根据HackerOne周四发布的Top10漏洞榜单,跨站脚本(XSS)仍然是影响最大的漏洞,因此该漏洞连续第二年被白帽子黑客2020获得了最高奖励——2020年黑客获得了420万美元的漏洞赏金,比2019年增长了26%。以下是2020年奖金最高的10大漏洞清单:根据HackerOne的数据,该数据库维护着一个包含200,000个已发现漏洞的数据库在黑客方面,公司今年向白帽黑客支付了总计2350万美元的漏洞赏金,以解决所有这些漏洞。除了排名第一的XSS,2020年最具影响力和回报的十大漏洞类型还包括:访问控制不当、信息泄露、服务器端伪造请求(SSRF)、不安全的直接对象引用(IDOR)、权限提升、SQL注入、不正确的身份验证、代码注入和跨站点请求伪造(CSRF)。根据HackOne的报告,2020年漏洞管理领域有五个主要趋势:1.组织正在使用创新工具来减少XSSXSS漏洞非常普遍且难以消除,即使对于应用程序安全性最成熟的组织也是如此。XSS漏洞通常嵌入在可能影响生产管道的代码中,占所有已报告漏洞的18%,但平均赏金仅为501美元。这意味着组织正在以非常低的成本缓解这一常见漏洞。2.访问控制不当和信息泄露问题日益普遍。不当访问控制赏金同比增长134%,超过400万美元。信息披露紧随其后,同比增长63%。这两种方法都会暴露潜在的敏感数据,例如个人身份信息。如果敏感的客户或内部信息因错误配置的权限而泄露,那将是灾难性的。这些漏洞非常普遍,几乎不可能使用自动化工具检测到。黑客驱动的安全服务提供了一种相对便宜且极其有效的方法来缓解这些漏洞。3、SSRF暴露云迁移风险SSRF(ServerSideRequestForgery)漏洞可被利用与外部第三方系统建立连接,发起恶意攻击,造成潜在的法律责任和名誉损失。以前,SSRF漏洞并不被认为是严重的,因为它们只允许内部网络扫描,有时还允许访问内部管理面板。然而,在数字化转型时代,云架构和未受保护的元数据端点使这些漏洞变得越来越危险。4、SQL注入逐年下降在过去的几年中,SQL注入是最常见的漏洞类型之一。但最新数据显示,漏洞数量正在逐年减少。随着现代安全框架和方法的流行,这个漏洞已经过时了。当组织不监控哪些应用程序映射到数据库以及它们如何接口时,往往会发生SQL注入。通过将安全性左移,组织可以利用黑客和其他方法主动监控攻击面并防止输入错误的代码。5.找到常见类型的漏洞并不昂贵。在累积奖金最高的前十类漏洞中,只有不当访问控制服务器端请求伪造(SSRF)和信息泄露发现平均奖金奖励增加超过10%。其他平均指数下跌或几乎持平。与随着目标变化和攻击面扩大而变得更加昂贵和繁琐的传统安全工具和方法不同,黑客驱动的安全性实际上随着时间的推移变得更加昂贵。成本效益。对于黑客来说,防止不良行为者利用最常见的错误的成本越来越低。攻击者利用XSS漏洞控制在线用户的帐户并窃取密码、银行帐号、信用卡信息、个人身份信息(PII)、社会安全号码等个人信息。据HackerOne称,虽然它们占所有报告漏洞的18%,但支付给发现它们的白帽黑客的平均赏金实际上并没有那么高。研究人员指出,XSS漏洞的赏金约为501美元,远低于关键漏洞的平均奖励3,650美元,从而使组织能够廉价地缓解常见的XSS漏洞。事实上,研究人员发现,漏洞越常见,发现和缓解漏洞所需支付的费用就越少,组织支付的费用也就越少。下图是不同行业的平均漏洞赏金对比(平均赏金最高的TOP5行业为计算机软件、电子和半导体、加密货币和区块链、汽车和交通、互联网和在线服务):HackerOneSeniorDirectorofProduct管理“寻找常见类型的漏洞并不昂贵,”MijuHan指出,并指出TOP10列表中只有三个漏洞——不当访问控制、服务器端请求伪造(SSRF)和信息泄露——有平均赏金年内增幅超过10%。这表明雇佣白帽黑客嗅探漏洞比采购和实施“传统安全工具和方法”更具成本效益。因为随着防御目标的变化和攻击面的扩大,传统的安全工具和方法变得越来越昂贵和笨重。自动化无法取代白帽黑客不当的访问控制在2020年的前10大赏金漏洞列表中从第9位上升到第2位,而一直稳定在第1位的披露更有价值。对不当访问控制的奖励比一年前增加了134%,达到略高于400万美元,而对信息泄露的奖励比一年前增加了63%。研究人员表示,由于访问控制设计决策必须由人而非技术做出,因此出错的可能性很高。他们说,使用自动化工具也几乎不可能检测到这些漏洞,这凸显了白帽黑客在这一领域的价值。事实上,即使是一直不愿提高产品安全透明度的大型科技公司也开始对奖励白帽黑客的想法产生兴趣。例如,Apple的Zoom和TikTok在过去12个月内都启动了公共漏洞赏金计划。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
