道德黑客今年通过HackerOne报告了超过66,000个有效漏洞,比2020年增加了22%。漏洞赏金平台HackerOne于上周三(12月8日)发布的年度黑客驱动安全报告报告了数字化转型和云迁移趋势随着攻击面扩大和服务外包,更广泛的IT行业。继续造成漏洞。与此同时,随着组织优先考虑影响大的错误,高严重性和严重错误的赏金价格正在上涨。该报告还发现,组织修补漏洞的速度比以往任何时候都快。HackerOne新任命的CISO兼首席黑客官ChrisEvans评论道:“通过专注于开发人员教育、源代码集成和开发框架改进,组织可以更早地发现问题并以大大降低的成本修复它们。”DeepDiveHackerOne的最新报告提供了遥测技术,可以绘制出它为全球各个行业的组织运行的漏洞赏金计划的进展情况。虽然来自传统错误赏金的有效错误报告增加了10%,但漏洞披露计划(VDP)增加了47%,来自黑客驱动的渗透测试的报告增加了264%。过去一年,全行业的中位解决时间下降了19%,从33天减少到26.7天,零售和电子商务等一些行业的补救时间下降了50%以上。了解最新的漏洞赏金新闻和分析HackerOne上最常见的漏洞仍然是跨站点脚本(XSS),但其他网络安全漏洞又重新流行起来,整体情况远非静态。例如,信息泄露的有效报告增加了58%,业务逻辑错误增加了67%,这两个漏洞类别首次进入前10。HackerOne安全工程师ChristopherDickens告诉TheDailySwig,这两类漏洞出现的频率越来越高,因为它们是人为错误的结果。Dickens解释说:“今天的大多数测试都是自动化的,从本质上讲,它会错过只有人类才能利用的漏洞。运行漏洞赏金计划并让成千上万的人寻找漏洞将导致更高比例的漏洞被利用。”业务逻辑错误——增加可能是由于新的黑客问题和新的、更复杂的漏洞的混合。”
