根據(jù)HackerOne周四發(fā)布的十大漏洞列表，跨站點(diǎn)腳本(XSS)仍然是影響力最大的漏洞，因此該漏洞在2020年連續(xù)第二年為白帽子黑客獲得了最高的回報(bào)——2020年為黑客贏得了420萬美元的漏洞賞金，比2019年增長(zhǎng)了26%。

[[349481]]

以下是2020年支付賞金最高的十大漏洞列表：

HackerOne維護(hù)著一個(gè)黑客發(fā)現(xiàn)的200,000個(gè)漏洞的數(shù)據(jù)庫(kù)，根據(jù)該網(wǎng)站的數(shù)據(jù)，企業(yè)今年總共向白帽黑客支付了2350萬美元的漏洞賞金，以解決所有這些漏洞。

除了排名第一的XSS，2020年最具影響力和賞金最高的十大漏洞類型還包括：不當(dāng)訪問控制、信息泄露、服務(wù)器端偽造請(qǐng)求(SSRF)、不安全的直接對(duì)象引用(IDOR)、特權(quán)升級(jí)、SQL注入、不正確的身份驗(yàn)證、代碼注入和跨站點(diǎn)請(qǐng)求偽造(CSRF)。

根據(jù)HackOne的報(bào)告，2020年漏洞管理領(lǐng)域呈現(xiàn)五大趨勢(shì)：

1. 組織正在使用創(chuàng)新工具來減少XSS

XSS漏洞非常普遍，很難消除，即使對(duì)于具有最成熟的應(yīng)用程序安全性的組織而言。XSS漏洞通常嵌入在可影響生產(chǎn)管道的代碼中，占所有報(bào)告漏洞的18%，但平均賞金僅為501美元。這意味著組織正在以非常低廉的價(jià)格緩解這種常見的漏洞。

2. 不當(dāng)?shù)脑L問控制和信息披露越來越普遍

不當(dāng)訪問控制賞金同比增長(zhǎng)134%，達(dá)到400萬美元以上。信息披露緊隨其后，同比增長(zhǎng)63%。

兩種方法都公開了潛在的敏感數(shù)據(jù)，例如個(gè)人身份信息。如果敏感的客戶或內(nèi)部信息因配置錯(cuò)誤的權(quán)限而泄漏，將是災(zāi)難性的。

這些漏洞非常普遍，因?yàn)槭褂米詣?dòng)化工具幾乎無法檢測(cè)到它們。黑客驅(qū)動(dòng)的安全服務(wù)提供了一種相對(duì)便宜且極其有效的方法來緩解這些漏洞。

3. SSRF顯示了云遷移的風(fēng)險(xiǎn)

SSRF(服務(wù)器端請(qǐng)求偽造)漏洞可被利用與外部第三方系統(tǒng)建立連接，發(fā)起惡意攻擊并導(dǎo)致潛在的法律責(zé)任和聲譽(yù)損失。

以前，SSRF漏洞不算嚴(yán)重，因?yàn)樗鼈冎辉试S內(nèi)部網(wǎng)絡(luò)掃描，有時(shí)還可以訪問內(nèi)部管理面板。但是，在數(shù)字化轉(zhuǎn)型的時(shí)代，云架構(gòu)和不受保護(hù)的元數(shù)據(jù)端點(diǎn)的出現(xiàn)使這些漏洞變得越來越危險(xiǎn)。

4. SQL注入逐年下降

在過去的幾年中，SQL注入是最常見的漏洞類型之一。但是，最新的數(shù)據(jù)表明，該漏洞的數(shù)量正逐年下降。

隨著現(xiàn)代安全框架和方法的普及，該漏洞已經(jīng)過氣。當(dāng)組織不監(jiān)視哪些應(yīng)用程序映射到數(shù)據(jù)庫(kù)及其接口方式時(shí)，往往會(huì)發(fā)生SQL注入。通過向左轉(zhuǎn)移安全性，組織可以利用黑客和其他方法來主動(dòng)監(jiān)視攻擊面并防止錯(cuò)誤輸入代碼。

