记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Bugcrowd漏洞众测30月报告

2015-08-07 01:15

有许多种措施可以用来提高安全防护水平,漏洞奖励就是其中之一。现在,许多大型IT或互联网企业普遍都建立起自己的安全应急响应中心(SRC)。而且,为了最小化运营漏洞奖励项目的工作成本,越来越多的机构开始将这些工作外包给第三方,即众测服务

640.webp

上个月底,国外漏洞众测机构Bugcrowd发布了一份回顾30个月来漏洞奖励情况的报告。报告显示,从2013年1月起至2015年6月止,Bugcrowd的客户总共付出72.4万美元给566位提交漏洞的白帽子。每个得到认可的漏洞平均价值200美元,最高漏洞奖励为1万美元,奖给一个跨站伪造请求(CRSF)漏洞的发现者。最常见的漏洞为跨站脚本漏洞(XSS),占全部漏洞的17.9%。

一个有趣的现象,在全世界提交漏洞的白帽子当中,印度是季度提交漏洞最多的国家。下面我们就来看看这份漏洞奖励状况报告的主要内容:

1. 私邀式漏洞奖励增长迅速

640.webp (1)

Bugcrowd平台同时接受公开和私邀两种漏洞众测服务。在过去的30个月中,后者的漏洞提交成功率达到36.1%,而前者仅为18%。

2. 印度成为漏洞提交最多的国家

640.webp (2)

在季度统计中,印度为漏洞提交最多的国家,然后是美国和英国。

3. XSS为最常见的漏洞类型

640.webp (3)

如图,XSS漏洞占总提交数的17.9%,CRSF占8.2%。但值得注意的是,漏洞类型正在多样化,“其它”类型漏洞排第一占到了67.7%。

4. 在“其它”中信息泄露漏洞最多

640.webp (4)

5. 每个漏洞平均价值200美元

640.webp (5)

每个漏洞的价值不同,2015年的漏洞平均价值为200美元,2013年则是180美元。

6. 最高奖励为1万美元

640.webp (6)

这个最高奖励是在2014年第二季度给出的,是一个CSRF漏洞。

7. 总奖金达到72.4万美元

640.webp (7)

在30个月的时间里,Bugcrowd的众测客户共付出72.4万美元给566位不同的白帽子。

(国内众测服务提供商乌云的白帽子数量有5800名左右,已帮助企业发现漏洞数量近2万个,其中能导致企业核心数据泄露以及资金被盗等高危漏洞3700个。)

8. 白帽子背景和专长

640.webp (8)

白帽子挖漏洞的动机和专长各不相同,跨越包括各种IT技术领域和软硬件。

白帽子由3种关键因素衡量,这3种因素互为影响:

1. 信任

这是白帽子最重要的品质,尤其是在信息系统敏感度较高的场景下。因此,众测平台一个重要的作用就是保证白帽子的可信度。

2. 技能

漏洞提交的成功率和提交漏洞的严重程度,反映了白帽子的技术水平和个人能力。

3. 频率

白帽子提交漏洞的活跃度也很重要,它反映了该研究人员是否可长期从事这项工作。

相关阅读漏洞奖励开始流行 金融机构止步不前?2015年漏洞奖励计划大盘点漏洞众测--人类自动化的力量漏洞到底应该怎样披露?

 

知识来源: www.aqniu.com/news/9296.html

阅读:90706 | 评论:0 | 标签:动态 漏洞众测 白帽 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“Bugcrowd漏洞众测30月报告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词