HackerOne 平臺發(fā)布年報(bào)，內(nèi)容主要包括：黑客從哪里來?為何挖漏洞?最喜歡的黑客目標(biāo)和工具是什么?從哪里學(xué)習(xí)?為何要和他人協(xié)作等等。另外，還公布了首位獲得百萬賞金的黑客年僅19歲且自學(xué)成才。

?[[258906]]?

報(bào)告數(shù)據(jù)來自 HackerOne 調(diào)查數(shù)據(jù)以及2018年12月以及2019年1月的 Harris 調(diào)查數(shù)據(jù)，后者的數(shù)據(jù)來自100多個(gè)國家和地區(qū)超過3667名黑客。HackerOne 平臺數(shù)據(jù)來自成功地在該平臺上報(bào)告過一個(gè)及以上有效漏洞的黑客，以及該平臺基于1200多個(gè)漏洞獎(jiǎng)勵(lì)計(jì)劃和漏洞披露計(jì)劃的專有數(shù)據(jù)。主要研究結(jié)論如下：

• 報(bào)告指出，HackerOne 平臺的注冊黑客人數(shù)已突破30萬人，提交的有效漏洞總計(jì)超過10萬個(gè)，支付的漏洞獎(jiǎng)勵(lì)金超過4200萬美元。單在2018年，漏洞賞金總額即超過1900萬美元，幾乎是之前所有年份賞金的總和。
• 印度和美國仍然是最多的黑客聚集地，超過6個(gè)非洲國家在2018年參與該平臺活動。
• 由黑客驅(qū)動的安全正在全球范圍內(nèi)創(chuàng)造機(jī)會。賞金獵人能夠賺取的年度賞金是其所在國軟件工程師年薪中位數(shù)的40倍。
• 黑客培訓(xùn)活動發(fā)生在傳統(tǒng)教室之外的地方。81%的黑客表示是通過博客以及學(xué)材料如公開披露的漏洞報(bào)告等學(xué)習(xí)技能的。僅有6%的黑客是通過傳統(tǒng)教室或黑客證書入行的。
• “黑客向善”正在逐漸為大眾接受。Harris Poll 調(diào)查數(shù)據(jù)顯示近三分之二的美國人(64%)認(rèn)為并非所有的黑客都在使壞。

黑客從哪里來?

黑客幾乎遍布全球每個(gè)角落。冰島、加納、斯洛伐克、阿魯巴和厄瓜多爾的黑客和印度、美國、俄羅斯、巴基斯坦和英國的黑客一樣意志堅(jiān)定、技能嫻熟、渴望成功，但后五個(gè)國家在黑客驅(qū)動安全領(lǐng)域的地位不可撼動。單是印度和美國的黑客數(shù)量就占據(jù)了總數(shù)的30%，2018年更是占比43%。在黑客全球化的時(shí)代，黑客擁有新型且大量機(jī)會施展拳腳，而他們所需的不過是互聯(lián)網(wǎng)連接。

肯尼亞的黑客參與活動，阿爾及利亞的參與人數(shù)較上一年翻了一番。印度連續(xù)兩年成為黑客的最多來源地，超過6個(gè)非洲國家初次參與活動。

哪個(gè)國家提供的賞金最多?拿到的賞金最多?

截止2018年，HackerOne 平臺共支付4200多萬美元的賞金，8個(gè)國家的組織機(jī)構(gòu)貢獻(xiàn)了超過一半的賞金。美國和加拿大的組織機(jī)構(gòu)貢獻(xiàn)金額最多，其次是英國、德國、俄羅斯和新加坡。拿到最多賞金的黑客依次來自美國、印度、俄羅斯、未知來源、德國、加拿大、英國、瑞典、荷蘭和中國。

??

黑客賞金是普通程序員收入的多少倍?

報(bào)告提供了黑客賞金與軟件工程師中位數(shù)年度收入對比數(shù)據(jù)。在阿根廷，黑客賞金收入是軟件工程師的40.6倍、泰國是24.5倍、埃及是24.2倍、印度是17.6倍、中國香港是6.7倍、美國是6.4倍、瑞典是6.3倍、中國是6.2倍。

??

黑客人口統(tǒng)計(jì)狀況

90%的黑客年齡低于35歲，而其中18-24年齡段的人略有增長。這群人占 HackerOne 平臺黑客總數(shù)的47%，而且是僅有的一個(gè)在數(shù)量方面逐年上漲的群體。但也不要小看年齡稍長的群體，35-49歲的群體數(shù)量在2018年占比超過9%，而50-64歲的人群數(shù)量在2018年幾乎翻了一番。

??

80%的人是自學(xué)成才，越來越多的黑客來自技術(shù)以外的行業(yè)，讓漏洞挖掘的領(lǐng)域充滿活力。40%的人每周花費(fèi)20多個(gè)小時(shí)尋找漏洞。

81%的黑客將網(wǎng)絡(luò)資源和博客作為主要的學(xué)習(xí)途徑，只有6%的黑客完成了正規(guī)課堂或證書培訓(xùn)。

??

為何從事黑客活動?或因興趣而起或是全職工作所需。多數(shù)是因?yàn)楦信d趣，很多人在全職工作結(jié)束或上完課后基本將時(shí)間和精力投入到挖漏洞中。四分之一的人將其當(dāng)作職業(yè)，僅有不到40%的人是從事IT或技術(shù)行業(yè)，而在2017年，這個(gè)比例還是47%。

??

