HackerOne 平臺發布年報，內容主要包括：黑客從哪里來?為何挖漏洞?最喜歡的黑客目標和工具是什么?從哪里學習?為何要和他人協作等等。另外，還公布了首位獲得百萬賞金的黑客年僅19歲且自學成才。

?[[258906]]?

報告數據來自 HackerOne 調查數據以及2018年12月以及2019年1月的 Harris 調查數據，后者的數據來自100多個國家和地區超過3667名黑客。HackerOne 平臺數據來自成功地在該平臺上報告過一個及以上有效漏洞的黑客，以及該平臺基于1200多個漏洞獎勵計劃和漏洞披露計劃的專有數據。主要研究結論如下：

• 報告指出，HackerOne 平臺的注冊黑客人數已突破30萬人，提交的有效漏洞總計超過10萬個，支付的漏洞獎勵金超過4200萬美元。單在2018年，漏洞賞金總額即超過1900萬美元，幾乎是之前所有年份賞金的總和。
• 印度和美國仍然是最多的黑客聚集地，超過6個非洲國家在2018年參與該平臺活動。
• 由黑客驅動的安全正在全球范圍內創造機會。賞金獵人能夠賺取的年度賞金是其所在國軟件工程師年薪中位數的40倍。
• 黑客培訓活動發生在傳統教室之外的地方。81%的黑客表示是通過博客以及學材料如公開披露的漏洞報告等學習技能的。僅有6%的黑客是通過傳統教室或黑客證書入行的。
• “黑客向善”正在逐漸為大眾接受。Harris Poll 調查數據顯示近三分之二的美國人(64%)認為并非所有的黑客都在使壞。

黑客從哪里來?

黑客幾乎遍布全球每個角落。冰島、加納、斯洛伐克、阿魯巴和厄瓜多爾的黑客和印度、美國、俄羅斯、巴基斯坦和英國的黑客一樣意志堅定、技能嫻熟、渴望成功，但后五個國家在黑客驅動安全領域的地位不可撼動。單是印度和美國的黑客數量就占據了總數的30%，2018年更是占比43%。在黑客全球化的時代，黑客擁有新型且大量機會施展拳腳，而他們所需的不過是互聯網連接。

肯尼亞的黑客參與活動，阿爾及利亞的參與人數較上一年翻了一番。印度連續兩年成為黑客的最多來源地，超過6個非洲國家初次參與活動。

哪個國家提供的賞金最多?拿到的賞金最多?

截止2018年，HackerOne 平臺共支付4200多萬美元的賞金，8個國家的組織機構貢獻了超過一半的賞金。美國和加拿大的組織機構貢獻金額最多，其次是英國、德國、俄羅斯和新加坡。拿到最多賞金的黑客依次來自美國、印度、俄羅斯、未知來源、德國、加拿大、英國、瑞典、荷蘭和中國。

??

黑客賞金是普通程序員收入的多少倍?

報告提供了黑客賞金與軟件工程師中位數年度收入對比數據。在阿根廷，黑客賞金收入是軟件工程師的40.6倍、泰國是24.5倍、埃及是24.2倍、印度是17.6倍、中國香港是6.7倍、美國是6.4倍、瑞典是6.3倍、中國是6.2倍。

??

黑客人口統計狀況

90%的黑客年齡低于35歲，而其中18-24年齡段的人略有增長。這群人占 HackerOne 平臺黑客總數的47%，而且是僅有的一個在數量方面逐年上漲的群體。但也不要小看年齡稍長的群體，35-49歲的群體數量在2018年占比超過9%，而50-64歲的人群數量在2018年幾乎翻了一番。

??

80%的人是自學成才，越來越多的黑客來自技術以外的行業，讓漏洞挖掘的領域充滿活力。40%的人每周花費20多個小時尋找漏洞。

81%的黑客將網絡資源和博客作為主要的學習途徑，只有6%的黑客完成了正規課堂或證書培訓。

??

為何從事黑客活動?或因興趣而起或是全職工作所需。多數是因為感興趣，很多人在全職工作結束或上完課后基本將時間和精力投入到挖漏洞中。四分之一的人將其當作職業，僅有不到40%的人是從事IT或技術行業，而在2017年，這個比例還是47%。

??

