回归最本质的信息安全

HackerOne年度报告:安全众测推出四年,成果几何?

2017年6月30日发布

12,271
2
5

导语:企业的平均漏洞赏金支出出现上涨,跨站脚本攻击(XSS)是企业最头痛的安全问题。

The Hacker-Powered Security Report.jpg

HackerOne这周发布了2017年年度报告《黑客驱动的安全众测模式》,对过去四年平台上累积的数据进行分析总结:

超过800个项目

大约5万份漏洞报告

1700余万美元白帽子赏金

报告数据显示,当下白帽子的平均赏金收益为1923美元,比2015年的1624美元上涨了16%。企业支付过的最高单个漏洞赏金有30000美元,是一个很严重的洞。那家支付赏金的公司未公开名字。

在去年,游戏、电商、零售、媒体、娱乐等多个行业都有企业为严重漏洞支付过20000美元的高额赏金,平台上有88个白帽子获得过10000美元以上的单个漏洞赏金。

HackerOne首席执行官Marten Mickos表示,漏洞赏金计划遵循自然规律,越年长的黑客,越有机会赚钱。而随着公司需要修补的漏洞越来越多,攻击面变大,赏金支出也会水涨船高。

Mickos还指出,过去一年里漏洞赏金计划跨过技术领域门槛,迎来了更广泛的接受度。2016年平台上推出的赏金计划,有41%来自政府、媒体、娱乐等非技术行业,和银行、电商等金融服务业。

当国防部公布‘黑进五角大楼计划’后,改变了许多人对信任黑客这件事的看法。它让各种各样的公司找到我们,说‘如果你们黑掉了国防部,希望也能同样把我们黑掉。’

HackerOne平台上报告的漏洞,32%属于高危或严重级别。过去四年里,交通运输行业对这类漏洞最为慷慨,它们为此支付的平均赏金是4491美元,其次是游戏行业(3583美元)、电商和零售业(3471美元)。技术公司排名第五,1923美元。教育行业最低,是317美元。

屏幕快照 2017-06-30 下午2.38.52.png

在2016年,安全问题的平均首次回应时间是7天,2017年变成了6天。电商和零售行业修复漏洞的平均速度最快,为4周。

HackerOne_Vulnerability_Types.png

在HackerOne平台,除金融和银行业之外,其它行业最常被报告的漏洞是跨站脚本攻击(XSS)。里边有低危也有高危,严重的比如早些时候Verizon修复旗下聊天应用里出现的XSS账号劫持漏洞。

金融和银行业最常出现的是授权不当。SQL注射漏洞在整个HackerOne上都很常见,医疗保健行业最多,占比6%。

据HackerOne统计,福布斯全球两千强企业榜单里,高达94%的公司都没有设置过对外接收漏洞的入口。安全众测还需要很长的路要走。

ps:报告的下载地址,The Hacker-Powered Security Report

本文翻译自https://threatpost.com/average-bug-bounty-payments-growing/126570/,如若转载,请注明原文地址: http://www.4hou.com/info/news/6005.html

点赞 5
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

嘶吼编辑

发私信

发表评论

    longye
    longye 2017-06-30 17:25

    老美也是靠国家安全部帮忙才能打响名声,国内的凭什么呢?难难难

    绚濑绘里
    绚濑绘里 2017-06-30 15:46

    过去一年里漏洞赏金计划跨过技术领域门槛,迎来了更广泛的接受度——这就说明了以后漏洞众测的前景非常光明。