當前位置:
首頁 > 最新 > 重磅!HackerOne2018年黑客調查報告

重磅!HackerOne2018年黑客調查報告

最新 01-28

本文是翻譯文章,文章原作者Hackerone,文章來源:hackerone.com

原文地址:https://www.hackerone.com/sites/default/files/2018-01/2018_Hacker_Report.pdf


黑客:一類喜歡挑戰智力,並能夠創造性地突破限制的人。

(譯者註:在本報告中,「黑客」一詞均指進行漏洞研究和漏洞挖掘的白帽黑客。)


我們正處在一個充滿黑客的時代。一些黑客被譽為英雄;一些黑客不斷被媒體提及;一些黑客被認為是邪惡的化身;還有一些假想的黑客,不斷出現在好萊塢電影之中。

在HackerOne,我們認同Keren Elezari的觀點——黑客是互聯網的免疫系統。我們需要Elon Musk這樣的人來創造技術,也同樣需要Keren和Mudge這樣的人來研究並發現這些技術創新之中的缺陷。

每發現並修復一個漏洞,互聯網的安全係數就隨之多增加了一分。在HackerOne社區中,安全研究人員日復一日地重複著同一項工作——尋找漏洞,以負責任的方式向相關組織報告漏洞,並搶在犯罪分子利用漏洞之前將其修復。這個社區十分強大,並且還在不斷發展。在短短兩年的時間之內,我們的註冊用戶就增長了10倍。

這份調查報告,是白帽黑客社區有史以來規模最大的調查,共有1698名受訪者參與其中。當你閱讀這份報告時,你會發現白帽黑客社區所具有的品質:保持好奇、不懈探索、團結互助、樂善好施。

據統計,有四分之一的黑客曾經向慈善組織捐款,許多黑客都會與其他黑客及安全研究人員無償分享知識。在沒有現金獎勵的情況下,黑客們已經幫助美國國防部解決了近3000個漏洞。

他們會報告安全漏洞,因為他們認為這才是最正確的做法。

在加州大學伯克利分校、塔夫茨大學、卡內基梅隆大學等頂級學府中,黑客技術已經成為了一門有學分的課程。如今,世界各地的黑客都在通過尋找漏洞來獲得收入。各種漏洞獎勵計劃向所有人開放,並提供豐厚的獎勵。在一些國家,黑客的總收入甚至能達到軟體工程師收入的16倍。

儘管我們已經取得了很多成就,但在未來,還有許多工作要去完成。絕大多數企業(福布斯全球企業2000強中的94%)都沒有一個面向外界的漏洞收集計劃。有近四分之一的黑客沒有報告他們發現的漏洞,僅僅因為相應的公司沒有提交漏洞的渠道。

關於如何應對這一挑戰以及迄今取得的進展,請閱讀「企業正在逐步接受外界提交的漏洞」章節。

在現代數字社會中,黑客已經成為了重要成員之一。作為一份記錄黑客的檔案,通過這份報告大家可以深入了解黑客的想法,查看世界各地的統計數據和增長指標,掌握近期發現的漏洞,並閱讀一些漏洞獎勵計劃參與者的故事。


漏洞的獎金可能會改變一些黑客的生活。在印度,頂尖黑客所獲得的收入,是軟體工程師薪資中位數的16倍。頂尖研究人員所獲得的收入,是軟體工程師薪資中位數的2.7倍。

有近四分之一的黑客沒有報告他們發現的漏洞,僅僅因為相應的公司沒有提交漏洞的渠道。

金錢獎勵仍然是黑客進行漏洞挖掘的主要原因,但與2016年相比,該原因已經從第一下降至第四。如今,黑客更多地以「擁有學習機會」作為漏洞挖掘的首要動力,「享受挑戰的快感」和「過程非常有趣」並列第二。

在HackerOne社區中,有23%的成員來自印度,20%的成員來自美國,6%的成員來自俄羅斯,4%的成員來自巴基斯坦,4%的成員來自英國。

有將近58%的黑客是自學成才。約50%的黑客在大學本科或研究生階段學習過計算機科學,26.4%的黑客在高中或高中之前學習過計算機科學,然而僅有不到5%的黑客是在課堂上學會黑客技術的。

