软件的安全漏洞之所以很难得到更正的原因之一是由于它们很难被发现。与其它在运行时就可以明显表现出来的bug不同，安全漏洞具有相当的隐蔽性。而这，正是黑客喜欢它的原因。

　　计算机科学家，《How to Break Software Security》 的作者之一James A. Whittaker 在周三于圣地亚哥举行的软件安全高层会议上说：“如果希望掌握发现，修复和矫正安全漏洞，我们需要明了一些细枝末节。”这一为期三天的会议是为那些从事管理和开发应用软件的人士准备的。据估计，75％的黑客袭击都是针对应用软件。

　　这一会议关注的焦点是如何更好地构建应用程序，进而对其进行审计以发现黑客可能利用的漏洞。但是像发言人之一，同时在佛罗里达技术学院和应用安全提供商Security Innovations工作的Whittaker的一些与会者，同样敦促开发者了解他们的对手。Whittaker说，黑客往往是一招制人。“他们完善他们的方法，进入你的软件。他们进入你的网络所需的唯一东西就是一个漏洞。”
 
　　“黑客不为出货量的时间表和股东所束缚。他们不必承受我们所承受的压力。他们只关心一件事——就是如何进入你的计算机。”Whittaker还补充说，对于黑客的研究常常使人感到沮丧。他们（黑客）往往只具有有限的C和汇编语言编程的技巧，但是他们可以得到网络上数以千计的免费提供的黑客软件以及各种方法和教程。这种信息共享使得黑客团体变得十分可怕。

　　Whittacker还说；“他们的切入点十分隐蔽，如果你不能像黑客或攻击者或是任何想对你造成伤害的人一样思考，你将很难发现这些漏洞。”对于那些怀有恶意的人来说，具有四个可能的切入点,包括一个应用的用户输入（例如登录屏幕和网络表格）；远程，损坏的或是私密的文件；库和网络（丢失的库、损坏的数据包、带宽攻击）；操作系统（例如通过资源耗尽）。此外，除了社会工程陷阱（social engineering），攻击者通常通过向系统发送其不能处理的数据；欺骗（rigging）环境；或是使一个程序的逻辑自相矛盾。