[[439990]]

今年，道德黑客通過 HackerOne報告了超過 66,000 個有效漏洞，比 2020 年增加了 22%。來自漏洞賞金平臺 HackerOne的年度 Hacker-Powered 安全報告于上周三(12 月 8 日)發(fā)布，報告稱，隨著攻擊面的擴(kuò)大和服務(wù)的外包，更廣泛的 IT 行業(yè)的數(shù)字化轉(zhuǎn)型和云遷移趨勢繼續(xù)引發(fā)漏洞。

與此同時，高嚴(yán)重性和嚴(yán)重漏洞的賞金價格正在上漲，因為組織優(yōu)先考慮高影響的錯誤。該報告還發(fā)現(xiàn)，組織修復(fù)漏洞的速度比以往任何時候都快。

HackerOne 新任命的 CISO兼首席黑客官 Chris Evans 評論說：“組織通過專注于開發(fā)人員教育、源代碼集成和開發(fā)框架的改進(jìn)，可以更早地發(fā)現(xiàn)問題并以大大降低的成本進(jìn)行修復(fù)。”

深層發(fā)掘

HackerOne 的最新報告提供了遙測技術(shù)，可以繪制出它為全球各個部門的組織運行的漏洞賞金計劃的進(jìn)度。雖然傳統(tǒng)漏洞賞金的有效漏洞報告增加了 10%，但漏洞披露程序 (VDP) 增加了 47%，來自黑客驅(qū)動的滲透測試的報告增加了 264%。 過去一年，全行業(yè)的解決時間中位數(shù)下降了 19%，從 33 天下降到 26.7 天，零售和電子商務(wù)等一些行業(yè)的修復(fù)時間下降了 50% 以上。

趕上最新的漏洞賞金新聞和分析

HackerOne 上最常發(fā)現(xiàn)的錯誤仍然是 跨站點腳本( XSS )，但其他 Web 安全漏洞又重新流行起來，整體情況遠(yuǎn)非靜態(tài)。例如，信息披露的有效報告增加了58%，業(yè)務(wù)邏輯錯誤增加了67%，這兩個漏洞類別首次進(jìn)入前10名。

HackerOne 的安全工程師Christopher Dickens 告訴The Daily Swig，這兩類漏洞越來越頻繁地出現(xiàn)，因為它們是人為錯誤的后果。

狄更斯解釋說：“如今大多數(shù)測試都是自動化的，從本質(zhì)上講，它會遺漏只有人類才能利用的漏洞。運行漏洞賞金計劃并讓成千上萬的人尋找漏洞將導(dǎo)致更高比例的業(yè)務(wù)邏輯錯誤——增加的原因可能是新的黑客關(guān)注點和新的、更復(fù)雜的漏洞的混合。”