HackerOne年度報告：安全眾測推出四年，成果幾何？

導語：企業的平均漏洞賞金支出出現上漲，跨站腳本攻擊（XSS）是企業最頭痛的安全問題。

超過800個項目

大約5萬份漏洞報告

1700餘萬美元白帽子賞金

報告數據顯示，當下白帽子的平均賞金收益為1923美元，比2015年的1624美元上漲了16%。企業支付過的最高單個漏洞賞金有30000美元，是一個很嚴重的洞。那家支付賞金的公司未公開名字。

在去年，遊戲、電商、零售、媒體、娛樂等多個行業都有企業為嚴重漏洞支付過20000美元的高額賞金，平台上有88個白帽子獲得過10000美元以上的單個漏洞賞金。

HackerOne首席執行官Marten Mickos表示，漏洞賞金計劃遵循自然規律，越年長的黑客，越有機會賺錢。而隨著公司需要修補的漏洞越來越多，攻擊面變大，賞金支出也會水漲船高。

Mickos還指出，過去一年裡漏洞賞金計劃跨過技術領域門檻，迎來了更廣泛的接受度。2016年平台上推出的賞金計劃，有41%來自政府、媒體、娛樂等非技術行業，和銀行、電商等金融服務業。

當國防部公布『黑進五角大樓計劃』後，改變了許多人對信任黑客這件事的看法。它讓各種各樣的公司找到我們，說『如果你們黑掉了國防部，希望也能同樣把我們黑掉。』

HackerOne平台上報告的漏洞，32%屬於高危或嚴重級別。過去四年里，交通運輸行業對這類漏洞最為慷慨，它們為此支付的平均賞金是4491美元，其次是遊戲行業（3583美元）、電商和零售業（3471美元）。技術公司排名第五，1923美元。教育行業最低，是317美元。

在2016年，安全問題的平均首次回應時間是7天，2017年變成了6天。電商和零售行業修復漏洞的平均速度最快，為4周。

在HackerOne平台，除金融和銀行業之外，其它行業最常被報告的漏洞是跨站腳本攻擊（XSS）。裡邊有低危也有高危，嚴重的比如早些時候Verizon修復旗下聊天應用里出現的XSS賬號劫持漏洞。

金融和銀行業最常出現的是授權不當。SQL注射漏洞在整個HackerOne上都很常見，醫療保健行業最多，佔比6%。

據HackerOne統計，福布斯全球兩千強企業榜單里，高達94%的公司都沒有設置過對外接收漏洞的入口。安全眾測還需要很長的路要走。

ps：報告的下載地址，The Hacker-Powered Security Report

本文翻譯自Average Bug Bounty Payments Growing，如若轉載，請註明原文地址： HackerOne年度報告：安全眾測推出四年，成果幾何？ 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：