HackOne2021年度报告

 

 

数据一：概览数据

在过去的12个月里，提交漏洞的黑客增加了63%

顶级黑客平均报告20个种类的漏洞。

关于不当访问控制和提权提升的报告提升了53%

关于错误配置的报告增加了310%

50%的黑客由于缺乏清晰的报告过程或以前的黑历史，没有报告bug

有85%的黑客提交漏洞是为了学习，有62%的黑客是为了职业规划。

 

数据二：社区规模

自两年前发布《 2019年黑客报告》以来，HackerOne 社区的规模翻了一番，拥有超过了100万注册的黑客。尽管社区中的很多人还在探索学习中，但2020年2020年提交报告的黑客数量增长了63％ 。相比于2018年，这个数字增长了143％，表明黑客正在不断提高他们的技能和专业知识，因为全球各地的组织和行业都在投资使用黑客技术的解决方案。

HackOne平台达成了向黑客支付了1亿美元的里程碑，仅在2020年，黑客通过平台就赚了4000万美元。 有9位黑客从2019年到现在赚了超过100万美元，甚至有一名黑客赚到了200万美元。 下图是全球黑客的分布情况：

 

数据三：黑客群体

社区中的大多数人（82％）是兼职黑客，35％的人有全职工作。 尽管大多数人自称是自学成才，但其实都有技术背景，37％的黑客拥有研究生以上水平的计算机科学素养，20％的黑客获得了计算机科学专业的研究生学历。
黑客技术仍然是Z世代（指的是1995到2009年间出生的人，大概相当于我们的95后）的热门追求，社区中55％的黑客在25岁以下。 黑客正在为他们的未来铺平道路。33％的人利用自己的技能找到了工作，23％的人计划继续在内部安全团队中从事信息安全的职业。黑客一般都会通过以下方式搜寻漏洞来增强组织的安全能力，并开始将他们的黑客思维技能带入到内部安全功能。

 

数据四：黑客动机

从兼职黑客到全职渗透测试者，社区为受邀测试的组织提供了不同的途径、技能和理念 。保持黑客积极性的并不仅仅在于金钱。 虽然比例很高（76％）的是受到赏金的激励，但其中85％的人是为了学习和扩展他们的技能，还有62％的人是为了促进自己的职业发展。还有的黑客的动机在于，希望通过黑客活动来捍卫企业网络安全，从而在世界上取得成就并避免个人免受网络威胁。 这类活动占黑客活动的47％。

 

数据五：黑客选择

当黑客发现bug时，他们会想报告。但是，如果没有明显直接的报告渠道的话，黑客要么什么都不做，要么公开披露漏洞。漏洞披露程序（VDP，vulnerability disclosure program）指导黑客们如何提交漏洞报告。尽管没有金钱奖励的，但社区中仍有47%的人积极参与。这其中51%的人出于责任感，79%的人是为了学习，57%的人是为了提高在圈子里的声誉。赚钱是76%的黑客选择做这份工作的原因。
现实是黑客很多时候并没有报告漏洞，这是为什么呢？

50%的黑客没有披露他们发现的漏洞。其中：

27%的黑客没有报告一个bug，因为没有披露途径；

27%的黑客没有报告一个bug，因为公司前期非常不尊重或者很难合作；

19%的黑客没有报告一个bug，因为没有提供奖金。

 

数据六：合作对象

互联网企业59%，金融服务组织是47%，零售和电子商务是41%，媒体和娱乐公司是37%，教育组织是32%，政府项目是31%，休闲和招待业是26%，电信行业25%，猎头公司25%，医疗保健组织23%，消费品公司是20%，医疗科技16%，半导体行业14%，加密和区块链技术14%，汽车行业14%，电脑硬件13%，航空航天10%，非盈利组织10%。

 

数据七：技术领域

96%的黑客从事Web应用的研究，比上年增长71%。在专业化程度更高的APT领域，黑客耗费的时间增加了694%，花在安卓上的时间增加了663%，物联网的数字增长最大——1000%。

HackOne平台的数据表明，从各种报告来看，移动方向提交的数量增加了150%，硬件的漏洞，包含物联网的漏洞，提交的数量增加了469%。Top Ten漏洞的同比增长如下图：

从前十的漏洞看，信息泄露增长最大，达到65%，部署Top Ten的错误配置漏洞，曾增长了310%，这主要是和云技术的迅速发展有关。

 

数据八：一血耗时

黑客社区也在不断发张壮大，从黑客入驻站点，平均用16天的时间报告第一个漏洞，去年的这个数据是148天。顶级黑客平均报告超过20个不同的漏洞。尽管26%的黑客表示越来越难找到漏洞，但有45%的黑客表示他们过去发现了新的漏洞。

 

数据九：HTTP请求走私漏洞

2017年前还没有HTTP请求走私这种被长期遗忘的漏洞的报告。2019年安全专家披露了对这个旧漏洞新技术的研究。2018年到2019年该类漏洞的报告已经有438个，2020年翻了一倍达到848个。

 

展望

在短短两年多的时间里，HackOne社区潜在黑客数量增加了一倍，平台上注册人数规模超过一百万，以后还会继续增加。有四分之一的黑客在学习HackOne的线上资源，Hacker101是HackerOne的专用资源，主要是软件破解方向。Hacker101 CTF相当于我们看雪论坛的KCTF， 仅过去一年，就有超过66,000名黑客CTF提交了42万个flag，而2019年49,000个黑客中找到了31万7千个flag。

传统网络安全解决方案，已无法满足敏捷和安全的双重要求。内部安全团队在不断学习黑客们带来的新技能和专业知识，而且快速迭代，企业的安全水平提升了，安全团队的影响力也不断在增强，应对新兴威胁的能力也不断提升。

这份报告的致谢中有家国内的SRC——TSRC，客观来说，他们的机制和态度确实是大厂中做的非常好的，想起自己刚入门的时候，第一个SRC漏洞也是他们家的。

PS：1.虽然某行动有这样那样的问题的，但是无疑安全这行的蛋糕实实在在变大了，单位的领导也开始重视网络安全这个问题了。2.HackOne的数据应该是非常细致的，报告比较枯燥无聊，但是应该非常详实，建议我们各大SRC，特别是大型众测平台，也最好发布细致的数据报告，当然能做成网易云音乐的年度报告那样的更好。

 

链接

报告原文

https://www.hackerone.com/resources/reporting/the-2021-hacker-report

HTTP请求走私漏洞

https://blog.csdn.net/Auuuuuuuu/article/details/108112724