信息化觀察網(wǎng)

通過利用影響最大的十種安全漏洞，全球黑客從漏洞獎勵項(xiàng)目中贏得5,400萬美元。

該數(shù)字出自網(wǎng)絡(luò)安全公司 HackerOne 公布的研究結(jié)果。HackerOne 的研究基于黑客在客戶程序中找到的12萬個(gè)安全漏洞。

據(jù)稱該數(shù)據(jù)代表了組織機(jī)構(gòu)中存在的現(xiàn)實(shí)世界風(fēng)險(xiǎn)，包括技術(shù)初創(chuàng)公司、政府、創(chuàng)業(yè)公司、金融機(jī)構(gòu)和開源項(xiàng)目。

HackerOne 配合該研究推出了一個(gè)互動網(wǎng)站，顯示嚴(yán)重性評分最高的漏洞類型。

HackerOne的十大安全漏洞是：

1. 跨站腳本——全類型 (DOM、反射、存儲、通用)；

2. 不恰當(dāng)身份驗(yàn)證——通用；

3. 信息披露；

4. 提權(quán)；

5. SQL 注入；

6. 代碼注入；

7. 服務(wù)器端請求偽造 (SSRF)；

8. 不安全直接對象引用 (IDOR)；

9. 不恰當(dāng)訪問控制——通用；

10. 跨站請求偽造 (CSRF)。

該公司還發(fā)現(xiàn)，向云端的大規(guī)模遷移導(dǎo)致了漏洞風(fēng)險(xiǎn)的增加，比如服務(wù)器端請求偽造。

另外，盡管對用戶隱私的關(guān)注有所增強(qiáng)，但信息披露威脅依然十分常見；SSRF、IDOR 和提權(quán)等后果嚴(yán)重的漏洞雖然很難找到，卻是對賞金黑客而言最有價(jià)值的類型。

HackerOne 十大漏洞與最新出爐的 OWASP 十大漏洞重疊了 40%：兩個(gè)榜單中都包含了跨站腳本 (XSS)、信息披露和注入。

上報(bào)的漏洞中，高嚴(yán)重性漏洞的數(shù)量幾乎是關(guān)鍵漏洞的三倍。

兩個(gè)榜單都有助于安全團(tuán)隊(duì)識別頂級風(fēng)險(xiǎn)。HackerOne 的研究還考慮了規(guī)模和漏洞獎勵價(jià)值，希望抵御網(wǎng)絡(luò)罪犯的安全團(tuán)隊(duì)可能會此特別感興趣。

HackerOne 指出，為關(guān)鍵漏洞和高嚴(yán)重性漏洞支付的累計(jì)獎金占了所有漏洞獎勵項(xiàng)目支付獎金總額的 60% 強(qiáng)。

有趣的是，從報(bào)告數(shù)量上看，報(bào)告為高嚴(yán)重性漏洞的數(shù)量幾乎是關(guān)鍵漏洞的三倍。

與之截然相反的是，低嚴(yán)重性漏洞報(bào)告只拿走了漏洞獎勵項(xiàng)目總獎金的8%，其數(shù)量卻占據(jù)了所有報(bào)告數(shù)量的30%。

HackerOne 研究結(jié)果網(wǎng)址：

https://www.hackerone.com/resources/top-10-vulnerabilities