发表于
新加坡,@mcgallen#microwire信息,13年2019月10日–今天,HackerOne发布了从未有过的关于通过其程序报告的十大最具影响力的安全漏洞的研究报告-这些漏洞已为该平台上的黑客赢得了超过54万美元的奖金。

根据全球范围内120,000多个客户程序报告的1,400万多个安全漏洞的数据,HackerOne启动了一个交互式站点,该站点显示了具有最高严重性评分,最大报告总数和行业最多报告的漏洞类型。

HackerOne的十大安全漏洞是:

    1. 跨站点脚本-所有类型(dom,反射,存储,通用)
    2. 身份验证不正确-通用
    3. 披露信息
    4. 特权升级
    5. SQL注入
    6. 代码注入
    7. 服务器端请求伪造(SSRF)
    8. 不安全的直接对象引用(IDOR)
    9. 访问控制不当-通用
    10. 跨站请求伪造(CSRF)
“我们看到HackerOne Top 40与OWASP Top 10的最新版本之间有10%的交叉。这两个列表都包括跨站点脚本(XSS),信息公开和注入。 这两种资产都将能够帮助安全团队识别出最大的风险,我们还考虑了数量和赏金价值,我们认为这对于希望防范犯罪黑客的安全团队特别有用。”管理,HackerOne。 “从为严重和高度严重的错误所支付的赏金的累积金额来看,总数超过所付赏金的60%。 有趣的是,按报告数量进行比较,报告的高严重性漏洞的数量几乎是严重严重性的三倍。 相反,低严重度报告仅占赏金总额的8%,但占报告量的近30%。 我们很幸运拥有如此全面的数据集,可让我们与客户和整个行业共享哪些漏洞可能是最昂贵的。”
在网站上查看哪些漏洞对您的行业影响最大 HackerOne十大最具影响力的漏洞类型 网站。

关于HackerOne
HackerOne是第一名 黑客驱动的安全平台,帮助组织发现并修复关键漏洞,然后加以利用。 与其他任何由黑客提供支持的安全性替代方案相比,有更多的《财富》 500强和《福布斯》全球1000强公司信任HackerOne。 美国国防部,通用汽车,谷歌,Twitter,GitHub,任天堂,汉莎航空,微软,新加坡MINDEF,松下航空电子,高通,星巴克,Dropbox,英特尔,CERT协调中心以及1,400多家其他组织已与HackerOne合作找到超过120,000个漏洞,并奖励了超过54万美元的 bug赏金。 HackerOne的总部位于旧金山,在伦敦,纽约,荷兰和新加坡设有办事处。

###