根据HackerOne周四发布十大漏洞列表,跨站点脚本〔XSS〕依旧是感召力最大漏洞,因为这個该漏洞在2020年连续第二年为白帽子黑客获得最高回报——2020年为黑客赢得420万美元漏洞赏金,比2019年增长26%,
以下是2020年支付赏金最高十大漏洞列表:
HackerOne维护着一個黑客发现200,000個漏洞数据库,根据该网站数据,企业今年总共向白帽黑客支付2350万美元漏洞赏金,以搞定所有这些漏洞,
除名次最先個XSS,2020年最具感召力、赏金最高十大漏洞类型还涵盖:不当访问控制、信息泄露、服务器端伪造请求〔SSRF〕、不保障直接对象援引〔IDOR〕、特权升级、SQL注入、不正确身份验证、代码注入、跨站点请求伪造〔CSRF〕,
根据HackOne报告,2020年漏洞管理领域呈现五大势头:
01
组织正在运用独创工具来减少XSS
XSS漏洞非常普遍,很难消除,就使对于具有最成熟应用程序保障性组织而言,XSS漏洞往往嵌入在可影响生产管道代码中,占所有报告漏洞18%,但平均赏金仅为501美元,这意味着组织正在以非常低廉价格缓解这种常见漏洞,
02
不当访问控制、信息披露越来越普遍
不当访问控制赏金同比增长134%,达到400万美元以上,信息披露紧随其后,同比增长63%,
两种方法都公开潜在敏感数据,比方说個人身份信息,倘若敏感客户或内部信息因配置错误权限而泄漏,将是灾难性,
这些漏洞非常普遍,因运用自动化工具接近无法检测到它们,黑客驱动保障服务供应一种相对便宜且极其有效方法来缓解这些漏洞,
03
SSRF显示云迁移风险
SSRF〔服务器端请求伪造〕漏洞可被利用与外部第三方系统奠定连接,发起恶意攻击并导致潜在法律责任、声誉损失,
以前,SSRF漏洞不算严重,因它们只允许内部网络扫描,时而还可以访问内部管理面板,但在数字化转型阶段,云架构、不受呵护元数据端点发生使这些漏洞变得越来越危险,
04
SQL注入逐年下降
在过去几年中,SQL注入是最常见漏洞类型之一,但最新数据说明,该漏洞数量正逐年下降,
伴随现代保障框架、方法普及,该漏洞已经过气,当组织不监视哪些应用程序映射到数据库及其接口方法时,往往会发生SQL注入,经由向左转移保障性,组织可以利用黑客、其他方法来主动监视攻击面并防止错误输入代码,
05
查找常见漏洞类型并非昂贵
在十大累积赏金最高漏洞类型中,只有不当访问控制服务器端请求伪造〔SSRF〕、信息披露发现是平均赏金牌励增加10%以上,其他平均值下降或接近持平,
与传统保障工具、方法不同样,传统保障工具、方法伴随意向改变、攻击面扩大而变得更加昂贵、繁琐,而伴随时间推移,由黑客驱动保障性实际上更具本钱效益,对于黑客来说,防止不良行为者利用最常见错误变得越来越便宜,
攻击者运用XSS漏洞来控制在线运用者帐户并窃取個人信息,比方说密码,银行帐号,信用卡信息,個人身份信息〔PII〕,社会保障号码等,据HackerOne称,纵然它们占所有报告漏洞18%,但实际上白帽黑客因发现这些漏洞而获得平均赏金并非高,
研究人员指出,针对XSS漏洞赏金牌励约为501美元,远低于针对根本漏洞3,650美元平均奖励,这使组织可以廉价地缓解常见XSS漏洞,
确实,研究人员发现,漏洞越常见,发现、缓解该漏洞酬劳就越少,组织付出酬劳就越少,
下图为不同样行业平均漏洞赏金对比〔平均赏金最高TOP5行业分别是计算机软件、电子与半导体、加密货币与区块链、汽车与交通、互联网与在线服务〕:
HackerOne产品管理高级总监Miju Han指出:“探寻常见漏洞类型并非昂贵,”他指出,TOP10列表中漏洞中只有三個——不当访问控制、服务器端请求伪造〔SSRF〕、信息泄露,平均赏金在一年中增加10%以上,
这说明,相比采购、实施“传统保障工具、方法”,雇佣白帽黑客来嗅探漏洞本钱上更有优点,因传统保障工具、方法伴随防御意向改变、攻击面扩大而变得越来越昂贵、繁琐,
自动化无法取代白帽黑客
在2020年十大赏金漏洞榜单中,不当访问控制从第9位上升至第2位,而一直稳居第3位信息披露在漏洞赏金市场上变得更加有价值,
不当访问控制奖励比去年同期增长134%,略高于400万美元,而信息泄露赏金则比去年同期增长63%,
研究人员说,由于访问控制设计决策必需由人而不是技术来定夺,因为这個出错大概性很高,他们说,运用自动工具接近也无法检测到这些漏洞,这凸显白帽黑客在这個领域价值,
确实,就使是那些不愿意提高产品保障透明度大型科技公司,也开始对奖励白帽黑客想法引发兴致,比方说过去12個月中,苹果公司Zoom、TikTok都推出公开漏洞赏金计划。