HackerOne平台发布年度报告,主要包括:黑客来自哪里?他们为什么要挖洞?您最喜欢的黑客目标和工具是什么?你从哪里学来的?为什么要和别人合作等等。另外,宣布第一个获得百万赏金的黑客只有19岁,而且是自学成才的。报告数据来自2018年12月和2019年1月的HackerOne调查数据和Harris调查数据,后者数据来自100多个国家和地区的3667多名黑客。HackerOne平台数据来源于成功报告平台一个或多个有效漏洞的黑客,以及基于1200多个漏洞赏金计划和漏洞披露计划的平台专有数据。主要研究结论如下:报告显示,HackerOne平台的注册黑客数量已超过30万,提交的有效漏洞总数已超过10万,支付的漏洞赏金已超过4200万美元。仅在2018年,漏洞赏金总额就超过1900万美元,几乎是往年所有年份的总和。印度和美国仍然是最大的黑客集群,超过六个非洲国家在2018年参与了该平台的活动。黑客驱动的安全正在全球范围内创造机会。赏金猎人的收入是本国软件工程师年薪中位数的40倍。黑客培训在传统课堂之外进行。81%的黑客表示,他们通过博客和学习材料(例如公开披露的漏洞报告)学习技能。只有6%的黑客通过传统课堂或黑客凭证进入。“hackingforgood”正逐渐被大众所接受。哈里斯民意调查数据显示,近三分之二的美国人(64%)认为并非所有黑客都是坏蛋。黑客从哪里来?黑客几乎遍布全球每个角落。冰岛、加纳、斯洛伐克、阿鲁巴和厄瓜多尔的黑客与印度、美国、俄罗斯、巴基斯坦和英国的黑客一样坚定、技术娴熟且渴望成功,但后五个国家在世界上无懈可击。黑客驱动的安全。仅印度和美国的黑客人数就占总数的30%,2018年更是占到了43%。在黑客全球化的时代,黑客有了新的、丰富的出手机会,他们所需要的只是一个互联网连接。肯尼亚和阿尔及利亚的黑客参与比前一年翻了一番。印度连续两年成为最大的黑客来源地,超过6个非洲国家首次参加此次活动。哪个国家提供的赏金最多?获得最多赏金?截至2018年,HackerOne平台已支付超过4200万美元的赏金,8个国家的组织贡献了一半以上的赏金。美国和加拿大的组织贡献最大,其次是英国、德国、俄罗斯和新加坡。获得最多赏金的黑客依次来自美国、印度、俄罗斯、来源不明、德国、加拿大、英国、瑞典、荷兰和中国。黑客的赏金是普通程序员收入的多少倍?该报告提供了将黑客的赏金与软件工程师的年收入中位数进行比较的数据。在阿根廷,黑客赏金收入是软件工程师的40.6倍,泰国是24.5倍,埃及是24.2倍,印度是17.6倍,香港是6.7倍,美国是6.4倍,瑞典是6.3倍,中国是6.2倍。黑客人口统计90%的黑客年龄在35岁以下,18-24岁年龄段略有增加。该群体占HackerOne平台黑客总数的47%,是唯一一个数量同比增长的群体。但不要低估年龄较大的人群。2018年35-49岁的人数占比超过9%,而50-64岁的人数在2018年几乎翻了一番。80%是自学成才,越来越多的黑客来自科技以外的行业,让漏洞挖掘领域生机勃勃。40%的人每周花20多个小时寻找漏洞。81%的黑客使用在线资源和博客作为主要学习途径,只有6%的黑客完成了正规课堂或证书培训。为什么要破解?要么作为爱好,要么作为全职工作。大多数是因为兴趣。许多人在完成全职工作或上课后,基本上将时间和精力投入到挖掘漏洞中。四分之一的人将其视为职业,略低于40%的人从事IT或技术,高于2017年的47%。三分之一的黑客每周花费10小时或更少,尽管这一比例在2018年比2017年有所下降。越来越多的人(超过25%)的黑客每周花费30小时或更多时间。区块链黑客的趋势如何?