安全厂商为了提高其检出测，显示其水平高，往往会把很多不是安全漏洞的事情说成是安全漏洞。对安全厂商的这些报告怎么答复呢？哪些是真正问题，哪些是吹毛求疵呢？

以下这类漏洞说是漏洞还过得去：

• 跨站点攻击－跨站点脚本攻击（XSS）
• 跨站点攻击－跨站点请求伪造（CSRF）
• CSRF 跨站域请求伪造白话详解
• 读《SQL注入天书之ASP注入漏洞全接触》感（荐）
• XXE 攻击既可恶，也没那么危言耸听。

以下这些就太……：

• 电话、邮箱、地址信息泄漏，长串数字即为身份证信息泄漏
• 发现内网 IP
• 文件路径泄露
• 网址暴露了文件结构就不安全？
• robots.txt 居然被那家公司定义为敏感文件泄露
• 关闭自动完成、密码保存
• 密码强制过期
• SetCookie 未配置 HttpOnly、Secure
• 你的网站能被别人加入 iframe 吗？
• 清除 X-Powered-By:ASP.NET
• 建议阻止的 HTTP 谓词
• 未加密的 __VIEWSTATE
• 关于 ASP.NET 错误页设置显示详细错误信息虽然不是那么好，但真没必要上纲上线。
• 关于“IIS 短文件和文件夹泄漏漏洞”
• 短文件名漏洞引出的 .NET 版本 validateRequest，IIS 集成、经典
• 安全测评中心推荐使用 sa？
• 一个漏洞拆成多个漏洞

另外，我们也提出一些安全建议，不过这些安全问题，厂商是扫描不到的。

• WebLogic 如何不以 Administrator 身份运行
• WebLogic 如何以 Windows 认证方式连接 SQL Server
• 我对现在的手机 APP 安全性持非常大的怀疑态度
• APP 设计者可以这样防范 APP 被冒用
• ASP.NET 用签名/强命名保障代码安全
• 留后门、挂码的新方式
• 如何查看隐藏用户，带 $ 用户如何删除？