《2019 HackerOne黑客报告》白帽收入最高是普通程序员的40倍
2019-09-10高枫
高枫
近日,HackerOne平台发布年报,内容主要包括:黑客从哪里来,为何挖漏洞,最喜欢的黑客目标和工具是什么,从哪里学习,为何要和他人协作等。另外,还公布了首位获得百万赏金的黑客,其年仅19岁且自学成才。
报告数据来自HackerOne的调查数据以及2018年12月和2019年1月Harris的调查数据,后者的数据来自100多个国家和地区超过3 667名黑客。HackerOne平台数据来自成功在该平台上报告过一个及以上有效漏洞的黑客,以及该平台基于1 200多个漏洞奖励计划和漏洞披露计划的专有数据。
由黑客驱动的安全正在全球范围内创造机会。顶级赏金猎人能够赚取的年度赏金是其所在国软件工程师年薪中位数的40倍。
“黑客向善”正在逐渐为大众接受。Harris Poll调查数据显示近64 %的美国人认为并非所有的黑客都在使坏。
黑客从哪里来
黑客几乎遍布全球每个角落。冰岛、加纳、斯洛伐克、阿鲁巴、厄瓜多尔、印度,美国、俄罗斯、巴基斯坦和英国的黑客一样意志坚定、技能娴熟、渴望成功,但后5个国家在黑客驱动安全领域的地位不可撼动。单是印度和美国的黑客数量就占了总数的30 %,2018年更是占比43 %。在黑客全球化的時代,黑客拥有新型且大量机会施展拳脚,而他们所需的不过是互联网连接。
肯尼亚的黑客首次参与活动,阿尔及利亚的参与人数较上一年翻了一番。印度连续2年成为黑客的最多来源地,超过6个非洲国家首次参与活动。
哪个国家提供的赏金最多
截止2018年,HackerOne平台共支付4 200多万美元的赏金,8个国家的组织机构贡献了超过一半的赏金。美国和加拿大的组织机构贡献金额最多,其次是英国、德国、俄罗斯和新加坡。拿到最多赏金的黑客依次来自美国、印度、俄罗斯、未知来源、德国、加拿大、英国、瑞典、荷兰和中国。
黑客赏金是普通程序员收入的多少倍
报告提供了黑客赏金与软件工程师中位数年度收入对比数据。在阿根廷黑客赏金收入是软件工程师的40.6倍、泰国是24.5倍、埃及是24.2倍、印度是17.6倍、中国香港是6.7倍、美国是6.4倍、瑞典是6.3倍、中国是6.2倍。
黑客人口统计状况
90 %的黑客年龄低于35岁,而其中18~24岁年龄段的人略有增长。这群人占HackerOne平台黑客总数的47 %,而且是唯一一个在数量方面逐年上涨的群体。但也不要小看年龄稍长的群体,35~49岁的群体数量在2018年占比超过9 %,而50~64岁的人群数量在2018年几乎翻了一番。
80 %的人是自学成才,越来越多的黑客来自技术以外的行业,让漏洞挖掘的领域充满活力。40 %的人每周花费20多个小时寻找漏洞。
81 %的黑客将网络资源和博客作为主要的学习途径,只有6 %的黑客完成了正规课堂或证书培训。
为何从事黑客活动
或因兴趣而起或是全职工作所需。多数是因为感兴趣,很多人在全职工作结束或上完课后基本将时间和精力投入到挖漏洞中。四分之一的人将其当作职业,仅有不到40 %的人是从事IT或技术行业,而在2017年,这个比例还是47 %。
三分之一的黑客每周花10个小时或更少的时间,不过这一比例在2018年比2017年有所下降。超过25%的黑客每周花费30个小时或更多的时间。
区块链黑客趋势如何
近70家区块链和密币公司使用HackerOne平台确保安全。2018年,这些公司收到的漏洞报告近3 000份。2018年HackerOne平台上4%的赏金源自区块链和密币组织机构。提供基于区块链令牌的浏览器产品的公司Brave支付超过2.5万美元的赏金,解决了近100个漏洞报告。
黑客从区块链行业中获得的赏金更高。2018年,所有与区块链相关的公司支付的平均赏金是近1 500美元,比平台的平均水平高出600美元左右。而区块链黑客所获得的赏金是其所在国家软件工程师的工资中位数的7倍。
近30%的HackerOne平台上的黑客具有6年或以上的经验。而年龄并非唯一衡量经验、技能或受教育水平。
最受欢迎的黑客工具是什么
2018年,黑客使用第三方本地代理工具的比例增长了67 %。Burp Suite是使用最多的工具(32.7%),使用Fiddler(14.7 %),Webinspect(11.1 %),ChipWhisperer(9.8 %)的黑客人数也在不断增长。而使用网络扫描器和模糊测试工具的人数稳定。
黑客喜爱的目标是什么
黑客最爱的目标是网站、API和持有自己数据的技术。他们仍然最爱从Web应用中查找漏洞。70 %的受访黑客表示最喜欢黑的产品或平台依次是网站(72.8 %)、API、存储自己数据的技术(3.7 %)、安卓应用(3.7 %)、操作系统(3.5%)和可下载软件(2.3 %)。
仅仅是因为钱才当黑客的吗
经济收益无疑起着重要作用。然而,好奇心是永远不变的源动力。有些黑客只是为了“好玩”,而这个比例和只是为了赚钱的黑客比例几乎相当(14.3 %)。四分之一的黑客表示是为了帮助他人或做好事。
黑客选择某个公司的原因是为了挑战或学习(59.5 %)、喜欢某个公司(40.4 %)、该公司安全团队的响应(36.4 %)、为了获得最高赏金(31.9 %)、我用这种技术或里面有我的数据(31 %)等。
黑客最喜欢的攻击向量、技术或方法
超过38 %的黑客的答案是XSS漏洞,其次是SQL注入、模糊测试、业务逻辑、信息收集、SSRF、RCE、枚举、逆向工程、IDOR、暴力攻击、注入、CSRF、验证、XXE和DDoS。
如何与平台上的其他黑客建立连接一起工作
通过读他们的博客和公开披露的漏洞报告占比最大,为33 %;而24.4 %的黑客表示不喜欢协作而喜欢单干;14.7 %的黑客表示在某些特殊项目或挑战时进行合作;9.9 %的人表示是他人的导师或是受其他黑客的引导;一直和其他黑客协作的占8.7 %;而作为团队成员和他人一起提交漏洞报告的占比7.4 %。
说到公司收到漏洞报告的反应,一定程度上态度分为比较开放(36.5 %)、非常开放(32.2 %)和一般(17.6 %)。
首个百万赏金富翁是谁
现年19岁的Santiago Lopez是在HackerOne平台上获得100万美元赏金的第一人。他16岁时开始学习黑客技术,互联网即是他的黑客学校,他从中查看并阅读如何绕过或打破安全防御的材料。一年之后,他凭借一个CSRF漏洞获得50美元的奖励,而最大的奖励是因发现SSRF漏洞而获得的9 000美元。他用获得的第一笔赏金买了一台新电脑,之后又买了一辆车。
如今,他共发现了1 676个唯一漏洞,将报告提交给了很多大公司,如Verizon、Automattic、推特、HackerOne和一些私营企业,甚至还包括美国政府。目前他在HackerOne平台上排名第二。
一言以蔽之,这是属于黑客的时代。