近70家区块链和加密货币公司使用HackerOne平台来确保安全。2018年,这些公司共收到近3000份漏洞报告。2018年,HackerOne平台上4%的奖励来自区块链和加密货币组织。提供基于区块链令牌的浏览器产品的公司Brave已经支付了超过25,000美元的奖金,解决了近100个错误报告。黑客从区块链行业获得更高的赏金。2018年,所有区块链相关公司平均支付的赏金接近1500美元,比平台平均水平高出约600美元。而区块链黑客所赚取的赏金是他们国家软件工程师平均工资的7倍。HackerOne平台上近30%的黑客拥有6年或以上的经验。年龄并不是衡量经验、技能或教育程度的唯一标准。什么是最流行的黑客工具?2018年,黑客使用第三方本地代理工具的比例增加了67%。BurpSuite是使用最多的工具(32.7%),而使用Fiddler(14.7%)、Webinspect(11.1%)、ChipWhisperer(9.8%)的黑客数量也在增长。使用网络扫描仪和模糊测试工具的人数稳定。黑客最喜欢的目标是什么?黑客最喜欢的目标是拥有自己数据的网站、API和技术。他们仍然喜欢在Web应用程序中寻找漏洞。70%的受访黑客表示,他们最喜欢破解的产品或平台是网站(72.8%)、API、存储自己数据的技术(3.7%)、安卓应用程序(3.7%)、操作系统(3.5%)和可下载软件(2.3%)。仅仅是因为你砍钱吗?经济利益当然发挥了作用。然而,好奇心是源源不断的动力。一些黑客只是为了“好玩”,这个比例与纯粹为了钱而做的黑客比例(14.3%)几乎持平。四分之一的黑客表示他们这样做是为了帮助他人或做好事。黑客选择某家公司的原因是为了挑战或学习(59.5%),喜欢某家公司(40.4%),公司安全团队的回应(36.4%),为了获得更高的赏金(31.9%),我使用此技术可能包含我的数据(31%)等黑客最喜欢的攻击媒介、技术或方法是什么?超过38%的黑客回答了XSS漏洞,其次是SQL注入、模糊测试、业务逻辑、信息收集、SSRF、RCE、枚举、逆向工程、IDOR、蛮力攻击、注入、CSRF、身份验证、XXE、DDoS。如何与平台上的其他黑客建立联系并协同工作?通过阅读他们的博客和公开披露的漏洞报告,33%的黑客表示;而24.4%的黑客表示不喜欢合作,喜欢单独工作;14.7%的黑客表示在一些特殊的项目或挑战上进行协作;9.9%的人表示他们是其他黑客的导师或指导者;8.7%的人一直与其他黑客合作,7.4%的人作为团队成员与其他人一起提交漏洞报告。在公司对漏洞报告的回应中,态度比较开放(36.5%)、非常开放(32.2%)和温和(17.6%)。谁是百万富翁赏金百万富翁?19岁的圣地亚哥·洛佩兹(SantiagoLopez)曾在HackerOne平台上获得100万美元的赏金。他从16岁开始从事黑客工作,互联网就是他的黑客学校,他在那里查看和阅读有关如何绕过或破坏安全防御的资料。一年后,他因CSRF错误获得50美元奖励,因发现SSRF错误获得9,000美元奖励。他用他的第一笔赏金买了一台新电脑,后来又买了一辆汽车。如今,他一共发现了1676个漏洞,并向许多大公司提交了报告,例如Verizon、Automattic、HackerOne和一些私营公司,甚至美国政府。他目前在HackerOne平台上排名第二。总之,这是黑客的时代。完整的HackerOne黑客报告:https://www.hackerone.com/sites/default/files/2019-03/the-2019-hacker-report.pdf
