HackerOne报告：白帽收入最高竟是普通程序员的40倍

HackerOne 平台发布年报，内容主要包括：黑客从哪里来？为何挖漏洞？最喜欢的黑客目标和工具是什么？从哪里学习？为何要和他人协作等等。另外，还公布了首位获得百万赏金的黑客年仅19岁且自学成才。

报告数据来自 HackerOne 调查数据以及2018年12月以及2019年1月的 Harris 调查数据，后者的数据来自100多个国家和地区超过3667名黑客。HackerOne 平台数据来自成功地在该平台上报告过一个及以上有效漏洞的黑客，以及该平台基于1200多个漏洞奖励计划和漏洞披露计划的专有数据。主要研究结论如下：

报告指出，HackerOne 平台的注册黑客人数已突破30万人，提交的有效漏洞总计超过10万个，支付的漏洞奖励金超过4200万美元。单在2018年，漏洞赏金总额即超过1900万美元，几乎是之前所有年份赏金的总和。

印度和美国仍然是最多的黑客聚集地，超过6个非洲国家在2018年首次参与该平台活动。

由黑客驱动的安全正在全球范围内创造机会。顶级赏金猎人能够赚取的年度赏金是其所在国软件工程师年薪中位数的40倍。

黑客培训活动发生在传统教室之外的地方。81%的黑客表示是通过博客以及学材料如公开披露的漏洞报告等学习技能的。仅有6%的黑客是通过传统教室或黑客证书入行的。

“黑客向善”正在逐渐为大众接受。Harris Poll 调查数据显示近三分之二的美国人（64%）认为并非所有的黑客都在使坏。

黑客从哪里来？
黑客几乎遍布全球每个角落。冰岛、加纳、斯洛伐克、阿鲁巴和厄瓜多尔的黑客和印度、美国、俄罗斯、巴基斯坦和英国的黑客一样意志坚定、技能娴熟、渴望成功，但后五个国家在黑客驱动安全领域的地位不可撼动。单是印度和美国的黑客数量就占据了总数的30%，2018年更是占比43%。在黑客全球化的时代，黑客拥有新型且大量机会施展拳脚，而他们所需的不过是互联网连接。

肯尼亚的黑客首次参与活动，阿尔及利亚的参与人数较上一年翻了一番。印度连续两年成为黑客的最多来源地，超过6个非洲国家首次参与活动。

哪个国家提供的赏金最多？拿到的赏金最多？

截止2018年，HackerOne 平台共支付4200多万美元的赏金，8个国家的组织机构贡献了超过一半的赏金。美国和加拿大的组织机构贡献金额最多，其次是英国、德国、俄罗斯和新加坡。拿到最多赏金的黑客依次来自美国、印度、俄罗斯、未知来源、德国、加拿大、英国、瑞典、荷兰和中国。

黑客赏金是普通程序员收入的多少倍？

报告提供了黑客赏金与软件工程师中位数年度收入对比数据。在阿根廷，黑客赏金收入是软件工程师的40.6倍、泰国是24.5倍、埃及是24.2倍、印度是17.6倍、中国香港是6.7倍、美国是6.4倍、瑞典是6.3倍、中国是6.2倍。

黑客人口统计状况

90%的黑客年龄低于35岁，而其中18-24年龄段的人略有增长。这群人占 HackerOne 平台黑客总数的47%，而且是唯一一个在数量方面逐年上涨的群体。但也不要小看年龄稍长的群体，35-49岁的群体数量在2018年占比超过9%，而50-64岁的人群数量在2018年几乎翻了一番。

80%的人是自学成才，越来越多的黑客来自技术以外的行业，让漏洞挖掘的领域充满活力。40%的人每周花费20多个小时寻找漏洞。

81%的黑客将网络资源和博客作为主要的学习途径，只有6%的黑客完成了正规课堂或证书培训。

为何从事黑客活动？或因兴趣而起或是全职工作所需。多数是因为感兴趣，很多人在全职工作结束或上完课后基本将时间和精力投入到挖漏洞中。四分之一的人将其当作职业，仅有不到40%的人是从事IT或技术行业，而在2017年，这个比例还是47%。

