依据HackerOne周四公布的十大漏洞列表,跨网站脚本制作(XSS)依然是影响力较大的漏洞,因而该漏洞在2020年持续第二年为白帽子黑客得到了最大的回报——2020年为黑客获得了420万美金的漏洞悬赏金,比2019年提高了26%。
下列是2020年付款悬赏金最大的十大漏洞列表:
HackerOne维护保养着一个黑客发觉的200,000个漏洞的数据库查询,依据该站点的数据信息,公司2022年一共向白帽子黑客付款了2350万美金的漏洞悬赏金,以处理所有的这种漏洞。
除开排名第一的XSS,2020年极具影响力和悬赏金最大的十大漏洞种类还包含:不合理密钥管理、数据泄露、服务端仿冒要求(SSRF)、不安全的立即目标引入(IDOR)、权利更新、SQL引入、有误的身份认证、编码引入和跨网站要求仿冒(CSRF)。
依据HackOne的汇报,2020年漏洞管理方法行业展现五大发展趋势:
1.机构已经运用自主创新专用工具来降低XSS
XSS漏洞十分广泛,难以清除,即使针对具备最成熟稳重的应用软件安全系数的机构来讲。XSS漏洞通常置入在可危害生产制造管路的编码中,占全部汇报漏洞的18%,但均值悬赏金仅为501美金。这代表着机构已经以十分便宜的价钱减轻这类普遍的漏洞。
2.不合理的密钥管理和信息披露愈来愈广泛
不合理密钥管理悬赏金同比增加134%,做到400万美金以上。信息披露略逊一筹,同比增加63%。
二种方式 都公布了不确定性的隐秘数据,例如个人信息信息内容。假如比较敏感的顾客或内部结构信息内容因配备不正确的管理权限而泄露,将是毁灭性的。
这种漏洞十分广泛,由于应用智能化专用工具几乎没法监测到他们。黑客推动的安全保障给予了一种相对性划算且极为有效的办法来减轻这种漏洞。
3.SSRF表明了云转移的风险性
SSRF(服务端要求仿冒)漏洞可被使用与外界第三方系统软件创建联接,进行故意进攻并造成不确定性的法律依据和名誉损害。
之前,SSRF漏洞算不上比较严重,由于他们只容许内部结构网络扫描,有时候还能够浏览内控管理控制面板。可是,在数字经济的时期,云计算平台和不会受到维护的数据库节点的产生使这种漏洞越来越愈来愈风险。
4.SQL引入逐渐降低
在过去的的两年中,SQL引入是最多见的漏洞种类之一。可是,全新的统计数据说明,该漏洞的数目正逐渐降低。
伴随着当代安全性架构和办法的普及化,该漏洞早已没落。当机构不监控什么应用软件投射到数据库查询以及接口标准时,通常会产生SQL引入。根据往左边迁移安全系数,机构可以运用黑客和其它方式来积极监控攻击面并避免不正确键入编码。
5.搜索普遍漏洞种类并不价格昂贵
在十大积累悬赏金最大漏洞种类中,仅有不合理密钥管理服务端要求仿冒(SSRF)和信息披露发觉是均值悬赏金奖赏提升了10%以上。别的的均值降低或几乎差不多。
与传统的的安全工具和方式不一样,传统式的安全工具和方式伴随着总体目标的更改和攻击面的增大而显得更为价格昂贵和繁杂,而由于時间的变化,由黑客推动的安全系数事实上更具有成本效益。针对黑客而言,避免各种不良行为者运用最多见的不正确越来越更加划算。
网络攻击应用XSS漏洞来调节线上客户的账号并盗取私人信息,例如登陆密码,银行账号,银行信用卡信息内容,个人信息信息内容(PII),社会安全号等。据HackerOne称,虽然他们占全部汇报的漏洞的18%,但事实上白帽子黑客因发觉这种漏洞而取得的均值悬赏金并不高。
科学研究工作人员强调,对于XSS漏洞的悬赏金奖赏约为501美金,远小于对于重要漏洞的3,650元的均值奖赏,这使机构可以廉价地减轻普遍的XSS漏洞。
的确,科学研究工作人员发觉,漏洞越普遍,发觉和减轻该漏洞的报酬就越低,机构投入的报酬就越低。
下面的图为不一样行业领域的均值漏洞悬赏金比照(均值悬赏金最大的TOP5领域分别是计算机技术、电子器件与半导体材料、数字货币与区块链技术、车辆与交通出行、互联网技术与在线客服):
HackerOne产品经营高級主管Miju Han强调:“找寻普遍漏洞种类并不价格昂贵,”他强调,TOP10列表中的漏洞中仅有三个——不合理密钥管理、服务端要求仿冒(SSRF)和数据泄露,均值悬赏金在一年中提高了10%以上。
这说明,对比购置和执行“传统式安全工具和方式”,聘请白帽子黑客来网络嗅探漏洞成本费上更有优点。由于传统式的安全工具和方式伴随着防御力总体目标的更改和攻击面的增大而变的越发贵和繁杂。
自动化技术没法替代白帽子黑客
在2020年的十大悬赏金漏洞排行榜中,不合理密钥管理从第9位升高至第2位,而一直位列第3位的信息披露在漏洞悬赏金销售市场上显得愈发有使用价值。
不合理密钥管理的奖赏比往年同期增加了134%,稍高于400万美金,而数据泄露的悬赏金则比往年同期增加了63%。
科学研究工作人员说,因为密钥管理设计方案管理决策需要由人而不是技术性来决策,因而出差错的几率很高。她们说,应用全自动专用工具几乎也没法监测到这种漏洞,这彰显了白帽子黑客在这个行业的使用价值。
的确,即使是这些不愿意提升安全产品清晰度的大中型科技公司,也逐渐对奖赏白帽子黑客的念头造成兴趣爱好。例如以往12个月中,美国苹果公司Zoom和TikTok都推行了公布的漏洞悬赏金方案。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章