2020年HackerOne 十大漏洞和详细报告

2020年HackerOne十大漏洞

上周四,漏洞赏金平台HackerOne发布了2020年十大漏洞,如下图

可以看到跨站点脚本(XSS)仍然是影响力最大的漏洞,该漏洞在2020年连续第二年为白帽子黑客获得了最高的回报,总共420万美元的漏洞赏金,比2019年增长了26%

除了XSS,其他十大漏洞还包括不当访问控制、信息泄露、服务器端伪造请求(SSRF)、不安全的直接对象引用(IDOR)、特权升级、SQL注入、不正确的身份验证、代码注入和跨站点请求伪造(CSRF)。

HackerOne还总结了5个趋势:

  1. 公司正在使用新工具来减少XSS
  2. 不当的访问控制和信息披露越来越普遍
  3. SSRF显示了云迁移的风险
  4. SQL注入逐年下降
  5. 查找常见漏洞类型并不昂贵

详细的解释可访问地址:https://www.hackerone.com/top-ten-vulnerabilities

HackerOne黑客驱动安全报告

除了上面的十大漏洞,HackerOne还发布了第四年的黑客驱动安全报告

地址为:https://www.hackerone.com/hacker-powered-security-report

下面是我比较感兴趣的点

过去一年,亚太白帽子的收入增加了131%

中国白帽子拿到了535万刀赏金,第二名

漏洞严重程度占比

赏金中位数

严重漏洞的赏金中位数在涨

白帽子的经验分布

白帽子平台分布

有59%的白帽子是以兴趣为驱动力

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Google photo

您正在使用您的 Google 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s