高楓

近日，HackerOne平臺(tái)發(fā)布年報(bào)，內(nèi)容主要包括：黑客從哪里來，為何挖漏洞，最喜歡的黑客目標(biāo)和工具是什么，從哪里學(xué)習(xí)，為何要和他人協(xié)作等。另外，還公布了首位獲得百萬賞金的黑客，其年僅19歲且自學(xué)成才。

報(bào)告數(shù)據(jù)來自HackerOne的調(diào)查數(shù)據(jù)以及2018年12月和2019年1月Harris的調(diào)查數(shù)據(jù)，后者的數(shù)據(jù)來自100多個(gè)國家和地區(qū)超過3 667名黑客。HackerOne平臺(tái)數(shù)據(jù)來自成功在該平臺(tái)上報(bào)告過一個(gè)及以上有效漏洞的黑客，以及該平臺(tái)基于1 200多個(gè)漏洞獎(jiǎng)勵(lì)計(jì)劃和漏洞披露計(jì)劃的專有數(shù)據(jù)。

由黑客驅(qū)動(dòng)的安全正在全球范圍內(nèi)創(chuàng)造機(jī)會(huì)。頂級(jí)賞金獵人能夠賺取的年度賞金是其所在國軟件工程師年薪中位數(shù)的40倍。

“黑客向善”正在逐漸為大眾接受。Harris Poll調(diào)查數(shù)據(jù)顯示近64 %的美國人認(rèn)為并非所有的黑客都在使壞。

黑客從哪里來

黑客幾乎遍布全球每個(gè)角落。冰島、加納、斯洛伐克、阿魯巴、厄瓜多爾、印度，美國、俄羅斯、巴基斯坦和英國的黑客一樣意志堅(jiān)定、技能嫻熟、渴望成功，但后5個(gè)國家在黑客驅(qū)動(dòng)安全領(lǐng)域的地位不可撼動(dòng)。單是印度和美國的黑客數(shù)量就占了總數(shù)的30 %，2018年更是占比43 %。在黑客全球化的時(shí)代，黑客擁有新型且大量機(jī)會(huì)施展拳腳，而他們所需的不過是互聯(lián)網(wǎng)連接。

肯尼亞的黑客首次參與活動(dòng)，阿爾及利亞的參與人數(shù)較上一年翻了一番。印度連續(xù)2年成為黑客的最多來源地，超過6個(gè)非洲國家首次參與活動(dòng)。

哪個(gè)國家提供的賞金最多

截止2018年，HackerOne平臺(tái)共支付4 200多萬美元的賞金，8個(gè)國家的組織機(jī)構(gòu)貢獻(xiàn)了超過一半的賞金。美國和加拿大的組織機(jī)構(gòu)貢獻(xiàn)金額最多，其次是英國、德國、俄羅斯和新加坡。拿到最多賞金的黑客依次來自美國、印度、俄羅斯、未知來源、德國、加拿大、英國、瑞典、荷蘭和中國。

黑客賞金是普通程序員收入的多少倍

報(bào)告提供了黑客賞金與軟件工程師中位數(shù)年度收入對比數(shù)據(jù)。在阿根廷黑客賞金收入是軟件工程師的40.6倍、泰國是24.5倍、埃及是24.2倍、印度是17.6倍、中國香港是6.7倍、美國是6.4倍、瑞典是6.3倍、中國是6.2倍。

黑客人口統(tǒng)計(jì)狀況

90 %的黑客年齡低于35歲，而其中18～24歲年齡段的人略有增長。這群人占HackerOne平臺(tái)黑客總數(shù)的47 %，而且是唯一一個(gè)在數(shù)量方面逐年上漲的群體。但也不要小看年齡稍長的群體，35～49歲的群體數(shù)量在2018年占比超過9 %，而50～64歲的人群數(shù)量在2018年幾乎翻了一番。

80 %的人是自學(xué)成才，越來越多的黑客來自技術(shù)以外的行業(yè)，讓漏洞挖掘的領(lǐng)域充滿活力。40 %的人每周花費(fèi)20多個(gè)小時(shí)尋找漏洞。

81 %的黑客將網(wǎng)絡(luò)資源和博客作為主要的學(xué)習(xí)途徑，只有6 %的黑客完成了正規(guī)課堂或證書培訓(xùn)。

為何從事黑客活動(dòng)

或因興趣而起或是全職工作所需。多數(shù)是因?yàn)楦信d趣，很多人在全職工作結(jié)束或上完課后基本將時(shí)間和精力投入到挖漏洞中。四分之一的人將其當(dāng)作職業(yè)，僅有不到40 %的人是從事IT或技術(shù)行業(yè)，而在2017年，這個(gè)比例還是47 %。

三分之一的黑客每周花10個(gè)小時(shí)或更少的時(shí)間，不過這一比例在2018年比2017年有所下降。超過25%的黑客每周花費(fèi)30個(gè)小時(shí)或更多的時(shí)間。

