今年,道德黑客通过 HackerOne报告了超过 66,000 个有效漏洞,比 2020 年增加了 22%。来自漏洞赏金平台 HackerOne的年度 Hacker-Powered 安全报告于上周三(12 月 8 日)发布,报告称,随着攻击面的扩大和服务的外包,更广泛的 IT 行业的数字化转型和云迁移趋势继续引发漏洞。
与此同时,高严重性和严重漏洞的赏金价格正在上涨,因为组织优先考虑高影响的错误。该报告还发现,组织修复漏洞的速度比以往任何时候都快。
HackerOne 新任命的 CISO兼首席黑客官 Chris Evans 评论说:“组织通过专注于开发人员教育、源代码集成和开发框架的改进,可以更早地发现问题并以大大降低的成本进行修复。”
深层发掘
HackerOne 的最新报告提供了遥测技术,可以绘制出它为全球各个部门的组织运行的漏洞赏金计划的进度。虽然传统漏洞赏金的有效漏洞报告增加了 10%,但漏洞披露程序 (VDP) 增加了 47%,来自黑客驱动的渗透测试的报告增加了 264%。 过去一年,全行业的解决时间中位数下降了 19%,从 33 天下降到 26.7 天,零售和电子商务等一些行业的修复时间下降了 50% 以上。
赶上最新的漏洞赏金新闻和分析
HackerOne 上最常发现的错误仍然是 跨站点脚本( XSS ),但其他 Web 安全漏洞又重新流行起来,整体情况远非静态。例如,信息披露的有效报告增加了58%,业务逻辑错误增加了67%,这两个漏洞类别首次进入前10名。
HackerOne 的安全工程师Christopher Dickens 告诉The Daily Swig,这两类漏洞越来越频繁地出现,因为它们是人为错误的后果。
狄更斯解释说:“如今大多数测试都是自动化的,从本质上讲,它会遗漏只有人类才能利用的漏洞。运行漏洞赏金计划并让成千上万的人寻找漏洞将导致更高比例的业务逻辑错误——增加的原因可能是新的黑客关注点和新的、更复杂的漏洞的混合。”
