HackerOne年度報告:安全眾測推出四年,成果幾何?
導語:企業的平均漏洞賞金支出出現上漲,跨站腳本攻擊(XSS)是企業最頭痛的安全問題。
HackerOne這周發布了2017年年度報告《黑客驅動的安全眾測模式》,對過去四年平台上累積的數據進行分析總結:超過800個項目
大約5萬份漏洞報告
1700餘萬美元白帽子賞金
報告數據顯示,當下白帽子的平均賞金收益為1923美元,比2015年的1624美元上漲了16%。企業支付過的最高單個漏洞賞金有30000美元,是一個很嚴重的洞。那家支付賞金的公司未公開名字。
在去年,遊戲、電商、零售、媒體、娛樂等多個行業都有企業為嚴重漏洞支付過20000美元的高額賞金,平台上有88個白帽子獲得過10000美元以上的單個漏洞賞金。
HackerOne首席執行官Marten Mickos表示,漏洞賞金計劃遵循自然規律,越年長的黑客,越有機會賺錢。而隨著公司需要修補的漏洞越來越多,攻擊面變大,賞金支出也會水漲船高。
Mickos還指出,過去一年裡漏洞賞金計劃跨過技術領域門檻,迎來了更廣泛的接受度。2016年平台上推出的賞金計劃,有41%來自政府、媒體、娛樂等非技術行業,和銀行、電商等金融服務業。
當國防部公布『黑進五角大樓計劃』後,改變了許多人對信任黑客這件事的看法。它讓各種各樣的公司找到我們,說『如果你們黑掉了國防部,希望也能同樣把我們黑掉。』
HackerOne平台上報告的漏洞,32%屬於高危或嚴重級別。過去四年里,交通運輸行業對這類漏洞最為慷慨,它們為此支付的平均賞金是4491美元,其次是遊戲行業(3583美元)、電商和零售業(3471美元)。技術公司排名第五,1923美元。教育行業最低,是317美元。
在2016年,安全問題的平均首次回應時間是7天,2017年變成了6天。電商和零售行業修復漏洞的平均速度最快,為4周。
在HackerOne平台,除金融和銀行業之外,其它行業最常被報告的漏洞是跨站腳本攻擊(XSS)。裡邊有低危也有高危,嚴重的比如早些時候Verizon修復旗下聊天應用里出現的XSS賬號劫持漏洞。
金融和銀行業最常出現的是授權不當。SQL注射漏洞在整個HackerOne上都很常見,醫療保健行業最多,佔比6%。
據HackerOne統計,福布斯全球兩千強企業榜單里,高達94%的公司都沒有設置過對外接收漏洞的入口。安全眾測還需要很長的路要走。
ps:報告的下載地址,The Hacker-Powered Security Report
本文翻譯自Average Bug Bounty Payments Growing,如若轉載,請註明原文地址: HackerOne年度報告:安全眾測推出四年,成果幾何? 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※作為一名黑客(或白帽子)是什麼體驗?
※網站一直在被攻擊,真想成為黑客,反擊他大爺的們?我該怎麼辦?
※成為一個黑帽需要掌握那些技能?求一學習思路。?
※真實又有技術含量的黑客書籍、小說有哪些?
※為什麼很多優秀的白帽都是從黑帽洗白過來的?
TAG:信息安全 | 白帽黑客WhiteHat |