有37%的黑客表示,他們只是將黑客技術作為閑暇時間的業餘愛好。在HackerOne黑客群體中,大約有12%的黑客年收入在2萬美元(約合12.8萬人民幣)以上,有3%的黑客年收入超過10萬美元(約合63.9萬人民幣),有1.1%的黑客年收入達到35萬美元(約合223.6萬人民幣)。有25%的黑客所獲得的漏洞獎勵占其年收入的50%以上,有13.7%的黑客所獲得的漏洞獎勵占其年收入的90%-100%。


HackerOne社區的黑客幾乎遍布全球各個國家和地區。印度、美國、俄羅斯、巴基斯坦和英國分別位列前五名,其中印度與美國的黑客成員佔比為43%。如此廣泛的黑客成員分布,使「黑掉整個地球」這句話成為了可能。由於大多數安全獎勵計劃都是在線發布、在線提交的,因此黑客可以輕鬆找到新開展的、獎勵豐厚的機會。美國或英國的某家企業,可以直接與印度或俄羅斯的黑客展開緊密合作,從而迅速找到最關鍵的漏洞所在。


在2017年5月發布的《黑客驅動的安全報告》中,我們向大家介紹過,位於印度的黑客已經獲得總計超過180萬美元的獎金。然而,儘管印度的黑客獲得了數百萬的獎勵,但這些用於獎勵的資金大部分都不是印度的公司所支付的。下面的圖表展現了HackerOne平台上漏洞獎勵資金的流入和流出情況。


漏洞獎金往往可以改變黑客的生活。我們將參與漏洞獎勵計劃最為優秀的人員的收入與同類工作薪資情況進行了比較。針對40個國家和地區,我們分別獲取了薪資數據。結果表明,頂尖研究人員所獲得的收入,是軟體工程師薪資中位數的2.7倍。那麼,哪個國家二者相差最為懸殊呢?答案是印度。在印度,頂尖黑客所獲得的收入,是軟體工程師薪資中位數的16倍。這也就意味著,挖掘漏洞比寫代碼更能賺錢。這也是目前越來越多人從事黑客行業的一大原因。



如今的黑客,往往都是年輕、好奇、天才的專業人士。超過90%的黑客年齡在35歲以下,約58%的黑客是自學成才,約44%的黑客是IT專業人士。教育仍然是HackerOne社區所努力的重點。加州大學伯克利分校的學生們可以在課堂上學習黑客知識並獲得相應學分。在課堂之外,黑客們也經常會分享他們的知識,並竭盡所能幫助他人。要學好黑客相關的知識,需要持續不斷地努力學習,並且需要對這方面知識擁有強烈的興趣。


在HackerOne上,90%以上的黑客年齡在35歲以下,超過50%的黑客在25歲以上,18歲以下的黑客超過8%。大多數(45.3%)的黑客年齡在18至24歲之間,其次是37.3%的黑客年齡在25至35歲之間。


絕大多數黑客(58%)都是自學成才,約67%的黑客通過在線資源、博客、書籍或通過他們所在的社區(包括其他黑客、朋友、同事等)學習黑客技巧和訣竅。

將近一半的黑客從事IT/軟體/硬體領域的工作,其中有44%以上的人專註於安全研究,有33%的人從事軟體開發。在HackerOne,僅有25%的黑客是學生。有13%的黑客表示,他們每周的全部時間或40小時以上的時間,會用來進行黑客相關工作。


超過66%的黑客每周花費20小時或更少的時間進行黑客相關工作,有44%的黑客每周花費10小時或更少的時間。超過20%的黑客每周會花費超過30小時。


為社區賦能,是我們的核心價值觀之一。黑客都是充滿好奇心的,而我們的目標就是通過黑客教育來滿足大家的這種好奇心。

5.5.1 通過學習黑客獲得大學學分

我們非常榮幸能夠與加州大學伯克利分校合作,訓練學生如何尋找漏洞並開發更安全的軟體。關於該合作項目的細節,請閱讀CNN的文章:http://money.cnn.com/2017/12/01/technology/berkeley-cyberwar-hackers-students/index.html。這是大學為以黑客技術為核心的教育產品提供學分的首例嘗試。

