根据HackerOne的调查,组织为“白帽”道德黑客支付了23.5万美元,以解决一年内排名前十的网络安全漏洞

照片由Markus Spiske在Unsplash上​​拍摄

编者简介:跨站点脚本(XSS)和SQL注入等前十大网络安全漏洞中,大多数CISO和从业人员仍在关注这些漏洞。 对于每个维护不良的网站或应用程序,这些漏洞和许多顶级漏洞很容易使它们瘫痪,并使它们脱机,或者容易成为入侵者的僵尸,以利用系统和服务器资源进行其他有害目的。 根据HackerOne的说法,组织已向“白帽”或道德黑客支付了10万美元,以在不良行为者找到它们之前识别出这些漏洞,从而确保网站和应用程序的安全。 供应商的版本如下。

组织在一年内为这23.5个漏洞向黑客支付了10万美元

HackerOne报告揭示了跨站点脚本,不正确的访问控制和信息泄露最常见和影响最大的漏洞

新加坡,@mcgallen#microwire资讯,30年2020月XNUMX日 –在不确定的时期,安全已成为当务之急。 风险很高:组织比以往任何时候都更加依赖技术,任何依赖技术的人都可能在数据泄露中丢失一切。 但是,一些最新的漏洞有一个共同点:它们是由友好的黑客检测,发现和报告的,他们可以像攻击者一样思考。

“今年,世界各地的组织被迫使用其产品和服务实现数字化,” HackerOne产品管理高级总监Miju Han说。 “企业争先恐后地寻找新的收入来源,为生活方式发生了巨大变化的客户提供了数字产品。 无论是否准备就绪,成千上万的工人开始远程工作。 随着数字化转型步伐的加快,CISO必须迅速满足新需求,同时确保现有系统的安全性。 面对这些障碍,安全领导者对黑客提供的安全性有了新的认识,它是一种灵活,可扩展且具有成本效益的解决方案,可以增加自己的资源,并提供按结果付费的方法,在预算紧张的情况下更加合理。”

HackerOne维护行业中最权威的漏洞数据库。 黑客发现了200,000多个有效漏洞,HackerOne对该数据进行了调查,以从最具影响力和回报率最高的10种漏洞类型中收集见解。

HackerOne的10年最具影响力和奖励性的十大漏洞类型按降序排列是:

  1. 跨站点脚本(XSS)
  2. 访问控制不当
  3. 披露信息
  4. 服务器端请求伪造(SSRF)
  5. 不安全的直接对象引用(IDOR)
  6. 特权升级
  7. SQL注入
  8. 身份验证不正确
  9. 代码注入
  10. 跨站请求伪造(CSRF)

与今年相比,仔细观察今年的前十名 2019 前十大漏洞,主要发现包括:

  1. 跨站脚本 漏洞仍然是Web应用程序的主要威胁,因为利用XSS攻击的攻击者可以控制用户的帐户并窃取密码,银行帐号,信用卡信息,个人身份信息(PII),社会安全号码和更多。 XSS漏洞是连续两年获奖最多的漏洞,它使组织获得了4.2万美元的赏金奖励,比上一年增加了26%。 这些漏洞占报告的所有漏洞的18%,但平均赏金仅为501美元。 严重漏洞的平均赏金为3,650美元,这意味着组织正在以便宜的价格缓解这一常见的,可能令人痛苦的错误。
  2. 访问控制不当 (高于2019年的第九名)和 披露信息 (仍然保持第三名)仍然很普遍。 不当访问控制奖同比增长134%,达到4万美元以上。 信息披露紧随其后,同比增长63%。 访问控制设计决策必须由人决定,而不是技术,而且潜在的错误可能性很高,而且使用自动化工具几乎不可能检测到这两种错误。
  3. SSRF 可以被利用来针对防火墙后的内部系统的漏洞显示了云迁移的风险。 以前,SSRF错误相当温和,并仅排名第七,因为它们仅允许内部网络扫描,有时还可以访问内部管理面板。 但是,在这个快速数字化转型的时代,云架构和不受保护的元数据端点的出现使这些漏洞变得越来越关键。
  4. SQL注入 正在逐年下降。 被OWASP和其他公司视为对Web应用程序安全性的最严重威胁之一,SQL注入攻击的规模可能是毁灭性的,因为敏感数据(包括业务信息,知识产权和关键客户数据)存储在易受这些攻击影响的数据库服务器上。 在过去的几年中,SQL注入是最常见的漏洞类型之一。 但是,我们的数据表明,该数字已从2019年的第五位下降到2020年的第七位。通过将安全性向左转移,组织正在利用黑客和其他方法来主动监视攻击面并防止Bug输入代码。

“继续寻找最常见的漏洞类型并不昂贵,” Han继续说道。 “在获得奖励最多的十大弱点类型中,只有不当访问控制,服务器端请求伪造(SSRF)和信息披露发现其平均赏金奖励增加了10%以上。 其他的平均值下降或几乎持平。 与传统的安全工具和方法不同,传统的安全工具和方法随着目标的改变和攻击面的扩大而变得更加昂贵和繁琐,而随着时间的推移,由黑客提供的安全性实际上更具成本效益。 对于黑客来说,防止不良行为者利用最常见的错误变得越来越便宜。”

有关10版完整的HackerOne十大最具影响力和奖励性漏洞类型,请访问 https://www.hackerone.com/top-10-vulnerabilities

关于HackerOne

HackerOne使世界能够构建更安全的互联网。 作为世界上最受黑客支持的安全平台,HackerOne使组织可以访问地球上最大的黑客社区。 拥有最强大的漏洞趋势数据库和行业基准数据库,黑客社区可以通过搜索,查找和安全报告所有行业和攻击面的组织的实际安全漏洞来缓解网络风险。 客户包括美国国防部,Dropbox,通用汽车,GitHub,高盛,谷歌,凯悦,英特尔,汉莎航空,微软,MINDEF新加坡,任天堂,PayPal,高通,Slack,星巴克,Twitter和Verizon Media。 HackerOne在2020年《快速公司》全球最具创新力公司排行榜中排名第五。HackerOne总部位于旧金山,在伦敦,纽约,荷兰,法国,新加坡以及全球其他70多个地区设有分支机构。

方法

此版本的HackerOne十大最具影响力和奖赏性漏洞类型基于HackerOne的专有数据,该数据检查了HackerOne平台在10年2019月至2020年XNUMX月之间解决的安全弱点。黑客社区通过漏洞披露以及公共和私人渠道报告了此处包含的漏洞。赏金计划。 所有漏洞分类均由HackerOne客户进行或确认,包括漏洞类型,影响和严重性。

注意: 脆弱性等级分类法HackerOne的客户和黑客使用HackerOne映射到行业标准的Common Weakness Enumeration来对报告的漏洞进行分类。 此处提供的数据为2019年2020月至XNUMX年XNUMX月。

###