三分之一的黑客每周花10個小時或更少的時間，不過這一比例在2018年比2017年有所下降。越來越多(超過25%)的黑客每周花費30個小時或更多的時間。

??

區塊鏈黑客趨勢如何?

近70家區塊鏈和密幣公司使用 HackerOne 平臺確保安全。2018年，這些公司收到的漏洞報告近3000份。2018年HackerOne平臺上4%的賞金源自區塊鏈和密幣組織機構。提供基于區塊鏈令牌的瀏覽器產品的公司 Brave 支付超過2.5萬美元的賞金，解決了近100個漏洞報告。

黑客從區塊鏈行業中獲得的賞金更高。2018年，所有與區塊鏈相關的公司支付的平均賞金是近1500美元，比平臺的平均水平高出600美元左右。而區塊鏈黑客所獲得的賞金是其所在國家軟件工程師的工資中位數的7倍。

??

近30%的 HackerOne 平臺上的黑客具有6年或以上的經驗。而年齡并非僅有的衡量經驗、技能或受教育水平。

深受歡迎的黑客工具是什么?

2018年，黑客使用第三方本地代理工具的比例增長了67%。Burp Suite 是使用最多的工具 (32.7%)，而使用Fiddler (14.7%)、Webinspect (11.1%)、ChipWhisperer (9.8%) 的黑客人數也在不斷增長。而使用網絡掃描器和模糊測試工具的人數穩定。

??

黑客寵愛的目標是什么?

黑客喜歡的目標是網站、API 和持有自己的數據的技術。他們仍然喜歡從 web 應用中查找漏洞。70%的受訪黑客表示最喜歡黑的產品或平臺依次是網站 (72.8%)、API、存儲自己數據的技術 (3.7%)、安卓應用 (3.7%)、操作系統 (3.5%) 和可下載軟件 (2.3%)。

??

僅僅是因為錢才當黑客的嗎?

經濟收益無疑起著重要作用。然而，好奇心是永遠不變的源動力。有些黑客只是為了“好玩”，而這個比例和只是為了賺錢的黑客比例幾乎相當 (14.3%)。四分之一的黑客表示是為了幫助他人或做好事。

??

黑客選擇某個公司的原因是為了挑戰或學習 (59.5%)、喜歡某個公司 (40.4%)、該公司安全團隊的響應 (36.4%)、為了獲得較高賞金 (31.9%)、我用這種技術或里面有我的數據 (31%)等。

??

黑客最喜歡的攻擊向量、技術或方法是什么?

超過38%的黑客的答案是 XSS 漏洞，其次是 SQL 注入、模糊測試、業務邏輯、信息收集、SSRF、RCE、枚舉、逆向工程、IDOR、暴力攻擊、注入、CSRF、驗證、XXE、DDoS。

??

如何和平臺上的其他黑客建立連接一起工作?

通過讀他們的博客和公開披露的漏洞報告占比為33%;而24.4%的黑客表示不喜歡協作而喜歡單干;14.7%的黑客表示在某些特殊項目或挑戰時進行合作;9.9%的人表示是他人的導師或是受其他黑客的引導;一直和其他黑客協作的占據8.7%，而作為團隊成員和他人一起提交漏洞報告的占比7.4%。

??

說到公司收到漏洞報告的反應，一定程度上態度比較開放 (36.5%)、非常開放 (32.2%)、一般 (17.6%)。

??

百萬賞金富翁是誰?

現年19歲的 Santiago Lopez 曾在 HackerOne 平臺上獲得100萬美元賞金。他16歲時開始學習黑客技術，互聯網即是他的黑客學校，他從中查看并閱讀如何繞過或打破安全防御的材料。一年之后，他憑借一個 CSRF 漏洞獲得50美元的獎勵，后因發現SSRF漏洞而獲得的9000美元。他用獲得的首筆賞金買了一臺新電腦，之后又買了一輛車。

?[[258907]]?

如今，他共發現了1676個漏洞，將報告提交給了很多大公司，如 Verizon、Automattic、HackerOne和一些私營企業、甚至還包括美國政府。目前他在 HackerOne 平臺上排名第二。

一言以蔽之，這是屬于黑客的時代。

HackerOne 黑客報告完整版：

??https://www.hackerone.com/sites/default/files/2019-03/the-2019-hacker-report.pdf??