2020年赏金最高的十大漏洞类型

根据HackerOne周四发布的十大漏洞列表,跨站点脚本(XSS)仍然是影响力最大的漏洞,因此该漏洞在2020年连续第二年为白帽子黑客获得了最高的回报——2020年为黑客赢得了420万美元的漏洞赏金,比2019年增长了26%。

[[349481]]

以下是2020年支付赏金最高的十大漏洞列表:

HackerOne维护着一个黑客发现的200,000个漏洞的数据库,根据该网站的数据,企业今年总共向白帽黑客支付了2350万美元的漏洞赏金,以解决所有这些漏洞。

除了排名第一的XSS,2020年最具影响力和赏金最高的十大漏洞类型还包括:不当访问控制、信息泄露、服务器端伪造请求(SSRF)、不安全的直接对象引用(IDOR)、特权升级、SQL注入、不正确的身份验证、代码注入和跨站点请求伪造(CSRF)。

根据HackOne的报告,2020年漏洞管理领域呈现五大趋势:

1. 组织正在使用创新工具来减少XSS

XSS漏洞非常普遍,很难消除,即使对于具有最成熟的应用程序安全性的组织而言。XSS漏洞通常嵌入在可影响生产管道的代码中,占所有报告漏洞的18%,但平均赏金仅为501美元。这意味着组织正在以非常低廉的价格缓解这种常见的漏洞。

2. 不当的访问控制和信息披露越来越普遍

不当访问控制赏金同比增长134%,达到400万美元以上。信息披露紧随其后,同比增长63%。

两种方法都公开了潜在的敏感数据,例如个人身份信息。如果敏感的客户或内部信息因配置错误的权限而泄漏,将是灾难性的。

这些漏洞非常普遍,因为使用自动化工具几乎无法检测到它们。黑客驱动的安全服务提供了一种相对便宜且极其有效的方法来缓解这些漏洞。

3. SSRF显示了云迁移的风险

SSRF(服务器端请求伪造)漏洞可被利用与外部第三方系统建立连接,发起恶意攻击并导致潜在的法律责任和声誉损失。

以前,SSRF漏洞不算严重,因为它们只允许内部网络扫描,有时还可以访问内部管理面板。但是,在数字化转型的时代,云架构和不受保护的元数据端点的出现使这些漏洞变得越来越危险。

4. SQL注入逐年下降

在过去的几年中,SQL注入是最常见的漏洞类型之一。但是,最新的数据表明,该漏洞的数量正逐年下降。

随着现代安全框架和方法的普及,该漏洞已经过气。当组织不监视哪些应用程序映射到数据库及其接口方式时,往往会发生SQL注入。通过向左转移安全性,组织可以利用黑客和其他方法来主动监视攻击面并防止错误输入代码。

5. 查找常见漏洞类型并不昂贵

在十大累积赏金最高漏洞类型中,只有不当访问控制服务器端请求伪造(SSRF)和信息披露发现是平均赏金奖励增加了10%以上。其他的平均值下降或几乎持平。

与传统的安全工具和方法不同,传统的安全工具和方法随着目标的改变和攻击面的扩大而变得更加昂贵和繁琐,而随着时间的推移,由黑客驱动的安全性实际上更具成本效益。对于黑客来说,防止不良行为者利用最常见的错误变得越来越便宜。

攻击者使用XSS漏洞来控制在线用户的帐户并窃取个人信息,例如密码,银行帐号,信用卡信息,个人身份信息(PII),社会安全号码等。据HackerOne称,尽管它们占所有报告的漏洞的18%,但实际上白帽黑客因发现这些漏洞而获得的平均赏金并不高。

研究人员指出,针对XSS漏洞的赏金奖励约为501美元,远低于针对关键漏洞的3,650美元的平均奖励,这使组织可以廉价地缓解常见的XSS漏洞。

确实,研究人员发现,漏洞越常见,发现和缓解该漏洞的酬劳就越少,组织付出的酬劳就越少。

下图为不同行业的平均漏洞赏金对比(平均赏金最高的TOP5行业分别是计算机软件、电子与半导体、加密货币与区块链、汽车与交通、互联网与在线服务):

HackerOne产品管理高级总监Miju Han指出:“寻找常见漏洞类型并不昂贵,”他指出,TOP10列表中的漏洞中只有三个——不当访问控制、服务器端请求伪造(SSRF)和信息泄露,平均赏金在一年中增加了10%以上。

这表明,相比采购和实施“传统安全工具和方法”,雇佣白帽黑客来嗅探漏洞成本上更有优势。因为传统的安全工具和方法随着防御目标的改变和攻击面的扩大而变得越来越昂贵和繁琐。

自动化无法取代白帽黑客

在2020年的十大赏金漏洞榜单中,不当访问控制从第9位上升至第2位,而一直稳居第3位的信息披露在漏洞赏金市场上变得更加有价值。

不当访问控制的奖励比去年同期增长了134%,略高于400万美元,而信息泄露的赏金则比去年同期增长了63%。

研究人员说,由于访问控制设计决策必须由人而不是技术来决定,因此出错的可能性很高。他们说,使用自动工具几乎也无法检测到这些漏洞,这凸显了白帽黑客在这个领域的价值。

确实,即使是那些不愿意提高产品安全透明度的大型科技公司,也开始对奖励白帽黑客的想法产生兴趣。例如过去12个月中,苹果公司Zoom和TikTok都推出了公开的漏洞赏金计划。

【本文是IDC.NET专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/148064.html<

(0)
管理的头像管理
上一篇2025-03-11 23:46
下一篇 2025-03-11 23:48

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注