通过利用影响最大的十种安全漏洞,全球黑客从漏洞奖励项目中赢得5,400万美元。
该数字出自网络安全公司 HackerOne 公布的研究结果。HackerOne 的研究基于黑客在客户程序中找到的12万个安全漏洞。
据称该数据代表了组织机构中存在的现实世界风险,包括技术初创公司、政府、创业公司、金融机构和开源项目。
HackerOne 配合该研究推出了一个互动网站,显示严重性评分最高的漏洞类型。
HackerOne的十大安全漏洞是:
1. 跨站脚本——全类型 (DOM、反射、存储、通用);
2. 不恰当身份验证——通用;
3. 信息披露;
4. 提权;
5. SQL 注入;
6. 代码注入;
7. 服务器端请求伪造 (SSRF);
8. 不安全直接对象引用 (IDOR);
9. 不恰当访问控制——通用;
10. 跨站请求伪造 (CSRF)。
该公司还发现,向云端的大规模迁移导致了漏洞风险的增加,比如服务器端请求伪造。
另外,尽管对用户隐私的关注有所增强,但信息披露威胁依然十分常见;SSRF、IDOR 和提权等后果严重的漏洞虽然很难找到,却是对赏金黑客而言最有价值的类型。
HackerOne 十大漏洞与最新出炉的 OWASP 十大漏洞重叠了 40%:两个榜单中都包含了跨站脚本 (XSS)、信息披露和注入。
上报的漏洞中,高严重性漏洞的数量几乎是关键漏洞的三倍。
两个榜单都有助于安全团队识别顶级风险。HackerOne 的研究还考虑了规模和漏洞奖励价值,希望抵御网络罪犯的安全团队可能会此特别感兴趣。
HackerOne 指出,为关键漏洞和高严重性漏洞支付的累计奖金占了所有漏洞奖励项目支付奖金总额的 60% 强。
有趣的是,从报告数量上看,报告为高严重性漏洞的数量几乎是关键漏洞的三倍。
与之截然相反的是,低严重性漏洞报告只拿走了漏洞奖励项目总奖金的8%,其数量却占据了所有报告数量的30%。
HackerOne 研究结果网址:
https://www.hackerone.com/resources/top-10-vulnerabilities
