我们正身处一个黑客时代:他们有时被誉为英雄;有时也是媒体的每日话题,不时会被丑化;他们还是好莱坞青睐的形象,常常在影片中出镜。他们可以有任意一种面孔,但每一种,都不容忽视。

全球知名漏洞众测平台 HackerOne 近期发布了 2018 白帽黑客调查报告,针对 1698 白帽受访者展开调查,并得出了一些结论,报告结果显示:白帽黑客也许将迎来暖春。

截至 2017 年 12 月,HackerOne 共有超过 16.6 万在册白帽子,一共提交了 7.2 万多个漏洞,平台累计发放奖励 2350 万美元奖金。

主要发现:

1. 漏洞赏金可能会改变一些白帽子的生活。在印度,顶级白帽子的收入可达到软件工程师平均工资的 16 倍。平均而言,各国顶级安全研究人员的收入是该国软件工程师平均工资的 2.7 倍;

2. 近四分之一的黑客没有报告他们发现的漏洞,因为漏洞影响的公司没有设置漏洞披露渠道;

3. 金钱依然是白帽子的主要动力,不过与 2016 年相比,这个原因已经从 2016 年的第一名下降到 2017 年的第四名。最重要的是,白帽子更喜欢通过这种方式学习技术和技巧。其中,“挑战”和“玩得开心”的原因并列第二;

4. HackerOne 社区中,来自印度(23%)和美国(20%)的白帽子位列前两名,其次是俄罗斯(6%),巴基斯坦(4%)和英国(4%);

5. 这些白帽子中,近 58% 是自学的。其中,有 50% 在本科或研究生阶段学过计算机科学;有 26.4% 在高中或初中、小学学过计算机科学;

6. 虽然有 37% 的白帽子表示自己是业余爱好者,但大约有 12% 的白帽子每年能赚取高达 2 万美元(甚至更高)的奖励金。其中,超过 3% 的白帽子每年漏洞奖金收入超过 10 万美元;1.1% 每年收入超过 35 万美元。四分之一的黑客年收入的 50% 来自漏洞奖金,而 13.7% 的白帽子表示漏洞奖金占他们全年收入的 100% 。

高级白帽收入远超软件工程师

   

图 1 HackerOne上的白帽黑客全球地理位置分布

HackerOne 上的白帽黑客遍布全球,其中印度、美国、俄罗斯、巴基斯坦和英国位列前五。仅印度和美国的白帽黑客加起来就占 43%。

   

图 2 漏洞奖励项目的国家分布与收获漏洞奖金的白帽黑客国家分布

左边是漏洞奖励计划所分布的国家,左边是获取漏洞奖金的白帽子所分布的国家。对比之下可发现,美国是发布漏洞奖金最多的国家,同样也是获得漏洞奖金最多的国家。而印度白帽子则当之无愧是漏洞奖金收割机。

   

图 3 各国高级白帽漏洞奖金收入与该国软件工程师平均薪水对比

从图 3 可以看出,在印度,高级白帽的漏洞奖金收入与其软件工程师平均薪水对比悬殊,倍数达 16 倍。在中国,高级白帽的漏洞奖金收入是软件工程师平均薪资的 3.7 倍。

企业对于漏洞报告持更开放的态度;

目前为止,全球设置漏洞奖励计划的公司越来越多,企业逐渐开始重视安全。但是,按照福布斯 2000 的排行榜,仍有 94% 的企业尚未设置公开的漏洞披露政策。结果导致每 4 个黑客中就有 1 个因为找不到企业通报渠道而无法将自己发现的漏洞上报。

企业对于漏洞报告的态度

调查结果显示,2017 年,有 38.4% 的公司对于漏洞报告的态度一定程度上更加开放,而 33.8% 的开放程度更高,16.5% 的态度与之前一样,只有不到 10% 的公司比以前更保守。

白帽画像

以下从年龄、学历、职业、挖洞时间、挖洞经验;偏爱的工具、平台、攻击向量等多个层面呈现 2017  白帽黑客画像。

年龄分布

学历分布

职业分布

可以说,白帽子都是一群年轻、有好奇心,甚至称得上天才的专业人士。90% 以上的白帽自都不到 35 岁,18-24 岁的白帽子占比最多,高达 45.3%,其次是 25-34 岁的白帽子,占 37.3%。所有白帽子中,58% 是自学成才,67% 通过网上资源、博客、书本、社区等学习技巧。有 44% 是 IT 专业人士,专门研究网络安全。

每周用于挖洞的时间

66% 以上的白帽子每周花费不超过 20小时。其中 44% 只花费不到 10 小时。 20% 以上的黑客每周花费超过 30 小时。13.1% 的白帽子每周会花费 40 小时以上进行挖洞,相当于全职工作。

挖洞经验

71.% 的白帽子挖洞经验在 1-5 年之间。6-10 年的占 18.1%,11-15 年的占 6.4%,16-20 年的占 2.2%,20年以上的占 2.1%。

偏爱的工具

将近 30% 的白帽子都喜欢 Burp Suite,超过 15% 的白帽子喜欢自创工具。web 协议/扫描器占 12.6%、网络漏扫(11.8%)、混淆工具(9.9%)、调试工具(9.7%)、webinspect(5.4%)、fiddler(5.3%)、chip whisperer(0.8%)。

偏爱的平台或网站

超过 70% 的受访白帽子说他们最喜欢的产品或平台是网站,其次是 API(7.5%)、存有自己数据的技术(5%)、Android 应用程序(4.2%)、操作系统(3.1%)和物联网(2.6%)。

挖洞动机

2017 年,白帽黑客的挖洞动机丰富多样,其中学习技术占第一位(14.7%)。随后是战胜挑战(14.0%)、有趣(14.0%)、挣钱(13.1%)、职业发展(12.2%)、保护网络(10.4%)、做好事(10.0%)、帮助别人(8.5%)、蒂花之秀(3.0%)。

选择目标公司挖洞的原因

白帽黑客选择目标公司挖洞的原因包括:奖金(23.7%)、挑战/学习机会(20.5%)、喜欢目标公司(13%)、获得目标公司安全团队的回应(10.7%)、认同感(9.7%)、目标公司安全性很好(8.9%)、目标公司安全性很差(6.6%)、评估所使用的技术(4.7%)、不喜欢目标公司(2.1%)。

偏爱的攻击向量

白帽黑客偏爱的攻击向量,第一位是 XSS(28.8%),其次是 SQL 注入(23.1%)、混淆(5.5%)等其他向量。

挖洞习惯

约三分之一(30.6%)的白帽子喜欢单独作业,31.3% 的黑客喜欢阅读并学习其他黑客的博客和公开披露的漏洞结果。

参考来源:SecurityWeekHackerOne报告,AngelaY 编译整理

声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。