根據HackerOne的調查,組織為“白帽”道德黑客支付了23.5萬美元,以解決一年內排名前十的網絡安全漏洞

攝影:Markus Spiske在Unsplash上

編者簡介:跨站點腳本(XSS)和SQL注入等前十大網絡安全漏洞中,大多數CISO和從業人員仍在關注這些漏洞。 對於每個維護不良的網站或應用程序,這些漏洞和許多頂級漏洞很容易使它們癱瘓,並使它們脫機,或者容易成為入侵者的殭屍,以利用系統和服務器資源進行其他有害目的。 據HackerOne稱,組織已向“白帽”或道德黑客支付了10萬美元,以在不良行為者發現這些漏洞之前識別出這些漏洞,從而確保網站和應用程序的安全。 供應商的版本如下。

組織在一年內為這23.5個漏洞向黑客支付了10萬美元

HackerOne報告揭示了跨站點腳本,不正確的訪問控制和信息洩露最常見和影響最大的漏洞

新加坡,@mcgallen#microwire資訊,30年2020月XNUMX日 –在不確定的時期,安全已成為當務之急。 風險很高:組織比以往任何時候都更加依賴技術,任何依賴技術的人都可能在數據洩露中丟失一切。 但是,一些最新的漏洞有一個共同點:它們由友好的黑客檢測,發現和報告,這些黑客可以像攻擊者一樣思考。

“今年,全球組織被迫將其產品和服務推向數字化時代,” HackerOne產品管理高級總監Miju Han說。 “企業爭先恐後地尋找新的收入來源,為生活方式發生了巨大變化的客戶提供了數字產品。 無論是否準備就緒,成千上萬的工人開始遠程工作。 隨著數字化轉型步伐的加快,CISO必須迅速滿足新需求,同時確保現有系統的安全性。 面對這些障礙,安全領導者對黑客提供的安全性有了新的認識,它是一種靈活,可擴展且具有成本效益的解決方案,可以增加自己的資源,並提供按結果付費的方法,在預算緊張的情況下更加合理。”

HackerOne維護行業中最權威的漏洞數據庫。 黑客發現了200,000多個有效漏洞,HackerOne對該數據進行了調查,以從十大最具影響力和最有價值的漏洞類型中收集見解。

HackerOne的10年最具影響力和獎勵性的十大漏洞類型按降序排列是:

  1. 跨站點腳本(XSS)
  2. 訪問控制不當
  3. 信息披露
  4. 服務器端請求偽造(SSRF)
  5. 不安全的直接對象引用(IDOR)
  6. 特權提升
  7. SQL注入
  8. 身份驗證不正確
  9. 代碼注入
  10. 跨站請求偽造(CSRF)

與今年相比,仔細觀察今年的前十名 2019 前十大漏洞,主要發現包括:

  1. 跨站腳本 漏洞繼續是Web應用程序的主要威脅,因為利用XSS攻擊的攻擊者可以控制用戶的帳戶並竊取密碼,銀行帳號,信用卡信息,個人身份信息(PII),社會安全號碼和更多。 XSS漏洞是連續兩年獲獎最多的漏洞,它使組織獲得了4.2萬美元的賞金獎勵,比上一年增加了26%。 這些漏洞佔所有報告的漏洞的18%,但平均賞金僅為501美元。 嚴重漏洞的平均賞金為3,650美元,這意味著組織正在以便宜的價格緩解這一常見的,可能令人痛苦的錯誤。
  2. 訪問控制不當 (高於2019年的第九名)和 信息披露 (仍然保持第三名)仍然很普遍。 不當訪問控制獎同比增長134%,達到4萬美元以上。 信息披露緊隨其後,同比增長63%。 訪問控制設計決策必須由人決定,而不是技術,而且潛在的錯誤可能性很高,而且使用自動化工具幾乎不可能檢測到這兩種錯誤。
  3. SSRF 可以被利用來針對防火牆後的內部系統的漏洞顯示了雲遷移的風險。 以前,SSRF錯誤相當溫和,並僅排名第七,因為它們僅允許內部網絡掃描,有時還可以訪問內部管理面板。 但是,在這個快速數字化轉型的時代,雲架構和不受保護的元數據端點的出現使這些漏洞變得越來越關鍵。
  4. SQL注入 正在逐年下降。 被OWASP和其他公司視為對Web應用程序安全性的最嚴重威脅之一,SQL注入攻擊的規模可能是毀滅性的,因為敏感數據(包括業務信息,知識產權和關鍵客戶數據)存儲在易受這些攻擊影響的數據庫服務器上。 在過去的幾年中,SQL注入是最常見的漏洞類型之一。 但是,我們的數據表明,該數字已從2019年的第五位下降到2020年的第七位。通過將安全性向左移,組織正在利用黑客和其他方法來主動監視攻擊面並防止Bug輸入代碼。

“繼續尋找最常見的漏洞類型並不昂貴,” Han繼續說道。 “在獲得獎勵最多的十大弱點類型中,只有不當訪問控制,服務器端請求偽造(SSRF)和信息披露發現其平均賞金獎勵增加了10%以上。 其他的平均值下降或幾乎持平。 與傳統的安全工具和方法不同,傳統的安全工具和方法隨著目標的改變和攻擊面的擴大而變得更加昂貴和麻煩,而隨著時間的推移,由黑客提供的安全性實際上更具成本效益。 對於黑客來說,防止不良行為者利用最常見的錯誤變得越來越便宜。”

有關10版完整的HackerOne十大最具影響力和獎勵性漏洞類型,請訪問 https://www.hackerone.com/top-10-vulnerabilities

關於HackerOne

HackerOne使世界能夠構建更安全的互聯網。 作為世界上最受黑客支持的安全平台,HackerOne使組織可以訪問地球上最大的黑客社區。 擁有最強大的漏洞趨勢數據庫和行業基準數據庫,黑客社區可以通過搜索,查找並安全報告所有行業和攻擊面的組織的實際安全漏洞,減輕網絡風險。 客戶包括美國國防部,Dropbox,通用汽車,GitHub,高盛,谷歌,凱悅,英特爾,漢莎航空,微軟,MINDEF新加坡,任天堂,PayPal,高通,Slack,星巴克,Twitter和Verizon Media。 HackerOne在2020年《快速公司》全球最具創新力公司排行榜中排名第五。HackerOne總部位於舊金山,在倫敦,紐約,荷蘭,法國,新加坡以及全球其他70多個地區設有分支機構。

方法

此版本的HackerOne十大最具影響力和獎賞性漏洞類型基於HackerOne的專有數據,檢查了HackerOne平台在10年2019月至2020年XNUMX月之間解決的安全弱點。黑客社區通過漏洞披露以及公共和私人渠道報告了此處包含的漏洞。賞金計劃。 所有漏洞分類均由HackerOne客戶進行或確認,包括漏洞類型,影響和嚴重性。

注: 脆弱性等級分類法HackerOne的客戶和黑客使用HackerOne映射到行業標準的Common Weakness Enumeration來對報告的漏洞進行分類。 此處提供的數據為2019年2020月至XNUMX年XNUMX月。

###