Websites en mailinglists zoals Full-Disclosure, Bugtraq of Milw0rm zijn niet de plek om de laatste zero-day exploits te krijgen, er is namelijk een levendige handel in ongepatchte beveiligingslekken op de zwarte markt. Onlangs opende een ondergrondse exploit shop de deuren die voor bedragen tussen de tien en driehonderd dollar exploits aanbiedt om cross-site scripting en SQL-injectie aanvallen tegen populaire webapplicaties uit te voeren. Dit soort websites zijn niet nieuw, al sinds 2005 is de georganiseerde verkoop van exploits gaande. Russische hackers verkochten eind 2005 een zero-day voor het Windows Metafile lek voor 4000 dollar.

In het geval van de nieuwe exploit shop liggen de prijzen een stuk lager. De duurste zero-day, één van 300 dollar, is voor een SQL-injectie lek in alle versies van PHP Fusion. Verder zijn er ook exploits te koop voor andere programma's zoals PHP Nuke, Invision Power Board, VBulletin in combinatie met verschillende mods en Zen Cart. Allemaal populaire webapplicaties en fora die miljoenen mensen gebruiken. In tegenstelling tot het verleden gaat het niet meer om Windows programma's, maar webapplicaties.

"Deze overstap van client-side lekken naar webapplicaties vindt plaats vanwege de toegenomen vraag naar technieken om eenvoudig verkeer van legitieme websites te kapen, waar deze applicatie lekken uitermate geschikt voor zijn. Als de aanvallers het verkeer in handen hebben, kunnen ze bezoekers uiteindelijk naar kwaadaardige websites met malware en exploits doorsturen, die ongepatchte client-side lekken misbruiken", zegt beveiligingsonderzoeker Dancho Danchev. Volgens hem is het allemaal een kwestie van perspectief, en kiezen de mensen achter de zero-day shop voor een pragmatische aanpak, waarbij ze het juiste product op het juiste moment aanbieden.