2020年赏金最高的十大漏洞类型
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
➢ 确实,即使是那些不愿意提高产品安全透明度的大型科技公司,也开始对奖 励白帽黑客的想法产生兴趣。例如过去12个月中,苹果公司Zoom和TikTok 都推出了公开的漏洞赏金计划。
查找常见漏洞类型并不昂贵
➢ 在十大累积赏金最高漏洞类型中,只有不当访问控制服务器端请求伪造 (SSRF)和信息披露发现是平均赏金奖励增加了10%以上。其他的平均值 下降或几乎持平。
➢ 与传统的安全工具和方法不同,传统的安全工具和方法随着目标的改变和攻 击面的扩大而变得更加昂贵和繁琐,而随着时间的推移,由黑客驱动的安全 性实际上更具成本效益。对于黑客来说,防止不良行为者利用最常见的错误 变得越来越便宜。
SQL注入逐年下降
➢ 在过去的几年中,SQL注入是最常见的漏洞类型之一。但是,最新的数据表 明,该漏洞的数量正逐年下降。
➢ 随着现代安全框架和方法的普及,该漏洞已经过气。当组织不监视哪些应用 程序映射到数据库及其接口方式时,往往会发生SQL注入。通过向左转移安 wenku.baidu.com性,组织可以利用黑客和其他方法来主动监视攻击面并防止错误输入代码。
不当的访问控制和信息披露越来越普遍
➢ 不当访问控制赏金同比增长134%,达到400万美元以上。信息披露紧随其 后,同比增长63%。
➢ 两种方法都公开了潜在的敏感数据,例如个人身份信息。如果敏感的客户或 内部信息因配置错误的权限而泄漏,将是灾难性的。
➢ 这些漏洞非常普遍,因为使用自动化工具几乎无法检测到它们。黑客驱动的 安全服务提供了一种相对便宜且极其有效的方法来缓解这些漏洞。
➢ HackerOne产品管理高级总监Miju Han指出:“寻找常见漏洞类型并不昂 贵,”他指出,TOP10列表中的漏洞中只有三个——不当访问控制、服务器 端请求伪造(SSRF)和信息泄露,平均赏金在一年中增加了10%以上。
➢ 这表明,相比采购和实施“传统安全工具和方法”,雇佣白帽黑客来嗅探漏 洞成本上更有优势。因为传统的安全工具和方法随着防御目标的改变和攻击 面的扩大而变得越来越昂贵和繁琐。
查找常见漏洞类型并不昂贵
➢ HackerOne产品管理高级总监Miju Han指出:“寻找常见漏洞类型并不昂 贵,”他指出,TOP10列表中的漏洞中只有三个——不当访问控制、服务器 端请求伪造(SSRF)和信息泄露,平均赏金在一年中增加了10%以上。
➢ 这表明,相比采购和实施“传统安全工具和方法”,雇佣白帽黑客来嗅探漏 洞成本上更有优势。因为传统的安全工具和方法随着防御目标的改变和攻击 面的扩大而变得越来越昂贵和繁琐。
2020年漏洞管理领域呈现五大趋势
2020年支付赏金最高的十大漏洞列表
组织正在使用创新工具来减少XSS
➢ XSS漏洞非常普遍,很难消除,即使对于具有最成熟的应用程序安全性的组 织而言。
➢ XSS漏洞通常嵌入在可影响生产管道的代码中,占所有报告漏洞的18%,但 平均赏金仅为501美元。
➢ 这意味着组织正在以非常低廉的价格缓解这种常见的漏洞。
SSRF显示了云迁移的风险
➢ SSRF(服务器端请求伪造)漏洞可被利用与外部第三方系统建立连接,发起 恶意攻击并导致潜在的法律责任和声誉损失。
➢ 以前,SSRF漏洞不算严重,因为它们只允许内部网络扫描,有时还可以访问 内部管理面板。但是,在数字化转型的时代,云架构和不受保护的元数据端 点的出现使这些漏洞变得越来越危险。
自动化无法取代白帽黑客
➢ 在2020年的十大赏金漏洞榜单中,不当访问控制从第9位上升至第2位,而 一直稳居第3位的信息披露在漏洞赏金市场上变得更加有价值。
➢ 不当访问控制的奖励比去年同期增长了134%,略高于400万美元,而信息 泄露的赏金则比去年同期增长了63%。
➢ 研究人员说,由于访问控制设计决策必须由人而不是技术来决定,因此出错 的可能性很高。他们说,使用自动工具几乎也无法检测到这些漏洞,这凸显 了白帽黑客在这个领域的价值。
查找常见漏洞类型并不昂贵
➢ 攻击者使用XSS漏洞来控制在线用户的帐户并窃取个人信息,例如密码,银 行帐号,信用卡信息,个人身份信息(PII),社会安全号码等。据 HackerOne称,尽管它们占所有报告的漏洞的18%,但实际上白帽黑客因 发现这些漏洞而获得的平均赏金并不高。
➢ 研究人员指出,针对XSS漏洞的赏金奖励约为501美元,远低于针对关键漏 洞的3,650美元的平均奖励,这使组织可以廉价地缓解常见的XSS漏洞。
查找常见漏洞类型并不昂贵
➢ 确实,研究人员发现,漏洞越常见,发现和缓解该漏洞的酬劳就越少,组织 付出的酬劳就越少。
