十種安全漏洞為黑客帶來5400萬美元
作者:星期四, 六月 13, 20190

HackerOne 研究揭漏洞身價。

通過利用影響最大的十種安全漏洞,全球黑客從漏洞獎勵項目中贏得5,400萬美元。

該數字出自網絡安全公司 HackerOne 公布的研究結果。HackerOne 的研究基于黑客在客戶程序中找到的12萬個安全漏洞。

據稱該數據代表了組織機構中存在的現實世界風險,包括技術初創公司、政府、創業公司、金融機構和開源項目。

HackerOne 配合該研究推出了一個互動網站,顯示嚴重性評分最高的漏洞類型。

HackerOne的十大安全漏洞是:

1. 跨站腳本——全類型 (DOM、反射、存儲、通用);

2. 不恰當身份驗證——通用;

3. 信息披露;

4. 提權;

5. SQL 注入;

6. 代碼注入;

7. 服務器端請求偽造 (SSRF);

8. 不安全直接對象引用 (IDOR);

9. 不恰當訪問控制——通用;

10. 跨站請求偽造 (CSRF)。

該公司還發現,向云端的大規模遷移導致了漏洞風險的增加,比如服務器端請求偽造。

另外,盡管對用戶隱私的關注有所增強,但信息披露威脅依然十分常見;SSRF、IDOR 和提權等后果嚴重的漏洞雖然很難找到,卻是對賞金黑客而言最有價值的類型。

HackerOne 十大漏洞與最新出爐的 OWASP 十大漏洞重疊了 40%:兩個榜單中都包含了跨站腳本 (XSS)、信息披露和注入。

上報的漏洞中,高嚴重性漏洞的數量幾乎是關鍵漏洞的三倍。

兩個榜單都有助于安全團隊識別頂級風險。HackerOne 的研究還考慮了規模和漏洞獎勵價值,希望抵御網絡罪犯的安全團隊可能會此特別感興趣。

HackerOne 指出,為關鍵漏洞和高嚴重性漏洞支付的累計獎金占了所有漏洞獎勵項目支付獎金總額的 60% 強。

有趣的是,從報告數量上看,報告為高嚴重性漏洞的數量幾乎是關鍵漏洞的三倍。

與之截然相反的是,低嚴重性漏洞報告只拿走了漏洞獎勵項目總獎金的8%,其數量卻占據了所有報告數量的30%。

HackerOne 研究結果網址:

https://www.hackerone.com/resources/top-10-vulnerabilities

相關閱讀

重磅| 黑客不想讓你閱讀的系列安全報告

IC3年度報告出爐:2018年網絡犯罪導致27億美元的經濟損失

 

 


相關文章

寫一條評論

 

 

0條評論