研究人员在2022年中的hackerone漏洞赏金平台发现65000个软件漏洞,其中关于云安全的漏洞脱颖而出

一份新报告发现,随着组织进行“数字化转型”,漏洞赏金猎人越来越多地发现基于云的漏洞。研究人员在2022年通过漏洞赏金平台HackerOne发现了超过65000 软件漏洞,同比增长21%。在12月13日发布的HackerOne的2022年黑客驱动的安全报告中,这一增长与去年版本中记录的增长百分比完全相同。

现在是第六期,该报告还探讨了数字化转型对攻击面的持续影响。

云迁移和向远程工作的转变使组织建立了越来越细化的权限,这一趋势反映在越来越多的错误配置漏洞上跃升150%——以及不当授权问题增加了45%。

Web应用程序继续占据主导地位,95%的黑客优先考虑网站。接下来最受欢迎的目标是API(45%)、Android移动应用程序 (38%)、云平台(24%)和开源(24%)。

同时,运行漏洞赏金计划的公司应注意,响应时间慢(51%)、范围有限(50%)和沟通不畅(49%)是参与该计划的最大障碍。

HackerOne在2022年9月至2022年10月期间对5000名黑客进行了调查,还发现38%的漏洞猎人认为内部专业知识是组织面临的最大网络安全挑战。这一发现反映了攻击面不断增加和网络安全技能差距相互交织的趋势。

白帽黑客使用的最流行的黑客工具是Burp Suite(87%)、模糊测试实用程序(47%)和网络代理或扫描仪(38%)。三分之一(34%)的人甚至会构建自己的工具。

尽管如此,根据该报告,92%的人仍然支持自己寻找扫描器遗漏的漏洞,而工具通常被证明对侦察有用。

“我在侦察流程中使用自动化工具来寻找机会集中精力,”美国黑客乔恩科尔斯顿告诉HackerOne。

“虽然它可以立即发送速赢通知,但我更感兴趣的是从各种数据存储库中收集尽可能多的信息以分析趋势。

“具体来说,我正在确定组织可能将特定文件或文档存储在何处,我可以利用这些文件或文档进行更高级的攻击。有目的地进行侦察有助于我更好地了解地形,并迅速将我的目标列表从5000个缩小到500个。”

尽管七位数的奖金越来越普遍,但HackerOne的报告称,平均奖金价格和中位数奖金价格并没有显着上涨——除了加密货币和区块链世​​界,平均奖金飙升了315%。

虽然漏洞赏金只会让少数人成为百万富翁,但41%的人收入足以将其视为一种职业,而25%的人认为他们的自由职业生涯帮助他们获得了带薪职位的晋升或以其他方式促进了他们的职业生涯。

跨站点脚本(XSS)再次成为报告的最常见错误,提交总数同比增长32%。

发表评论

评论已关闭。

相关文章