2020年賞金最高的十大漏洞類型
根據(jù)HackerOne周四發(fā)布的十大漏洞列表,跨站點腳本(XSS)仍然是影響力最大的漏洞,因此該漏洞在2020年連續(xù)第二年為白帽子黑客獲得了最高的回報——2020年為黑客贏得了420萬美元的漏洞賞金,比2019年增長了26%。
以下是2020年支付賞金最高的十大漏洞列表:
HackerOne維護著一個黑客發(fā)現(xiàn)的200,000個漏洞的數(shù)據(jù)庫,根據(jù)該網(wǎng)站的數(shù)據(jù),企業(yè)今年總共向白帽黑客支付了2350萬美元的漏洞賞金,以解決所有這些漏洞。
除了排名第一的XSS,2020年最具影響力和賞金最高的十大漏洞類型還包括:不當(dāng)訪問控制、信息泄露、服務(wù)器端偽造請求(SSRF)、不安全的直接對象引用(IDOR)、特權(quán)升級、SQL注入、不正確的身份驗證、代碼注入和跨站點請求偽造(CSRF)。
根據(jù)HackOne的報告,2020年漏洞管理領(lǐng)域呈現(xiàn)五大趨勢:
1. 組織正在使用創(chuàng)新工具來減少XSS
XSS漏洞非常普遍,很難消除,即使對于具有最成熟的應(yīng)用程序安全性的組織而言。XSS漏洞通常嵌入在可影響生產(chǎn)管道的代碼中,占所有報告漏洞的18%,但平均賞金僅為501美元。這意味著組織正在以非常低廉的價格緩解這種常見的漏洞。
2. 不當(dāng)?shù)脑L問控制和信息披露越來越普遍
不當(dāng)訪問控制賞金同比增長134%,達到400萬美元以上。信息披露緊隨其后,同比增長63%。
兩種方法都公開了潛在的敏感數(shù)據(jù),例如個人身份信息。如果敏感的客戶或內(nèi)部信息因配置錯誤的權(quán)限而泄漏,將是災(zāi)難性的。
這些漏洞非常普遍,因為使用自動化工具幾乎無法檢測到它們。黑客驅(qū)動的安全服務(wù)提供了一種相對便宜且極其有效的方法來緩解這些漏洞。
3. SSRF顯示了云遷移的風(fēng)險
SSRF(服務(wù)器端請求偽造)漏洞可被利用與外部第三方系統(tǒng)建立連接,發(fā)起惡意攻擊并導(dǎo)致潛在的法律責(zé)任和聲譽損失。
以前,SSRF漏洞不算嚴重,因為它們只允許內(nèi)部網(wǎng)絡(luò)掃描,有時還可以訪問內(nèi)部管理面板。但是,在數(shù)字化轉(zhuǎn)型的時代,云架構(gòu)和不受保護的元數(shù)據(jù)端點的出現(xiàn)使這些漏洞變得越來越危險。
4. SQL注入逐年下降
在過去的幾年中,SQL注入是最常見的漏洞類型之一。但是,最新的數(shù)據(jù)表明,該漏洞的數(shù)量正逐年下降。
隨著現(xiàn)代安全框架和方法的普及,該漏洞已經(jīng)過氣。當(dāng)組織不監(jiān)視哪些應(yīng)用程序映射到數(shù)據(jù)庫及其接口方式時,往往會發(fā)生SQL注入。通過向左轉(zhuǎn)移安全性,組織可以利用黑客和其他方法來主動監(jiān)視攻擊面并防止錯誤輸入代碼。
5. 查找常見漏洞類型并不昂貴
在十大累積賞金最高漏洞類型中,只有不當(dāng)訪問控制服務(wù)器端請求偽造(SSRF)和信息披露發(fā)現(xiàn)是平均賞金獎勵增加了10%以上。其他的平均值下降或幾乎持平。
與傳統(tǒng)的安全工具和方法不同,傳統(tǒng)的安全工具和方法隨著目標的改變和攻擊面的擴大而變得更加昂貴和繁瑣,而隨著時間的推移,由黑客驅(qū)動的安全性實際上更具成本效益。對于黑客來說,防止不良行為者利用最常見的錯誤變得越來越便宜。
攻擊者使用XSS漏洞來控制在線用戶的帳戶并竊取個人信息,例如密碼,銀行帳號,信用卡信息,個人身份信息(PII),社會安全號碼等。據(jù)HackerOne稱,盡管它們占所有報告的漏洞的18%,但實際上白帽黑客因發(fā)現(xiàn)這些漏洞而獲得的平均賞金并不高。
研究人員指出,針對XSS漏洞的賞金獎勵約為501美元,遠低于針對關(guān)鍵漏洞的3,650美元的平均獎勵,這使組織可以廉價地緩解常見的XSS漏洞。
確實,研究人員發(fā)現(xiàn),漏洞越常見,發(fā)現(xiàn)和緩解該漏洞的酬勞就越少,組織付出的酬勞就越少。
下圖為不同行業(yè)的平均漏洞賞金對比(平均賞金最高的TOP5行業(yè)分別是計算機軟件、電子與半導(dǎo)體、加密貨幣與區(qū)塊鏈、汽車與交通、互聯(lián)網(wǎng)與在線服務(wù)):
HackerOne產(chǎn)品管理高級總監(jiān)Miju Han指出:“尋找常見漏洞類型并不昂貴,”他指出,TOP10列表中的漏洞中只有三個——不當(dāng)訪問控制、服務(wù)器端請求偽造(SSRF)和信息泄露,平均賞金在一年中增加了10%以上。
這表明,相比采購和實施“傳統(tǒng)安全工具和方法”,雇傭白帽黑客來嗅探漏洞成本上更有優(yōu)勢。因為傳統(tǒng)的安全工具和方法隨著防御目標的改變和攻擊面的擴大而變得越來越昂貴和繁瑣。
自動化無法取代白帽黑客
在2020年的十大賞金漏洞榜單中,不當(dāng)訪問控制從第9位上升至第2位,而一直穩(wěn)居第3位的信息披露在漏洞賞金市場上變得更加有價值。
不當(dāng)訪問控制的獎勵比去年同期增長了134%,略高于400萬美元,而信息泄露的賞金則比去年同期增長了63%。
研究人員說,由于訪問控制設(shè)計決策必須由人而不是技術(shù)來決定,因此出錯的可能性很高。他們說,使用自動工具幾乎也無法檢測到這些漏洞,這凸顯了白帽黑客在這個領(lǐng)域的價值。
確實,即使是那些不愿意提高產(chǎn)品安全透明度的大型科技公司,也開始對獎勵白帽黑客的想法產(chǎn)生興趣。例如過去12個月中,蘋果公司Zoom和TikTok都推出了公開的漏洞賞金計劃。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
