2020年賞金最高的十大漏洞類型
根據(jù)HackerOne周四發(fā)布的十大漏洞列表,跨站點腳本(XSS)仍然是影響力最大的漏洞,因此該漏洞在2020年連續(xù)第二年為白帽子黑客獲得了最高的回報——2020年為黑客贏得了420萬美元的漏洞賞金,比2019年增長了26%。
以下是2020年支付賞金最高的十大漏洞列表:
HackerOne維護(hù)著一個黑客發(fā)現(xiàn)的200,000個漏洞的數(shù)據(jù)庫,根據(jù)該網(wǎng)站的數(shù)據(jù),企業(yè)今年總共向白帽黑客支付了2350萬美元的漏洞賞金,以解決所有這些漏洞。
除了排名第一的XSS,2020年最具影響力和賞金最高的十大漏洞類型還包括:不當(dāng)訪問控制、信息泄露、服務(wù)器端偽造請求(SSRF)、不安全的直接對象引用(IDOR)、特權(quán)升級、SQL注入、不正確的身份驗證、代碼注入和跨站點請求偽造(CSRF)。
根據(jù)HackOne的報告,2020年漏洞管理領(lǐng)域呈現(xiàn)五大趨勢:
1. 組織正在使用創(chuàng)新工具來減少XSS
XSS漏洞非常普遍,很難消除,即使對于具有最成熟的應(yīng)用程序安全性的組織而言。XSS漏洞通常嵌入在可影響生產(chǎn)管道的代碼中,占所有報告漏洞的18%,但平均賞金僅為501美元。這意味著組織正在以非常低廉的價格緩解這種常見的漏洞。
2. 不當(dāng)?shù)脑L問控制和信息披露越來越普遍
不當(dāng)訪問控制賞金同比增長134%,達(dá)到400萬美元以上。信息披露緊隨其后,同比增長63%。
兩種方法都公開了潛在的敏感數(shù)據(jù),例如個人身份信息。如果敏感的客戶或內(nèi)部信息因配置錯誤的權(quán)限而泄漏,將是災(zāi)難性的。
這些漏洞非常普遍,因為使用自動化工具幾乎無法檢測到它們。黑客驅(qū)動的安全服務(wù)提供了一種相對便宜且極其有效的方法來緩解這些漏洞。
3. SSRF顯示了云遷移的風(fēng)險
SSRF(服務(wù)器端請求偽造)漏洞可被利用與外部第三方系統(tǒng)建立連接,發(fā)起惡意攻擊并導(dǎo)致潛在的法律責(zé)任和聲譽損失。
以前,SSRF漏洞不算嚴(yán)重,因為它們只允許內(nèi)部網(wǎng)絡(luò)掃描,有時還可以訪問內(nèi)部管理面板。但是,在數(shù)字化轉(zhuǎn)型的時代,云架構(gòu)和不受保護(hù)的元數(shù)據(jù)端點的出現(xiàn)使這些漏洞變得越來越危險。
4. SQL注入逐年下降
在過去的幾年中,SQL注入是最常見的漏洞類型之一。但是,最新的數(shù)據(jù)表明,該漏洞的數(shù)量正逐年下降。
隨著現(xiàn)代安全框架和方法的普及,該漏洞已經(jīng)過氣。當(dāng)組織不監(jiān)視哪些應(yīng)用程序映射到數(shù)據(jù)庫及其接口方式時,往往會發(fā)生SQL注入。通過向左轉(zhuǎn)移安全性,組織可以利用黑客和其他方法來主動監(jiān)視攻擊面并防止錯誤輸入代碼。
5. 查找常見漏洞類型并不昂貴
在十大累積賞金最高漏洞類型中,只有不當(dāng)訪問控制服務(wù)器端請求偽造(SSRF)和信息披露發(fā)現(xiàn)是平均賞金獎勵增加了10%以上。其他的平均值下降或幾乎持平。
與傳統(tǒng)的安全工具和方法不同,傳統(tǒng)的安全工具和方法隨著目標(biāo)的改變和攻擊面的擴大而變得更加昂貴和繁瑣,而隨著時間的推移,由黑客驅(qū)動的安全性實際上更具成本效益。對于黑客來說,防止不良行為者利用最常見的錯誤變得越來越便宜。
攻擊者使用XSS漏洞來控制在線用戶的帳戶并竊取個人信息,例如密碼,銀行帳號,信用卡信息,個人身份信息(PII),社會安全號碼等。據(jù)HackerOne稱,盡管它們占所有報告的漏洞的18%,但實際上白帽黑客因發(fā)現(xiàn)這些漏洞而獲得的平均賞金并不高。
研究人員指出,針對XSS漏洞的賞金獎勵約為501美元,遠(yuǎn)低于針對關(guān)鍵漏洞的3,650美元的平均獎勵,這使組織可以廉價地緩解常見的XSS漏洞。
確實,研究人員發(fā)現(xiàn),漏洞越常見,發(fā)現(xiàn)和緩解該漏洞的酬勞就越少,組織付出的酬勞就越少。
下圖為不同行業(yè)的平均漏洞賞金對比(平均賞金最高的TOP5行業(yè)分別是計算機軟件、電子與半導(dǎo)體、加密貨幣與區(qū)塊鏈、汽車與交通、互聯(lián)網(wǎng)與在線服務(wù)):
HackerOne產(chǎn)品管理高級總監(jiān)Miju Han指出:“尋找常見漏洞類型并不昂貴,”他指出,TOP10列表中的漏洞中只有三個——不當(dāng)訪問控制、服務(wù)器端請求偽造(SSRF)和信息泄露,平均賞金在一年中增加了10%以上。
這表明,相比采購和實施“傳統(tǒng)安全工具和方法”,雇傭白帽黑客來嗅探漏洞成本上更有優(yōu)勢。因為傳統(tǒng)的安全工具和方法隨著防御目標(biāo)的改變和攻擊面的擴大而變得越來越昂貴和繁瑣。
自動化無法取代白帽黑客
在2020年的十大賞金漏洞榜單中,不當(dāng)訪問控制從第9位上升至第2位,而一直穩(wěn)居第3位的信息披露在漏洞賞金市場上變得更加有價值。
不當(dāng)訪問控制的獎勵比去年同期增長了134%,略高于400萬美元,而信息泄露的賞金則比去年同期增長了63%。
研究人員說,由于訪問控制設(shè)計決策必須由人而不是技術(shù)來決定,因此出錯的可能性很高。他們說,使用自動工具幾乎也無法檢測到這些漏洞,這凸顯了白帽黑客在這個領(lǐng)域的價值。
確實,即使是那些不愿意提高產(chǎn)品安全透明度的大型科技公司,也開始對獎勵白帽黑客的想法產(chǎn)生興趣。例如過去12個月中,蘋果公司Zoom和TikTok都推出了公開的漏洞賞金計劃。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