5.5.2 思想創新源於多元化

2017年6月,Lookout和HackerOne合作舉辦了一個安全教育活動,我們將女性工程師召集在一起,開展了一次黑客和網路安全的研討會。HackerOne平台上的絕大多數黑客都是男性,但我們的最終目標是為所有對黑客技術感興趣的人提供教育。在本次研討會上,我們組織了賞金挑戰賽、教育研討會、黑客攻擊體驗以及能夠贏取拉斯維加斯DEF CON 25免費參與機會的抽獎活動。

5.5.3 從最好的資源學習

HackerOne已經發行了超過10000本Peter Yaworski的《Web Hacking 101》(https://leanpub.com/web-hacking-101)。到目前為止,平台上的新黑客成員都有資格免費獲得一份該書的副本。此外,我們還為學生和社群團體提供面對面的研討會,並與我們實時的黑客活動相結合。其中的一個較為知名的活動,就是我們在拉斯維加斯W酒店屋頂泳池邊,由Frans Rosen進行的現場直播,主題為如何組建安全團隊並不斷獲得影響力(https://www.youtube.com/watch?v=Uyjkgsu-mrU)。此外,Hacktivity是我們社區的首頁,其中包括可以披露的全部漏洞詳情、黑客介紹、開展的項目以及漏洞獎勵活動。披露的Hacktivity報告是黑客們學習的一個優秀資源。大家可以在這裡查看到最近20個報告的摘要:https://www.hackerone.com/blog/top-20-upvoted-reports-on-hacktivity。



儘管目前有許多黑客都是年輕人,但近29%的黑客擁有6年以上的經驗,其中有超過10%的黑客至少從2006年起(至少擁有11年經驗)就一直在進行入侵等相關工作。對於我們來說,年齡並沒有太大的意義。針對某位黑客提交的全部漏洞,信號(Signal)可能是最重要的衡量指標,也是HackerOne的關注焦點。關於信號的詳細解釋請參見:https://support.hackerone.com/hc/en-us/articles/207377903-What-are-Signal-and-Impact-。實際上,HackerOne所發布的漏洞有較好的信噪比(Signal to Noise Ratio),而且我們相信會變得越來越好。


HackerOne擁有業界最佳的「信噪比」(SNR)。在《黑客驅動的安全報告》中,我們向大家展現了過去幾年的信噪比,其結果表明該值正在穩步提升。雖然我們為自己是第一名而感到自豪,但我們仍在不斷追求更好:我們已經開始了一項充滿雄心的產品開發工作,用於消除所有程序的「噪音」。在測試過程中,我們已經看到了明顯的信號值改善。2018年將是重要的一年,敬請期待我們的更多改變。

信噪比的相關定義:

(1) 明確的信號(Clear Signal):漏洞報告狀態被置為「已解決」。這意味著該漏洞是已經過漏洞響應小組驗證的有效安全漏洞。

(2) 名義上的信號(Nominal Signal):漏洞報告已經關閉,並且狀態被置為「有價值的信息」或者「重複提交的漏洞」。儘管並沒有提供明確的信號,但這些報告大多數從技術層面上看是準確的,並且能夠提供給研究人員進行參考。

(3) 噪音:這些漏洞報告狀態被置為「不適用」或「無效提交」。這些漏洞並不真實存在,作為信噪比(SNR)之中的「噪音」。



黑客如何選擇要參與的漏洞項目?他們使用的工具是什麼?他們喜歡選擇什麼樣的攻擊面?仔細閱讀這一章節,就可以找到上述問題的答案。


在HackerOne,近30%的黑客使用Burp Suite來幫助他們尋找漏洞,有超過15%的黑客使用自己開發的工具。其他用於尋找漏洞的工具包括:Web代理及掃描器(12.6%)、網路漏洞掃描器(11.8%)、漏洞檢查工具(9.9%)、調試器(9.7%)、WebInspect安全評估工具(5.4%)、Fiddler HTTP協議調試代理工具(5.3%)和ChipWhisperer(0.8%)。