➢ 下图为不同行业的平均漏洞赏金对比(平均赏金最高的TOP5行业分别是计 算机软件、电子与半导体、加密货币与区块链、汽车与交通、互联网与在线 服务):
查找常见漏洞类型并不昂贵
查找常见漏洞类型并不昂贵
查找常见漏洞类型并不昂贵
➢ 在十大累积赏金最高漏洞类型中,只有不当访问控制服务器端请求伪造 (SSRF)和信息披露发现是平均赏金奖励增加了10%以上。其他的平均值 下降或几乎持平。
➢ 与传统的安全工具和方法不同,传统的安全工具和方法随着目标的改变和攻 击面的扩大而变得更加昂贵和繁琐,而随着时间的推移,由黑客驱动的安全 性实际上更具成本效益。对于黑客来说,防止不良行为者利用最常见的错误 变得越来越便宜。
SQL注入逐年下降
➢ 在过去的几年中,SQL注入是最常见的漏洞类型之一。但是,最新的数据表 明,该漏洞的数量正逐年下降。
➢ 随着现代安全框架和方法的普及,该漏洞已经过气。当组织不监视哪些应用 程序映射到数据库及其接口方式时,往往会发生SQL注入。通过向左转移安 wenku.baidu.com性,组织可以利用黑客和其他方法来主动监视攻击面并防止错误输入代码。
不当的访问控制和信息披露越来越普遍
➢ 不当访问控制赏金同比增长134%,达到400万美元以上。信息披露紧随其 后,同比增长63%。
➢ 两种方法都公开了潜在的敏感数据,例如个人身份信息。如果敏感的客户或 内部信息因配置错误的权限而泄漏,将是灾难性的。
➢ 这些漏洞非常普遍,因为使用自动化工具几乎无法检测到它们。黑客驱动的 安全服务提供了一种相对便宜且极其有效的方法来缓解这些漏洞。
➢ HackerOne产品管理高级总监Miju Han指出:“寻找常见漏洞类型并不昂 贵,”他指出,TOP10列表中的漏洞中只有三个——不当访问控制、服务器 端请求伪造(SSRF)和信息泄露,平均赏金在一年中增加了10%以上。
➢ 这表明,相比采购和实施“传统安全工具和方法”,雇佣白帽黑客来嗅探漏 洞成本上更有优势。因为传统的安全工具和方法随着防御目标的改变和攻击 面的扩大而变得越来越昂贵和繁琐。
查找常见漏洞类型并不昂贵
➢ HackerOne产品管理高级总监Miju Han指出:“寻找常见漏洞类型并不昂 贵,”他指出,TOP10列表中的漏洞中只有三个——不当访问控制、服务器 端请求伪造(SSRF)和信息泄露,平均赏金在一年中增加了10%以上。
➢ 这表明,相比采购和实施“传统安全工具和方法”,雇佣白帽黑客来嗅探漏 洞成本上更有优势。因为传统的安全工具和方法随着防御目标的改变和攻击 面的扩大而变得越来越昂贵和繁琐。
2020年漏洞管理领域呈现五大趋势
2020年支付赏金最高的十大漏洞列表
组织正在使用创新工具来减少XSS
➢ XSS漏洞非常普遍,很难消除,即使对于具有最成熟的应用程序安全性的组 织而言。
➢ XSS漏洞通常嵌入在可影响生产管道的代码中,占所有报告漏洞的18%,但 平均赏金仅为501美元。
➢ 这意味着组织正在以非常低廉的价格缓解这种常见的漏洞。
SSRF显示了云迁移的风险
➢ SSRF(服务器端请求伪造)漏洞可被利用与外部第三方系统建立连接,发起 恶意攻击并导致潜在的法律责任和声誉损失。
➢ 以前,SSRF漏洞不算严重,因为它们只允许内部网络扫描,有时还可以访问 内部管理面板。但是,在数字化转型的时代,云架构和不受保护的元数据端 点的出现使这些漏洞变得越来越危险。
自动化无法取代白帽黑客
➢ 在2020年的十大赏金漏洞榜单中,不当访问控制从第9位上升至第2位,而 一直稳居第3位的信息披露在漏洞赏金市场上变得更加有价值。
➢ 不当访问控制的奖励比去年同期增长了134%,略高于400万美元,而信息 泄露的赏金则比去年同期增长了63%。
➢ 研究人员说,由于访问控制设计决策必须由人而不是技术来决定,因此出错 的可能性很高。他们说,使用自动工具几乎也无法检测到这些漏洞,这凸显 了白帽黑客在这个领域的价值。
查找常见漏洞类型并不昂贵
➢ 攻击者使用XSS漏洞来控制在线用户的帐户并窃取个人信息,例如密码,银 行帐号,信用卡信息,个人身份信息(PII),社会安全号码等。据 HackerOne称,尽管它们占所有报告的漏洞的18%,但实际上白帽黑客因 发现这些漏洞而获得的平均赏金并不高。
➢ 研究人员指出,针对XSS漏洞的赏金奖励约为501美元,远低于针对关键漏 洞的3,650美元的平均奖励,这使组织可以廉价地缓解常见的XSS漏洞。
查找常见漏洞类型并不昂贵
➢ 确实,研究人员发现,漏洞越常见,发现和缓解该漏洞的酬劳就越少,组织 付出的酬劳就越少。
➢ 下图为不同行业的平均漏洞赏金对比(平均赏金最高的TOP5行业分别是计 算机软件、电子与半导体、加密货币与区块链、汽车与交通、互联网与在线 服务):
查找常见漏洞类型并不昂贵
查找常见漏洞类型并不昂贵