[[439990]]

今年，道德黑客通過 HackerOne報(bào)告了超過 66,000 個(gè)有效漏洞，比 2020 年增加了 22%。來自漏洞賞金平臺(tái) HackerOne的年度 Hacker-Powered 安全報(bào)告于上周三(12 月 8 日)發(fā)布，報(bào)告稱，隨著攻擊面的擴(kuò)大和服務(wù)的外包，更廣泛的 IT 行業(yè)的數(shù)字化轉(zhuǎn)型和云遷移趨勢(shì)繼續(xù)引發(fā)漏洞。

與此同時(shí)，高嚴(yán)重性和嚴(yán)重漏洞的賞金價(jià)格正在上漲，因?yàn)榻M織優(yōu)先考慮高影響的錯(cuò)誤。該報(bào)告還發(fā)現(xiàn)，組織修復(fù)漏洞的速度比以往任何時(shí)候都快。

HackerOne 新任命的 CISO兼首席黑客官 Chris Evans 評(píng)論說：“組織通過專注于開發(fā)人員教育、源代碼集成和開發(fā)框架的改進(jìn)，可以更早地發(fā)現(xiàn)問題并以大大降低的成本進(jìn)行修復(fù)。”

深層發(fā)掘

HackerOne 的最新報(bào)告提供了遙測(cè)技術(shù)，可以繪制出它為全球各個(gè)部門的組織運(yùn)行的漏洞賞金計(jì)劃的進(jìn)度。雖然傳統(tǒng)漏洞賞金的有效漏洞報(bào)告增加了 10%，但漏洞披露程序 (VDP) 增加了 47%，來自黑客驅(qū)動(dòng)的滲透測(cè)試的報(bào)告增加了 264%。 過去一年，全行業(yè)的解決時(shí)間中位數(shù)下降了 19%，從 33 天下降到 26.7 天，零售和電子商務(wù)等一些行業(yè)的修復(fù)時(shí)間下降了 50% 以上。

趕上最新的漏洞賞金新聞和分析

HackerOne 上最常發(fā)現(xiàn)的錯(cuò)誤仍然是 跨站點(diǎn)腳本( XSS )，但其他 Web 安全漏洞又重新流行起來，整體情況遠(yuǎn)非靜態(tài)。例如，信息披露的有效報(bào)告增加了58%，業(yè)務(wù)邏輯錯(cuò)誤增加了67%，這兩個(gè)漏洞類別首次進(jìn)入前10名。

HackerOne 的安全工程師Christopher Dickens 告訴The Daily Swig，這兩類漏洞越來越頻繁地出現(xiàn)，因?yàn)樗鼈兪侨藶殄e(cuò)誤的后果。

狄更斯解釋說：“如今大多數(shù)測(cè)試都是自動(dòng)化的，從本質(zhì)上講，它會(huì)遺漏只有人類才能利用的漏洞。運(yùn)行漏洞賞金計(jì)劃并讓成千上萬的人尋找漏洞將導(dǎo)致更高比例的業(yè)務(wù)邏輯錯(cuò)誤——增加的原因可能是新的黑客關(guān)注點(diǎn)和新的、更復(fù)雜的漏洞的混合。”