5. 查找常見漏洞類型并不昂貴

在十大累積賞金最高漏洞類型中，只有不當(dāng)訪問控制服務(wù)器端請(qǐng)求偽造(SSRF)和信息披露發(fā)現(xiàn)是平均賞金獎(jiǎng)勵(lì)增加了10%以上。其他的平均值下降或幾乎持平。

與傳統(tǒng)的安全工具和方法不同，傳統(tǒng)的安全工具和方法隨著目標(biāo)的改變和攻擊面的擴(kuò)大而變得更加昂貴和繁瑣，而隨著時(shí)間的推移，由黑客驅(qū)動(dòng)的安全性實(shí)際上更具成本效益。對(duì)于黑客來說，防止不良行為者利用最常見的錯(cuò)誤變得越來越便宜。

攻擊者使用XSS漏洞來控制在線用戶的帳戶并竊取個(gè)人信息，例如密碼，銀行帳號(hào)，信用卡信息，個(gè)人身份信息(PII)，社會(huì)安全號(hào)碼等。據(jù)HackerOne稱，盡管它們占所有報(bào)告的漏洞的18%，但實(shí)際上白帽黑客因發(fā)現(xiàn)這些漏洞而獲得的平均賞金并不高。

研究人員指出，針對(duì)XSS漏洞的賞金獎(jiǎng)勵(lì)約為501美元，遠(yuǎn)低于針對(duì)關(guān)鍵漏洞的3,650美元的平均獎(jiǎng)勵(lì)，這使組織可以廉價(jià)地緩解常見的XSS漏洞。

確實(shí)，研究人員發(fā)現(xiàn)，漏洞越常見，發(fā)現(xiàn)和緩解該漏洞的酬勞就越少，組織付出的酬勞就越少。

下圖為不同行業(yè)的平均漏洞賞金對(duì)比(平均賞金最高的TOP5行業(yè)分別是計(jì)算機(jī)軟件、電子與半導(dǎo)體、加密貨幣與區(qū)塊鏈、汽車與交通、互聯(lián)網(wǎng)與在線服務(wù))：

HackerOne產(chǎn)品管理高級(jí)總監(jiān)Miju Han指出：“尋找常見漏洞類型并不昂貴，”他指出，TOP10列表中的漏洞中只有三個(gè)——不當(dāng)訪問控制、服務(wù)器端請(qǐng)求偽造(SSRF)和信息泄露，平均賞金在一年中增加了10%以上。

這表明，相比采購(gòu)和實(shí)施“傳統(tǒng)安全工具和方法”，雇傭白帽黑客來嗅探漏洞成本上更有優(yōu)勢(shì)。因?yàn)閭鹘y(tǒng)的安全工具和方法隨著防御目標(biāo)的改變和攻擊面的擴(kuò)大而變得越來越昂貴和繁瑣。

自動(dòng)化無法取代白帽黑客

在2020年的十大賞金漏洞榜單中，不當(dāng)訪問控制從第9位上升至第2位，而一直穩(wěn)居第3位的信息披露在漏洞賞金市場(chǎng)上變得更加有價(jià)值。

不當(dāng)訪問控制的獎(jiǎng)勵(lì)比去年同期增長(zhǎng)了134%，略高于400萬美元，而信息泄露的賞金則比去年同期增長(zhǎng)了63%。

研究人員說，由于訪問控制設(shè)計(jì)決策必須由人而不是技術(shù)來決定，因此出錯(cuò)的可能性很高。他們說，使用自動(dòng)工具幾乎也無法檢測(cè)到這些漏洞，這凸顯了白帽黑客在這個(gè)領(lǐng)域的價(jià)值。

確實(shí)，即使是那些不愿意提高產(chǎn)品安全透明度的大型科技公司，也開始對(duì)獎(jiǎng)勵(lì)白帽黑客的想法產(chǎn)生興趣。例如過去12個(gè)月中，蘋果公司Zoom和TikTok都推出了公開的漏洞賞金計(jì)劃。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文