《2019 HackerOne黑客報告》白帽收入最高是普通程序員的40倍

高楓

近日，HackerOne平臺發(fā)布年報，內(nèi)容主要包括：黑客從哪里來，為何挖漏洞，最喜歡的黑客目標(biāo)和工具是什么，從哪里學(xué)習(xí)，為何要和他人協(xié)作等。另外，還公布了首位獲得百萬賞金的黑客，其年僅19歲且自學(xué)成才。

報告數(shù)據(jù)來自HackerOne的調(diào)查數(shù)據(jù)以及2018年12月和2019年1月Harris的調(diào)查數(shù)據(jù)，后者的數(shù)據(jù)來自100多個國家和地區(qū)超過3 667名黑客。HackerOne平臺數(shù)據(jù)來自成功在該平臺上報告過一個及以上有效漏洞的黑客，以及該平臺基于1 200多個漏洞獎勵計劃和漏洞披露計劃的專有數(shù)據(jù)。

由黑客驅(qū)動的安全正在全球范圍內(nèi)創(chuàng)造機(jī)會。頂級賞金獵人能夠賺取的年度賞金是其所在國軟件工程師年薪中位數(shù)的40倍。

“黑客向善”正在逐漸為大眾接受。Harris Poll調(diào)查數(shù)據(jù)顯示近64 %的美國人認(rèn)為并非所有的黑客都在使壞。

黑客從哪里來

黑客幾乎遍布全球每個角落。冰島、加納、斯洛伐克、阿魯巴、厄瓜多爾、印度，美國、俄羅斯、巴基斯坦和英國的黑客一樣意志堅定、技能嫻熟、渴望成功，但后5個國家在黑客驅(qū)動安全領(lǐng)域的地位不可撼動。單是印度和美國的黑客數(shù)量就占了總數(shù)的30 %，2018年更是占比43 %。在黑客全球化的時代，黑客擁有新型且大量機(jī)會施展拳腳，而他們所需的不過是互聯(lián)網(wǎng)連接。

肯尼亞的黑客首次參與活動，阿爾及利亞的參與人數(shù)較上一年翻了一番。印度連續(xù)2年成為黑客的最多來源地，超過6個非洲國家首次參與活動。

哪個國家提供的賞金最多

截止2018年，HackerOne平臺共支付4 200多萬美元的賞金，8個國家的組織機(jī)構(gòu)貢獻(xiàn)了超過一半的賞金。美國和加拿大的組織機(jī)構(gòu)貢獻(xiàn)金額最多，其次是英國、德國、俄羅斯和新加坡。拿到最多賞金的黑客依次來自美國、印度、俄羅斯、未知來源、德國、加拿大、英國、瑞典、荷蘭和中國。

黑客賞金是普通程序員收入的多少倍

報告提供了黑客賞金與軟件工程師中位數(shù)年度收入對比數(shù)據(jù)。在阿根廷黑客賞金收入是軟件工程師的40.6倍、泰國是24.5倍、埃及是24.2倍、印度是17.6倍、中國香港是6.7倍、美國是6.4倍、瑞典是6.3倍、中國是6.2倍。

黑客人口統(tǒng)計狀況

90 %的黑客年齡低于35歲，而其中18～24歲年齡段的人略有增長。這群人占HackerOne平臺黑客總數(shù)的47 %，而且是唯一一個在數(shù)量方面逐年上漲的群體。但也不要小看年齡稍長的群體，35～49歲的群體數(shù)量在2018年占比超過9 %，而50～64歲的人群數(shù)量在2018年幾乎翻了一番。

80 %的人是自學(xué)成才，越來越多的黑客來自技術(shù)以外的行業(yè)，讓漏洞挖掘的領(lǐng)域充滿活力。40 %的人每周花費(fèi)20多個小時尋找漏洞。

81 %的黑客將網(wǎng)絡(luò)資源和博客作為主要的學(xué)習(xí)途徑，只有6 %的黑客完成了正規(guī)課堂或證書培訓(xùn)。

為何從事黑客活動

或因興趣而起或是全職工作所需。多數(shù)是因?yàn)楦信d趣，很多人在全職工作結(jié)束或上完課后基本將時間和精力投入到挖漏洞中。四分之一的人將其當(dāng)作職業(yè)，僅有不到40 %的人是從事IT或技術(shù)行業(yè)，而在2017年，這個比例還是47 %。