三分之一的黑客每周花10个小时或更少的时间，不过这一比例在2018年比2017年有所下降。越来越多（超过25%）的黑客每周花费30个小时或更多的时间。

区块链黑客趋势如何？

近70家区块链和密币公司使用 HackerOne 平台确保安全。2018年，这些公司收到的漏洞报告近3000份。2018年HackerOne平台上4%的赏金源自区块链和密币组织机构。提供基于区块链令牌的浏览器产品的公司 Brave 支付超过2.5万美元的赏金，解决了近100个漏洞报告。

黑客从区块链行业中获得的赏金更高。2018年，所有与区块链相关的公司支付的平均赏金是近1500美元，比平台的平均水平高出600美元左右。而区块链黑客所获得的赏金是其所在国家软件工程师的工资中位数的7倍。

近30%的 HackerOne 平台上的黑客具有6年或以上的经验。而年龄并非唯一衡量经验、技能或受教育水平。

最受欢迎的黑客工具是什么？

2018年，黑客使用第三方本地代理工具的比例增长了67%。Burp Suite 是使用最多的工具 (32.7%)，而使用Fiddler (14.7%)、Webinspect (11.1%)、ChipWhisperer (9.8%) 的黑客人数也在不断增长。而使用网络扫描器和模糊测试工具的人数稳定。

黑客宠爱的目标是什么？

黑客最爱的目标是网站、API 和持有自己的数据的技术。他们仍然最爱从 web 应用中查找漏洞。70%的受访黑客表示最喜欢黑的产品或平台依次是网站 (72.8%)、API、存储自己数据的技术 (3.7%)、安卓应用 (3.7%)、操作系统 (3.5%) 和可下载软件 (2.3%)。

仅仅是因为钱才当黑客的吗？

经济收益无疑起着重要作用。然而，好奇心是永远不变的源动力。有些黑客只是为了“好玩”，而这个比例和只是为了赚钱的黑客比例几乎相当 (14.3%)。四分之一的黑客表示是为了帮助他人或做好事。

黑客选择某个公司的原因是为了挑战或学习 (59.5%)、喜欢某个公司 (40.4%)、该公司安全团队的响应 (36.4%)、为了获得最高赏金 (31.9%)、我用这种技术或里面有我的数据 (31%)等。

黑客最喜欢的攻击向量、技术或方法是什么？

超过38%的黑客的答案是 XSS 漏洞，其次是 SQL 注入、模糊测试、业务逻辑、信息收集、SSRF、RCE、枚举、逆向工程、IDOR、暴力攻击、注入、CSRF、验证、XXE、DDoS。

如何和平台上的其他黑客建立连接一起工作？

通过读他们的博客和公开披露的漏洞报告占比最大，为33%；而24.4%的黑客表示不喜欢协作而喜欢单干；14.7%的黑客表示在某些特殊项目或挑战时进行合作；9.9%的人表示是他人的导师或是受其他黑客的引导；一直和其他黑客协作的占据8.7%，而作为团队成员和他人一起提交漏洞报告的占比7.4%。

说到公司收到漏洞报告的反应，一定程度上态度比较开放 (36.5%)、非常开放 (32.2%)、一般 (17.6%)。

首个百万赏金富翁是谁？

现年19岁的 Santiago Lopez 是在 HackerOne 平台上获得100万美元赏金的第一人。他16岁时开始学习黑客技术，互联网即是他的黑客学校，他从中查看并阅读如何绕过或打破安全防御的材料。一年之后，他凭借一个 CSRF 漏洞获得50美元的奖励，而最大的奖励是因发现SSRF漏洞而获得的9000美元。他用获得的第一笔赏金买了一台新电脑，之后又买了一辆车。

如今，他共发现了1676个唯一漏洞，将报告提交给了很多大公司，如 Verizon、Automattic、推特、HackerOne和一些私营企业、甚至还包括美国政府。目前他在 HackerOne 平台上排名第二。

一言以蔽之，这是属于黑客的时代。

​最后

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！