三分之一的黑客每周花10個(gè)小時(shí)或更少的時(shí)間，不過這一比例在2018年比2017年有所下降。越來越多(超過25%)的黑客每周花費(fèi)30個(gè)小時(shí)或更多的時(shí)間。

??

區(qū)塊鏈黑客趨勢如何?

近70家區(qū)塊鏈和密幣公司使用 HackerOne 平臺確保安全。2018年，這些公司收到的漏洞報(bào)告近3000份。2018年HackerOne平臺上4%的賞金源自區(qū)塊鏈和密幣組織機(jī)構(gòu)。提供基于區(qū)塊鏈令牌的瀏覽器產(chǎn)品的公司 Brave 支付超過2.5萬美元的賞金，解決了近100個(gè)漏洞報(bào)告。

黑客從區(qū)塊鏈行業(yè)中獲得的賞金更高。2018年，所有與區(qū)塊鏈相關(guān)的公司支付的平均賞金是近1500美元，比平臺的平均水平高出600美元左右。而區(qū)塊鏈黑客所獲得的賞金是其所在國家軟件工程師的工資中位數(shù)的7倍。

??

近30%的 HackerOne 平臺上的黑客具有6年或以上的經(jīng)驗(yàn)。而年齡并非僅有的衡量經(jīng)驗(yàn)、技能或受教育水平。

深受歡迎的黑客工具是什么?

2018年，黑客使用第三方本地代理工具的比例增長了67%。Burp Suite 是使用最多的工具 (32.7%)，而使用Fiddler (14.7%)、Webinspect (11.1%)、ChipWhisperer (9.8%) 的黑客人數(shù)也在不斷增長。而使用網(wǎng)絡(luò)掃描器和模糊測試工具的人數(shù)穩(wěn)定。

??

黑客寵愛的目標(biāo)是什么?

黑客喜歡的目標(biāo)是網(wǎng)站、API 和持有自己的數(shù)據(jù)的技術(shù)。他們?nèi)匀幌矚g從 web 應(yīng)用中查找漏洞。70%的受訪黑客表示最喜歡黑的產(chǎn)品或平臺依次是網(wǎng)站 (72.8%)、API、存儲自己數(shù)據(jù)的技術(shù) (3.7%)、安卓應(yīng)用 (3.7%)、操作系統(tǒng) (3.5%) 和可下載軟件 (2.3%)。

??

僅僅是因?yàn)殄X才當(dāng)黑客的嗎?

經(jīng)濟(jì)收益無疑起著重要作用。然而，好奇心是永遠(yuǎn)不變的源動力。有些黑客只是為了“好玩”，而這個(gè)比例和只是為了賺錢的黑客比例幾乎相當(dāng) (14.3%)。四分之一的黑客表示是為了幫助他人或做好事。

??

黑客選擇某個(gè)公司的原因是為了挑戰(zhàn)或?qū)W習(xí) (59.5%)、喜歡某個(gè)公司 (40.4%)、該公司安全團(tuán)隊(duì)的響應(yīng) (36.4%)、為了獲得較高賞金 (31.9%)、我用這種技術(shù)或里面有我的數(shù)據(jù) (31%)等。

??

黑客最喜歡的攻擊向量、技術(shù)或方法是什么?

超過38%的黑客的答案是 XSS 漏洞，其次是 SQL 注入、模糊測試、業(yè)務(wù)邏輯、信息收集、SSRF、RCE、枚舉、逆向工程、IDOR、暴力攻擊、注入、CSRF、驗(yàn)證、XXE、DDoS。

??

如何和平臺上的其他黑客建立連接一起工作?

通過讀他們的博客和公開披露的漏洞報(bào)告占比為33%;而24.4%的黑客表示不喜歡協(xié)作而喜歡單干;14.7%的黑客表示在某些特殊項(xiàng)目或挑戰(zhàn)時(shí)進(jìn)行合作;9.9%的人表示是他人的導(dǎo)師或是受其他黑客的引導(dǎo);一直和其他黑客協(xié)作的占據(jù)8.7%，而作為團(tuán)隊(duì)成員和他人一起提交漏洞報(bào)告的占比7.4%。

??

說到公司收到漏洞報(bào)告的反應(yīng)，一定程度上態(tài)度比較開放 (36.5%)、非常開放 (32.2%)、一般 (17.6%)。

??

百萬賞金富翁是誰?

現(xiàn)年19歲的 Santiago Lopez 曾在 HackerOne 平臺上獲得100萬美元賞金。他16歲時(shí)開始學(xué)習(xí)黑客技術(shù)，互聯(lián)網(wǎng)即是他的黑客學(xué)校，他從中查看并閱讀如何繞過或打破安全防御的材料。一年之后，他憑借一個(gè) CSRF 漏洞獲得50美元的獎(jiǎng)勵(lì)，后因發(fā)現(xiàn)SSRF漏洞而獲得的9000美元。他用獲得的首筆賞金買了一臺新電腦，之后又買了一輛車。

?[[258907]]?

如今，他共發(fā)現(xiàn)了1676個(gè)漏洞，將報(bào)告提交給了很多大公司，如 Verizon、Automattic、HackerOne和一些私營企業(yè)、甚至還包括美國政府。目前他在 HackerOne 平臺上排名第二。

一言以蔽之，這是屬于黑客的時(shí)代。

HackerOne 黑客報(bào)告完整版：

??https://www.hackerone.com/sites/default/files/2019-03/the-2019-hacker-report.pdf??