三分之一的黑客每周花10個小時或更少的時間，不過這一比例在2018年比2017年有所下降。超過25%的黑客每周花費(fèi)30個小時或更多的時間。

區(qū)塊鏈黑客趨勢如何

近70家區(qū)塊鏈和密幣公司使用HackerOne平臺確保安全。2018年，這些公司收到的漏洞報告近3 000份。2018年HackerOne平臺上4%的賞金源自區(qū)塊鏈和密幣組織機(jī)構(gòu)。提供基于區(qū)塊鏈令牌的瀏覽器產(chǎn)品的公司Brave支付超過2.5萬美元的賞金，解決了近100個漏洞報告。

黑客從區(qū)塊鏈行業(yè)中獲得的賞金更高。2018年，所有與區(qū)塊鏈相關(guān)的公司支付的平均賞金是近1 500美元，比平臺的平均水平高出600美元左右。而區(qū)塊鏈黑客所獲得的賞金是其所在國家軟件工程師的工資中位數(shù)的7倍。

近30%的HackerOne平臺上的黑客具有6年或以上的經(jīng)驗(yàn)。而年齡并非唯一衡量經(jīng)驗(yàn)、技能或受教育水平。

最受歡迎的黑客工具是什么

2018年，黑客使用第三方本地代理工具的比例增長了67 %。Burp Suite是使用最多的工具（32.7%），使用Fiddler（14.7 %），Webinspect（11.1 %），ChipWhisperer（9.8 %）的黑客人數(shù)也在不斷增長。而使用網(wǎng)絡(luò)掃描器和模糊測試工具的人數(shù)穩(wěn)定。

黑客喜愛的目標(biāo)是什么

黑客最愛的目標(biāo)是網(wǎng)站、API和持有自己數(shù)據(jù)的技術(shù)。他們?nèi)匀蛔類蹚腤eb應(yīng)用中查找漏洞。70 %的受訪黑客表示最喜歡黑的產(chǎn)品或平臺依次是網(wǎng)站（72.8 %）、API、存儲自己數(shù)據(jù)的技術(shù)（3.7 %）、安卓應(yīng)用（3.7 %）、操作系統(tǒng)（3.5%）和可下載軟件（2.3 %）。

僅僅是因?yàn)殄X才當(dāng)黑客的嗎

經(jīng)濟(jì)收益無疑起著重要作用。然而，好奇心是永遠(yuǎn)不變的源動力。有些黑客只是為了“好玩”，而這個比例和只是為了賺錢的黑客比例幾乎相當(dāng)（14.3 %）。四分之一的黑客表示是為了幫助他人或做好事。

黑客選擇某個公司的原因是為了挑戰(zhàn)或?qū)W習(xí)（59.5 %）、喜歡某個公司（40.4 %）、該公司安全團(tuán)隊的響應(yīng)（36.4 %）、為了獲得最高賞金（31.9 %）、我用這種技術(shù)或里面有我的數(shù)據(jù)（31 %）等。

黑客最喜歡的攻擊向量、技術(shù)或方法

超過38 %的黑客的答案是XSS漏洞，其次是SQL注入、模糊測試、業(yè)務(wù)邏輯、信息收集、SSRF、RCE、枚舉、逆向工程、IDOR、暴力攻擊、注入、CSRF、驗(yàn)證、XXE和DDoS。

如何與平臺上的其他黑客建立連接一起工作

通過讀他們的博客和公開披露的漏洞報告占比最大，為33 %；而24.4 %的黑客表示不喜歡協(xié)作而喜歡單干；14.7 %的黑客表示在某些特殊項目或挑戰(zhàn)時進(jìn)行合作；9.9 %的人表示是他人的導(dǎo)師或是受其他黑客的引導(dǎo)；一直和其他黑客協(xié)作的占8.7 %；而作為團(tuán)隊成員和他人一起提交漏洞報告的占比7.4 %。

說到公司收到漏洞報告的反應(yīng)，一定程度上態(tài)度分為比較開放（36.5 %）、非常開放（32.2 %）和一般（17.6 %）。

首個百萬賞金富翁是誰

現(xiàn)年19歲的Santiago Lopez是在HackerOne平臺上獲得100萬美元賞金的第一人。他16歲時開始學(xué)習(xí)黑客技術(shù)，互聯(lián)網(wǎng)即是他的黑客學(xué)校，他從中查看并閱讀如何繞過或打破安全防御的材料。一年之后，他憑借一個CSRF漏洞獲得50美元的獎勵，而最大的獎勵是因發(fā)現(xiàn)SSRF漏洞而獲得的9 000美元。他用獲得的第一筆賞金買了一臺新電腦，之后又買了一輛車。

如今，他共發(fā)現(xiàn)了1 676個唯一漏洞，將報告提交給了很多大公司，如Verizon、Automattic、推特、HackerOne和一些私營企業(yè)，甚至還包括美國政府。目前他在HackerOne平臺上排名第二。

一言以蔽之，這是屬于黑客的時代。