《2020中国白帽子调查报告》出炉 | FreeBuf咨询 x 漏洞盒子

2021-02-08 10:41:41 浏览数 (1)

在互联网时代的安全江湖中,有一群武功高强、行侠仗义的“白帽子”,他们热衷于研究网络与计算机,善于发现安全漏洞,并及时将漏洞提交给企业协助修复,在锻炼自己能力的同时也能获取企业反馈的奖励与致谢。在外界看来,这是一群神秘的正义的代表。然而,和普通人一样,他们也有自己的工作和生活,也需要通过学习不断积累,加强自身的挖洞能力。

因此,FreeBuf咨询联合漏洞盒子通过数百份问卷调查和详细的数据统计推出这份《2020中国白帽子调查报告》(以下简称报告),将为大家揭开这群身怀绝技人群的神秘面纱。

据统计,2020年国内白帽子总数已超过14万人。截至报告发布前,国内的白帽子们已经帮助超过6000个客户组织发现并修复了超过70万个漏洞,共获取超过3000万元漏洞赏金。此外,本报告不仅为大家展示国内白帽子的真实现状,还将回顾2020年的漏洞统计数据,以供参考。

年龄分布

白帽子人群的最大特征就是“年轻化”,正所谓“英雄少年”,从调查结果可以看到,17岁以下的白帽子比例为1.1%。其次,18-25岁的人群占比最高,达到58.4%,但相比去年的67.4%,有所降低。26-35岁的人群占比达38.2%。而36岁以上的白帽子仍存“老将风范”,占比约为2.3%。

地域分布

“五湖四海皆白帽”,调查结果显示,白帽子的分布呈现广撒网和区域性集中趋势,主要来自广东、北京,占比分别达到23.8%和21.5%,两个地方合在一起,真的可以说是白帽的“半壁江山”了。当然,上海、四川、广西、江苏、河南也是白帽子主要分布的聚集地。

教育/就职情况

从学历上来说,国内有学历的白帽大多是本科出身,这一比例高达66.3%,本科学历以下占比达29.2%,硕士和博士白帽占比达4.5%。

在调查对象中有部分为学生群体,13.5%的白帽子尚未毕业。已就业的白帽子中,乙方安全从业人员居多,占比达50.6%,甲方安全从业人员占比达22.5%。由此可见,70%以上的白帽子都从事与安全相关岗位。

年收入

调查结果中近30%的白帽子无固定收入,或许也是因为部分人群还处在求职/实习的状态。此外,28.1%的白帽子年收入在5-15万之间,21.3%在15-30万之间,10.1%在5万元以下。年收入过百万的白帽大佬占比为1.1%。

漏洞赏金

24.7%的白帽子能拿到1万-5万的赏金,其次是2000-5000,占比20.2%,18%的人群能获得5万-10万的赏金。数据结果显示的漏洞赏金差距还是比较大的,或许和挖洞姿势有关?

常用的挖洞工具

和去年的调查结果相似,今年白帽子常用的五大挖洞工具中,BurpSuite、SQLmap、Nmap、中国菜刀仍榜上有名,Fiddler为“新晋宠儿”。此外,8.9%的白帽子喜欢御剑扫描器。

擅长的挖洞类型

调查结果显示,白帽子擅长的挖洞类型中,8.2%的逻辑漏洞占比最高,其次是XSS,占比为7.5%。

挖洞的行业偏好

对于挖洞的行业偏好,白帽子更倾向于选择互联网/IT行业,调查结果显示为14.3%,这和行业资源集中、漏洞价值高等因素息息相关。其次是教育/政府/事业单位,12.1%的白帽子选择这个行业,或许是因为其更高的关注度和重视程度。

热门漏洞类型

如果说白帽是一群网络安全的江湖侠客,那么漏洞或许就是他们的“惩奸除恶”的对象。白帽爱挖哪类漏洞?哪类漏洞最让白帽趋之若鹜?以下是2020年的漏洞年报数据,以供白帽或是安全从业者参考。

提及热门漏洞类型,当属SQL注入,漏洞占比为36%,弱口令漏洞紧随其后,约为31%,信息泄露、XSS、命令&代码执行位居第三至五位。

漏洞危害等级分布

2020年半数以上都为高危漏洞,高达52%,中低危漏洞均占比24%。高危漏洞如此之多,不禁让人深思,如果被不法分子利用,又该如何防范?

年度安全漏洞

安全事件常与安全漏洞息息相关,2020年Zoom的数据泄露风波至今似乎仍历历在目,而Zoom产品背后的漏洞无疑成为了今年最热门的漏洞,波及面广且影响巨大。其他热门漏洞还包含通达OA漏洞、Fastjson执行漏洞等。

安全产品漏洞

去年攻防演练曝出大量安全产品自身漏洞,“安全产品本身的安全问题”关注度骤升,一时间成为安全圈的热门话题。根据CNVD公开统计数据显示,近十年来,国外安全产品漏洞数量较多,约为1459个,占比为70%,而国内安全产品漏洞发布428个,占比为20%。此外,国内外安全产品重合漏洞210个,占比为10%。

安全建议

漏洞的防范和规避是企业安全工作的一部分,然而,安全建设不可“管中窥豹”,应从全局视角来考量。因此,漏洞盒子为企业提供了一些安全建议,以供参考。

关于FreeBuf咨询

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是网络安全从业者与爱好者广泛关注的行业社区平台。 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务。

关于漏洞盒子

漏洞盒子,高效的网络安全测试服务平台,国内安全众测模式的创新者和领导者。连接全球安全专家资源与自有团队,通过再现真实环境进行漏洞挖掘,为企业用户提供高效、透明的新一代安全服务解决方案。 截至2020年12月,漏洞盒子注册白帽子已达8万余名,发现漏洞数超过69万个。被国家计算机网络应急技术处理协调中心(CNCERT)、国家信息安全漏洞库(CNNVD)、上海市委网信办分别评定为网络安全应急服务支撑单位(省级)、优秀技术支撑单位、和网络安全技术支撑单位。

0 人点赞