區(qū)塊鏈黑客趨勢如何

近70家區(qū)塊鏈和密幣公司使用HackerOne平臺(tái)確保安全。2018年，這些公司收到的漏洞報(bào)告近3 000份。2018年HackerOne平臺(tái)上4%的賞金源自區(qū)塊鏈和密幣組織機(jī)構(gòu)。提供基于區(qū)塊鏈令牌的瀏覽器產(chǎn)品的公司Brave支付超過2.5萬美元的賞金，解決了近100個(gè)漏洞報(bào)告。

黑客從區(qū)塊鏈行業(yè)中獲得的賞金更高。2018年，所有與區(qū)塊鏈相關(guān)的公司支付的平均賞金是近1 500美元，比平臺(tái)的平均水平高出600美元左右。而區(qū)塊鏈黑客所獲得的賞金是其所在國家軟件工程師的工資中位數(shù)的7倍。

近30%的HackerOne平臺(tái)上的黑客具有6年或以上的經(jīng)驗(yàn)。而年齡并非唯一衡量經(jīng)驗(yàn)、技能或受教育水平。

最受歡迎的黑客工具是什么

2018年，黑客使用第三方本地代理工具的比例增長了67 %。Burp Suite是使用最多的工具（32.7%），使用Fiddler（14.7 %），Webinspect（11.1 %），ChipWhisperer（9.8 %）的黑客人數(shù)也在不斷增長。而使用網(wǎng)絡(luò)掃描器和模糊測試工具的人數(shù)穩(wěn)定。

黑客喜愛的目標(biāo)是什么

黑客最愛的目標(biāo)是網(wǎng)站、API和持有自己數(shù)據(jù)的技術(shù)。他們?nèi)匀蛔類蹚腤eb應(yīng)用中查找漏洞。70 %的受訪黑客表示最喜歡黑的產(chǎn)品或平臺(tái)依次是網(wǎng)站（72.8 %）、API、存儲(chǔ)自己數(shù)據(jù)的技術(shù)（3.7 %）、安卓應(yīng)用（3.7 %）、操作系統(tǒng)（3.5%）和可下載軟件（2.3 %）。

僅僅是因?yàn)殄X才當(dāng)黑客的嗎

經(jīng)濟(jì)收益無疑起著重要作用。然而，好奇心是永遠(yuǎn)不變的源動(dòng)力。有些黑客只是為了“好玩”，而這個(gè)比例和只是為了賺錢的黑客比例幾乎相當(dāng)（14.3 %）。四分之一的黑客表示是為了幫助他人或做好事。

黑客選擇某個(gè)公司的原因是為了挑戰(zhàn)或?qū)W習(xí)（59.5 %）、喜歡某個(gè)公司（40.4 %）、該公司安全團(tuán)隊(duì)的響應(yīng)（36.4 %）、為了獲得最高賞金（31.9 %）、我用這種技術(shù)或里面有我的數(shù)據(jù)（31 %）等。

黑客最喜歡的攻擊向量、技術(shù)或方法

超過38 %的黑客的答案是XSS漏洞，其次是SQL注入、模糊測試、業(yè)務(wù)邏輯、信息收集、SSRF、RCE、枚舉、逆向工程、IDOR、暴力攻擊、注入、CSRF、驗(yàn)證、XXE和DDoS。

如何與平臺(tái)上的其他黑客建立連接一起工作

通過讀他們的博客和公開披露的漏洞報(bào)告占比最大，為33 %；而24.4 %的黑客表示不喜歡協(xié)作而喜歡單干；14.7 %的黑客表示在某些特殊項(xiàng)目或挑戰(zhàn)時(shí)進(jìn)行合作；9.9 %的人表示是他人的導(dǎo)師或是受其他黑客的引導(dǎo)；一直和其他黑客協(xié)作的占8.7 %；而作為團(tuán)隊(duì)成員和他人一起提交漏洞報(bào)告的占比7.4 %。

說到公司收到漏洞報(bào)告的反應(yīng)，一定程度上態(tài)度分為比較開放（36.5 %）、非常開放（32.2 %）和一般（17.6 %）。

首個(gè)百萬賞金富翁是誰

現(xiàn)年19歲的Santiago Lopez是在HackerOne平臺(tái)上獲得100萬美元賞金的第一人。他16歲時(shí)開始學(xué)習(xí)黑客技術(shù)，互聯(lián)網(wǎng)即是他的黑客學(xué)校，他從中查看并閱讀如何繞過或打破安全防御的材料。一年之后，他憑借一個(gè)CSRF漏洞獲得50美元的獎(jiǎng)勵(lì)，而最大的獎(jiǎng)勵(lì)是因發(fā)現(xiàn)SSRF漏洞而獲得的9 000美元。他用獲得的第一筆賞金買了一臺(tái)新電腦，之后又買了一輛車。

如今，他共發(fā)現(xiàn)了1 676個(gè)唯一漏洞，將報(bào)告提交給了很多大公司，如Verizon、Automattic、推特、HackerOne和一些私營企業(yè)，甚至還包括美國政府。目前他在HackerOne平臺(tái)上排名第二。

一言以蔽之，這是屬于黑客的時(shí)代。