0day 1day Nday

背景知识

漏洞从发现到解决有三个时间点：

漏洞被发现（ $T_{0}$ ）
漏洞信息公布（ $T_{1}$ ）
漏洞被修补（ $T_{2}$ ）

------------ $T_{0}$ ------------ $T_{1}$ ------------ $T_{2}$ ------------

漏洞的0/1/Nday归类，就是“漏洞利用工具（exp）的使用时间（ $T_{exp}$ ）”对应上边“时间轴位置中漏洞的状态（ $T_{n}$ ）”规定的。

0day

------------ $T_{0}$ ------------ $T_{1}$ ------------ $T_{2}$ ------------

------------ $T_{exp}$ ---------------|

如果某个exp所对应的漏洞还未达到 $T_{1}$ ，即 $T_{exp}$ < $T_{1}$ ，这时payload在 $T_{exp}$ 攻击时，这个攻击窗口进行攻击基本最有效，在这一阶段的漏洞我们称之为0day

1day

------------ $T_{0}$ ------------ $T_{1}$ ------------ $T_{2}$ ------------

|----- $T_{exp}$ -----|

如果某个exp所对应的漏洞已经处于 $T_{1}$ 后还未到达 $T_{2}$ ，即 $T_{1}$ < $T_{exp}$ < $T_{2}$ ，这时payload在 $T_{exp}$ 攻击时可能会遇到系统管理员已经关注相关服务或使用了临时的修补手段，但大部分人因为未打补丁导致其脆弱性依然存在，这个攻击窗口进行攻击有效性不低，但是没有上一阶段高，在这一阶段的漏洞我们称之为1day

Nday

------------ $T_{0}$ ------------ $T_{1}$ ------------ $T_{2}$ ------------

|------- $T_{exp}$ -------

如果某个exp所对应的漏洞已到达 $T_{2}$ ，即 $T_{2}$ < $T_{exp}$ ，这时payload在 $T_{exp}$ 攻击时的有效性随时间大幅降低，直到只剩几个心大的肉鸡给人捡漏，在这一阶段的漏洞我们称之为Nday

其他情况

零日攻击Zero Day Attack是Wiki上唯一有定义的days，所以0day一般定义不变，但根据业界环境和个人习惯，有地方可能根据攻击窗口状态而不是漏洞状态进行定义：

将1day定义的终点设为 $T_{2}$ 发生后1-3天，因为这几天漏洞补丁还在分发阶段，攻击窗口还很大；
将Nday定义的起点设在漏洞处于捡漏阶段开始，这时基本不存在任何攻击窗口了。

0day 1day Nday

背景知识

0day

1day

Nday

其他情况

推荐阅读更多精彩内容