黑客更喜歡Web應用程序。有超過70%的受訪者表示,他們最喜歡用來進行攻擊的平台或產品是網站,其餘佔比較高的依次為:API(7.5%)、自身使用的技術/自己擁有的數據(5%)、Android移動應用程序(4.2%)、操作系統(3.1%)和物聯網產品(2.6%)。



漏洞獵人尋找漏洞只是為了獲得獎金嗎?錯!毫無疑問,獎金的激勵是一個重要的因素,但還有一些其他東西比金錢更為重要。例如,好奇心是整個黑客社群持之以恆的動力來源。一些厲害的黑客會參加更為高級的漏洞探尋計劃(例如美國國防部組織的漏洞挖掘活動),黑客們非常希望能盡其所能,讓互聯網變得更加安全。


金錢獎勵仍然是黑客進行漏洞挖掘的主要原因,但與2016年相比,該原因已經從第一下降至第四。如今,黑客更多地以「擁有學習機會」作為漏洞挖掘的首要動力,「享受挑戰的快感」和「過程非常有趣」並列第二。黑客進行攻擊的其他主要原因分別為:促進職業發展、擁有保護和防禦的機會、在世界上做好事。總體來說,他們想要不斷提升並擴展自己的技能,希望從中得到樂趣,同時也想要在這個過程中為建設更安全的互聯網做出自己的一份共享。


這些激勵機制會驅使黑客們更加關注漏洞,無論是想要獲得收入,還是希望磨練自己的技能。超過23%的黑客表示,他們會根據獎勵的多少來選擇要參與的活動。超過20%的黑客表示,他們會根據挑戰性和學習機會來進行選擇。其他佔比較高的決定因素分別是:喜歡的企業品牌(13%)、安全團隊的響應速度/程度(10.7%)和對企業的認可度(9.7%)。


我們還調查了黑客最喜歡的攻擊維度、技術和方法,有超過28%的受訪黑客表示他們更喜歡挖掘XSS漏洞,其次佔比較高的分別是SQL注入(23.1%)、模糊測試(5.5%)和暴力破解(4.5%)。


在五年內,HackerOne共計發放了2.3億美元的獎勵,預計截止到2020年,我們將發放10億美元的獎勵。在本文4.1中,我們已經給出了資金流的分布圖,但具體到每一位黑客,他們是如何使用所獲得的獎金的呢?在拉斯維加斯的線下黑客活動中,我們與一些黑客進行了溝通,以下是他們接受採訪時的一些回答:



我們在社交網路上有一個標籤和口號,是#TogetherWeHitHarder(團結一心,無堅不摧),意思是說,假如一個社區的全體成員能團結一致地開展一個共同的事業,那麼所產生的影響將是無限的。正是黑客的團結一致,才使得互聯網變得更加安全。


大約有三分之一(30.6%)的黑客更喜歡單獨工作,有31.3%的黑客喜歡閱讀其他黑客的博客並從中學習,有13%的黑客時常會與其他同伴一起工作,有9%的人經常與其他黑客合作,8.7%的黑客當過其他黑客的導師或接受過其他黑客的指導,7.1%的黑客曾與其他人共同提交過漏洞報告。


在線交流是我們大部分社區的互動方式。然而,線上失去了面對面討論問題、共進午餐以及擊掌慶祝的機會。HackerOne不僅僅是黑客社群,更相信黑客直接與安全團隊相連接所帶來的價值。2017年,我們共舉辦了四場線上黑客活動:在舊金山、阿姆斯特丹、拉斯維加斯和紐約。我們與客戶緊密合作,邀請世界各地的頂級會員抽出時間來參加線下活動。這些活動彙集了一些最有潛力的人才,同時連接了具有實力的安全團隊,可以共同發現漏洞,探討攻擊面,並能夠建立起一些人之間的友情橋樑。



針對沒有開展漏洞披露政策(VDP)的公司,需要考慮採取怎樣的流程和渠道來安全地報告漏洞。並且,我們需要為發現漏洞的黑客提供一個「安全港灣」。最合法且安全的方式就是不披露這些漏洞,因為大多數黑客都無法找到披露漏洞的合適途徑。

