HackerOne年度报告:安全众测推出四年,成果几何?

  1. 云栖社区>
  2. 嘶吼>
  3. 博客>
  4. 正文

HackerOne年度报告:安全众测推出四年,成果几何?

玄学酱 2017-09-14 14:35:00 浏览984
展开阅读全文
本文讲的是HackerOne年度报告:安全众测推出四年,成果几何?

HackerOne年度报告:安全众测推出四年,成果几何?

HackerOne这周发布了2017年年度报告《黑客驱动的安全众测模式》,对过去四年平台上累积的数据进行分析总结:

超过800个项目

大约5万份漏洞报告

1700余万美元白帽子赏金

报告数据显示,当下白帽子的平均赏金收益为1923美元,比2015年的1624美元上涨了16%。企业支付过的最高单个漏洞赏金有30000美元,是一个很严重的洞。那家支付赏金的公司未公开名字。

在去年,游戏、电商、零售、媒体、娱乐等多个行业都有企业为严重漏洞支付过20000美元的高额赏金,平台上有88个白帽子获得过10000美元以上的单个漏洞赏金。

HackerOne首席执行官Marten Mickos表示,漏洞赏金计划遵循自然规律,越年长的黑客,越有机会赚钱。而随着公司需要修补的漏洞越来越多,攻击面变大,赏金支出也会水涨船高。

Mickos还指出,过去一年里漏洞赏金计划跨过技术领域门槛,迎来了更广泛的接受度。2016年平台上推出的赏金计划,有41%来自政府、媒体、娱乐等非技术行业,和银行、电商等金融服务业。

当国防部公布‘黑进五角大楼计划’后,改变了许多人对信任黑客这件事的看法。它让各种各样的公司找到我们,说‘如果你们黑掉了国防部,希望也能同样把我们黑掉。’

HackerOne平台上报告的漏洞,32%属于高危或严重级别。过去四年里,交通运输行业对这类漏洞最为慷慨,它们为此支付的平均赏金是4491美元,其次是游戏行业(3583美元)、电商和零售业(3471美元)。技术公司排名第五,1923美元。教育行业最低,是317美元。

HackerOne年度报告:安全众测推出四年,成果几何?

在2016年,安全问题的平均首次回应时间是7天,2017年变成了6天。电商和零售行业修复漏洞的平均速度最快,为4周。

HackerOne年度报告:安全众测推出四年,成果几何?

在HackerOne平台,除金融和银行业之外,其它行业最常被报告的漏洞是跨站脚本攻击(XSS)。里边有低危也有高危,严重的比如早些时候Verizon修复旗下聊天应用里出现的XSS账号劫持漏洞。

金融和银行业最常出现的是授权不当。SQL注射漏洞在整个HackerOne上都很常见,医疗保健行业最多,占比6%。

据HackerOne统计,福布斯全球两千强企业榜单里,高达94%的公司都没有设置过对外接收漏洞的入口。安全众测还需要很长的路要走。




原文发布时间为:2017年6月30日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

网友评论

登录后评论
0/500
评论
玄学酱
+ 关注
所属团队号: 嘶吼