exposure
常见的 exposure
- 默认密码没改
- 测试环境暴露在公网
- 敏感日志里带 token / API key
- GitHub 仓库不小心 commit 了
.env - 错误信息泄露了数据库结构
为什么放在 CVE 名字里
CVE = Common Vulnerabilities and Exposures。MITRE 在命名时就把两者并列,因为 threat actor 不在乎你这是”bug”还是”配置问题”——能进就行。