HackOne2021年度报告

 

 

数据一:概览数据

在过去的12个月里,提交漏洞的黑客增加了63%

顶级黑客平均报告20个种类的漏洞。

关于不当访问控制和提权提升的报告提升了53%

关于错误配置的报告增加了310%

50%的黑客由于缺乏清晰的报告过程或以前的黑历史,没有报告bug

有85%的黑客提交漏洞是为了学习,有62%的黑客是为了职业规划。

 

数据二:社区规模

自两年前发布《 2019年黑客报告》以来,HackerOne 社区的规模翻了一番,拥有超过了100万注册的黑客。尽管社区中的很多人还在探索学习中,但2020年2020年提交报告的黑客数量增长了63% 。相比于2018年,这个数字增长了143%,表明黑客正在不断提高他们的技能和专业知识,因为全球各地的组织和行业都在投资使用黑客技术的解决方案。

HackOne平台达成了向黑客支付了1亿美元的里程碑,仅在2020年,黑客通过平台就赚了4000万美元。 有9位黑客从2019年到现在赚了超过100万美元,甚至有一名黑客赚到了200万美元。 下图是全球黑客的分布情况:

 

数据三:黑客群体

社区中的大多数人(82%)是兼职黑客,35%的人有全职工作。 尽管大多数人自称是自学成才,但其实都有技术背景,37%的黑客拥有研究生以上水平的计算机科学素养,20%的黑客获得了计算机科学专业的研究生学历。
黑客技术仍然是Z世代(指的是1995到2009年间出生的人,大概相当于我们的95后)的热门追求,社区中55%的黑客在25岁以下。 黑客正在为他们的未来铺平道路。33%的人利用自己的技能找到了工作,23%的人计划继续在内部安全团队中从事信息安全的职业。黑客一般都会通过以下方式搜寻漏洞来增强组织的安全能力,并开始将他们的黑客思维技能带入到内部安全功能。

 

数据四:黑客动机

从兼职黑客到全职渗透测试者,社区为受邀测试的组织提供了不同的途径、技能和理念 。保持黑客积极性的并不仅仅在于金钱。 虽然比例很高(76%)的是受到赏金的激励,但其中85%的人是为了学习和扩展他们的技能,还有62%的人是为了促进自己的职业发展。还有的黑客的动机在于,希望通过黑客活动来捍卫企业网络安全,从而在世界上取得成就并避免个人免受网络威胁。 这类活动占黑客活动的47%。

 

数据五:黑客选择

当黑客发现bug时,他们会想报告。但是,如果没有明显直接的报告渠道的话,黑客要么什么都不做,要么公开披露漏洞。漏洞披露程序(VDP,vulnerability disclosure program)指导黑客们如何提交漏洞报告。尽管没有金钱奖励的,但社区中仍有47%的人积极参与。这其中51%的人出于责任感,79%的人是为了学习,57%的人是为了提高在圈子里的声誉。赚钱是76%的黑客选择做这份工作的原因。
现实是黑客很多时候并没有报告漏洞,这是为什么呢?

50%的黑客没有披露他们发现的漏洞。其中:

27%的黑客没有报告一个bug,因为没有披露途径;

27%的黑客没有报告一个bug,因为公司前期非常不尊重或者很难合作;

19%的黑客没有报告一个bug,因为没有提供奖金。

 

数据六:合作对象

互联网企业59%,金融服务组织是47%,零售和电子商务是41%,媒体和娱乐公司是37%,教育组织是32%,政府项目是31%,休闲和招待业是26%,电信行业25%,猎头公司25%,医疗保健组织23%,消费品公司是20%,医疗科技16%,半导体行业14%,加密和区块链技术14%,汽车行业14%,电脑硬件13%,航空航天10%,非盈利组织10%。

 

数据七:技术领域

96%的黑客从事Web应用的研究,比上年增长71%。在专业化程度更高的APT领域,黑客耗费的时间增加了694%,花在安卓上的时间增加了663%,物联网的数字增长最大——1000%。

HackOne平台的数据表明,从各种报告来看,移动方向提交的数量增加了150%,硬件的漏洞,包含物联网的漏洞,提交的数量增加了469%。Top Ten漏洞的同比增长如下图:

从前十的漏洞看,信息泄露增长最大,达到65%,部署Top Ten的错误配置漏洞,曾增长了310%,这主要是和云技术的迅速发展有关。

 

数据八:一血耗时

黑客社区也在不断发张壮大,从黑客入驻站点,平均用16天的时间报告第一个漏洞,去年的这个数据是148天。顶级黑客平均报告超过20个不同的漏洞。尽管26%的黑客表示越来越难找到漏洞,但有45%的黑客表示他们过去发现了新的漏洞。

 

数据九:HTTP请求走私漏洞

2017年前还没有HTTP请求走私这种被长期遗忘的漏洞的报告。2019年安全专家披露了对这个旧漏洞新技术的研究。2018年到2019年该类漏洞的报告已经有438个,2020年翻了一倍达到848个。

 

展望

在短短两年多的时间里,HackOne社区潜在黑客数量增加了一倍,平台上注册人数规模超过一百万,以后还会继续增加。有四分之一的黑客在学习HackOne的线上资源,Hacker101是HackerOne的专用资源,主要是软件破解方向。Hacker101 CTF相当于我们看雪论坛的KCTF, 仅过去一年,就有超过66,000名黑客CTF提交了42万个flag,而2019年49,000个黑客中找到了31万7千个flag。

传统网络安全解决方案,已无法满足敏捷和安全的双重要求。内部安全团队在不断学习黑客们带来的新技能和专业知识,而且快速迭代,企业的安全水平提升了,安全团队的影响力也不断在增强,应对新兴威胁的能力也不断提升。

这份报告的致谢中有家国内的SRC——TSRC,客观来说,他们的机制和态度确实是大厂中做的非常好的,想起自己刚入门的时候,第一个SRC漏洞也是他们家的。

PS:1.虽然某行动有这样那样的问题的,但是无疑安全这行的蛋糕实实在在变大了,单位的领导也开始重视网络安全这个问题了。2.HackOne的数据应该是非常细致的,报告比较枯燥无聊,但是应该非常详实,建议我们各大SRC,特别是大型众测平台,也最好发布细致的数据报告,当然能做成网易云音乐的年度报告那样的更好。

 

链接

报告原文

https://www.hackerone.com/resources/reporting/the-2021-hacker-report

HTTP请求走私漏洞

https://blog.csdn.net/Auuuuuuuu/article/details/108112724

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