事實上,有近四分之一的黑客沒有報告他們發現的漏洞,僅僅因為相應的公司沒有提交漏洞的渠道。但這並不意味著他們會不負責任地披露漏洞情況,他們往往被迫通過其他渠道(例如社交媒體、向企業相關部門發送郵件)告知漏洞詳情,但也經常會被忽視,或是被誤解。

關於漏洞披露政策(VDP):這是組織用來接收外部提交漏洞的正式方法。通常採用 security@domain.XX 的電子郵件形式,這種方式在ISO 29147標準中被定義。但與漏洞獎勵計劃不同的是,漏洞披露政策並不會向提交者發放金錢獎勵,但這一政策仍然非常有效。例如,美國國防部已經通過他們的漏洞披露政策獲悉並修復了近3000個安全漏洞。您可以在我們的指南中閱讀漏洞披露政策的最佳實踐方式:https://info.hacker.one/vdp-guide/。

然而,如今的企業正在以更為開放的態度接收提交的漏洞。根據我們面向黑客的調查顯示,有72%的企業與此前相比公開透明程度有所增加,有34%的企業公開透明程度有顯著提升。

美國國防部在過去的18個月中,共計修復了約3000個漏洞,每月修復漏洞數超過167個,每天大約有6個漏洞被提交。更多內容可以閱讀:https://www.wired.com/story/hack-the-pentagon-bug-bounty-results/。


在互聯網發展史中,有一些非常關鍵的漏洞,都是由於好奇心的驅使再加之黑客的不斷努力,而被發現和解決。Acalvio Technologies首席安全架構師Chris Roberts曾這樣說:「不幸的是,黑客們經常被描繪成壞人,但我認為在過去的20至30年中,我們其實是好人。我們的工作,是為了幫助大家了解風險,並幫助大家從真正意義上緩解風險。」

HackerOne社區是世界上最大的白帽黑客社區,我們將持續致力於測試並探尋各類組織中存在的安全漏洞——無論是炙手可熱的矽谷初創企業,還是像谷歌應用商店、星巴客、通用汽車甚至美國國防部這樣全球知名的大型企業、市場和機構。

HackerOne的使命是讓世界的互聯網變得更加安全。我們已經取得了非常大的進展,但還有很多工作要繼續完成。脆弱性披露政策目前已經獲得了監管,並得到了各行業的支持(詳情參見:https://www.hackerone.com/blog/The-Voices-of-Vulnerability-Disclosure-Look-Whos-Talking-About-VDPs),這是一個潮流發生轉變的典型案例。針對企業管理者,運用漏洞披露政策,不僅會為想要提供幫助的道德黑客創造一個安全港灣,還會讓您的公司變得更加安全,您的客戶數據不會受到任何影響,同時您還擁有了一個來自五湖四海的安全團隊。

HackerOne還在投資其他黑客社區,以便繼續發展壯大,並不斷與全球的安全團隊展開密切合作,幫助他們實現目標。團結一心,無堅不摧。



HackerOne在2017年12月,對來自195個國家和地區的1700多名黑客進行了調查。這些接受調查的黑客,都曾經在HackerOne上至少提交過1個有效安全漏洞。部分調查結果是從HackerOne平台上收集而來,這些數據來源與900多個漏洞獎勵計劃和漏洞披露計劃。


HackerOne是全球排名第一的安全平台,幫助各種組織在受到攻擊前了解並修復關鍵漏洞。我們合作過的組織包括:美國國防部、美國分析事務局、推特、GitHub、任天堂、松下、高通、Square移動支付、星巴克、Dropbox和許多國家的互聯網應急中心(CERT)。目前有1000多個組織信任HackerOne所提交的漏洞。同時,HackerOne已經幫助客戶修復了超過57000個漏洞,並已累計發放2.3億美元的漏洞獎勵。HackerOne總部位於舊金山,在倫敦和荷蘭設有辦事處。

讓互聯網變得更加安全,是每一位白帽黑客應該堅持的使命。

文章來源:安全客


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 皮魯安全之家 的精彩文章:

HTML5這麼火,但研究人員稱HTML5可以被用來追蹤網民

TAG:皮魯安全之家 |