代价不是来自脆弱性，而是来自风险。即：

• 漏洞是可能被利用以使您的信息资产面临风险的漏洞（例如缓冲区溢出）。
• 威胁是一个上下文元素，它将试图窥探或破坏您的信息资产（例如，现有的一组攻击者将以某种方式从此类行为中受益）。
• 风险是当威胁遇到漏洞时，他们相处得很好，结婚生子。

成本是适用于您对风险所做的任何事情。例如，忽略风险的成本，粗略地说，就是风险实现所造成的损害成本。另一方面，修复缓冲区溢出的成本纯粹是开发和部署成本，因为它消除了漏洞。风险管理的艺术是在纠正措施和接受之间取得适当的平衡（“适当的平衡”是相对于风险管理目标而言的，这取决于组织）。

底线：成本与您所做的事情有关，并且取决于许多上下文元素，尤其是威胁。如果不考虑上下文，您无法估计任何有意义的成本概念。您不能为漏洞甚至风险附加成本；成本是一组动作的属性（因为“什么都不做”是这样一个集合，所以总是会产生一些成本）。

将成本固定在漏洞利用上通常会涉及与业务用户的（许多）会议，最终这只是一个有根据的猜测。您可能能够估算出由于拒绝服务攻击而造成 4 小时业务中断的成本，但是对于诸如网站损坏之类的事情，您必须与管理人员和/或公共关系人员进行交谈，以确定对网站造成的损害声誉和修复它的成本。另一件要考虑的事情不仅是攻击的成本，还有频率。如果这是一次简单的攻击，它可能每天或每小时都会发生，因此您必须将攻击成本乘以频率才能获得实际成本。

我不会将检测漏洞的成本计入违规成本。无论如何，您都应该积极寻找安全漏洞，以便将其放在不同的资金桶中，例如 IT 或专门用于信息安全的资金桶

我知道这是旧的，但我在搜索时仍然在 Google 上找到它，所以这是我的观点：今天有多个错误赏金计划，其中，出于显而易见的原因，他们需要衡量他们收到的信息和数据的权重来自道德黑客并提供给他们的客户。

众所周知，信息是一种难以衡量的资产，因为它是抽象的；但是，我们通常会比经验较少的专业人士支付更多的信息或更多经验的专业人士，因为他们有更多的经验，或在特定主题上接受过更多的培训。

为了估计安全漏洞的成本或价格，您需要考虑几个不同的方面。我将尝试描述：

1）我认为您是否发现它使用或不使用自动化工具并不重要。从本质上讲，您可以使用自动化工具找到的那种安全漏洞会产生影响，因为与那些更难发现和识别的漏洞相比，平台或影响面会更小和有限。

2) 支付更高的安全漏洞通常是暴露或危害大表面的漏洞或漏洞，即：暴露大量用户的漏洞，或暴露大量数据的漏洞。

3）没有办法确切地确定这一点，因为它也是由供需决定的，但总的来说，我们可以得出结论：

3.1) 受影响的用户越多，漏洞的代价就越大。

3.2) 暴露的信息越多，漏洞的代价就越大。

相比之下; 我们可以说，在没有人使用的软件中发现低风险、低影响的安全漏洞，没有价值 0 美元。

并且，从大量用户那里泄露大量信息的漏洞通常会获得 +100,000 美元的价格标签。

这同样适用于代表大公司直接业务连续性风险的漏洞，因为它们通常会获得非常好的回报或非常高的报酬。

这只是我个人的看法，作为一名道德黑客，拥有大型组织和黑市的经验。

请查看此图表以获取一些参考：

- $2,000,000 - Apple iOS remote jailbreak (Zero Click) with persistence (previously: $1,500,000)
- $1,500,000 - Apple iOS remote jailbreak (One Click) with persistence (previously: $1,000,000)
- $1,000,000 - WhatsApp, iMessage, or SMS/MMS remote code execution (previously: $500,000)
- $500,000 - Chrome RCE + LPE (Android) including a sandbox escape (previously: $200,000)
- $500,000 - Safari + LPE (iOS) including a sandbox escape (previously: $200,000)
- $200,000 - Local privilege escalation to either kernel or root for Android or iOS (previously: $100,000)
- $100,000 - Local pin/passcode or Touch ID bypass for Android or iOS (previously: $15,000)

- $1,000,000 - Windows RCE (Zero Click) e.g. via SMB or RDP packets (previously: $500,000)
- $500,000 - Chrome RCE + SBX (Windows) including a sandbox escape (previously: $250,000)
- $500,000 - Apache or MS IIS RCE i.e. remote exploits via HTTP(S) requests (previously: $250,000)
- $250,000 - Outlook RCE i.e. remote exploits via a malicious email (previously: $150,000)
- $250,000 - PHP or OpenSSL RCE (previously: $150,000)
- $250,000 - MS Exchange Server RCE (previously: $150,000)
- $200,000 - VMWare ESXi VM Escape i.e. guest-to-host escape (previously: $100,000)
- $80,000 - Windows local privilege escalation or sandbox escape (previously: $50,000)

那么，最便宜和最贵的共同点是什么？攻击面、暴露的潜在信息和相关风险。

取决于谁在做估算。

如果你是软件生产者，成本就是修复漏洞的成本。如果您正在努力实现成熟的风险管理实践，那么如果漏洞会损害您的销售，则增加失去业务的成本。忽略下一段中的费用，除非有一些保险或监管制度会将这些费用分配给您。

如果您是消费者，那么标准的、简单化的概率 x 影响可能就足够了（尽管粗糙且不雅，但足够了）。计算出违规的成本——如果漏洞被对手利用会发生什么（这将是一个范围，取决于最坏的情况和最可能的情况）。然后是对手能够利用该漏洞的概率。例如，即使是最严重的漏洞，如果它只发生在一台气隙服务器上，其影响也有限。将美元价值乘以概率来计算风险敞口范围。

如果您正在努力实现成熟的风险管理实践，那么您应该拥有（或正在积极收集）数据来支持上一段中的分析。

如果您在健康或安全社区，您应该已经建立了计算方法。