难以想象，白帽的收入居然高这么多

瓦罗兰特顶级C位

已于 2024-01-29 21:40:19 修改

阅读量207

点赞数

分类专栏：编程网络安全转行文章标签：网络安全物联网网络安全 web安全

于 2023-03-07 17:13:29 首次发布

本文链接：https://blog.csdn.net/Wufjsjjx/article/details/129386548

版权

网络安全同时被 3 个专栏收录

155 篇文章 4 订阅

订阅专栏

编程

140 篇文章 0 订阅

订阅专栏

转行

84 篇文章 0 订阅

订阅专栏

日前看了一篇HackerOne 平台发布的年报，其主要内容有：

●黑客从哪里来？
●为何挖漏洞？
●最喜欢的黑客目标和工具是什么？
●从哪里学习？
●为何要和他人协作等等…

其中还公布了首位获得百万赏金的黑客，值得一提的是，该黑客大佬年仅19岁还是自学成才！

数据来源

该报告的数据源自于HackerOne 相关调查数据，以及Harris 2018年12月和2019年1月的调查。

HackerOne 的数据是来自于成功在平台上报告过有效漏洞的黑客，以及HackerOne平台基于1200多个漏洞奖励计划和漏洞披露计划的专有数据。

Harris 的数据来自100多个国际和地区，合计超过3667名黑客。

主要研究结论

1、顶级赏金猎人能够赚取的年度赏金是其所在国软件工程师年薪中位数的40倍。
2、HackerOne 平台的注册黑客人数已突破30万人，提交的有效漏洞总计超过10万个，支付的漏洞奖励金超过4200万美元。单在2018年，漏洞赏金总额超过1900万美元，几乎是之前所有年份赏金的总和。
3、印度和美国仍然是最多的黑客聚集地，超过6个非洲国家在2018年首次参与该平台活动。
4、由黑客驱动的安全正在全球范围内创造机会。
5、黑客培训活动发生在传统教室之外的地方。
6、81%的黑客表示是通过博客以及学材料（如公开披露的漏洞报告等）学习技能的。仅有6%的黑客是通过传统教室或黑客证书入行的。
**7、“黑客向善”正在逐渐为大众接受。**Harris Poll 调查数据显示近三分之二的美国人（64%）认为并非所有的黑客都在使坏。

黑客从哪里来？

现代社会，黑客的脚步几乎遍布全球每个角落。
印度、美国、俄罗斯、巴基斯坦和英国这五个国家在黑客驱动安全领域的地位几乎不可撼动。
冰岛、加纳、斯洛伐克、阿鲁巴和厄瓜多尔的黑客也有同样坚定的意志、技能娴熟、一样渴望成功。
单单是印度和美国的黑客数量就占了总数的30%，2018年占比更是高达43%。
在黑客全球化的时代，黑客拥有新型技术且有大量机施展拳脚的会，只需要连接互联网，他们就能做很多事情。
肯尼亚的黑客首次参与活动，阿尔及利亚的参与人数较上一年翻了一番。
印度连续两年成为黑客的最多来源地，超过6个非洲国家首次参与活动。

哪个国家提供的赏金最多？拿到的赏金最多？

数据统计，截止2018年HackerOne 平台共支付赏金4200多万美元，8个国家的组织机构拿到了超过一半的赏金。
美国和加拿大最多，其次是英国、德国、俄罗斯以及新加坡。
拿到最多赏金的黑客依次来自美国、印度、俄罗斯、未知来源、德国、加拿大、英国、瑞典、荷兰和中国。

黑客赏金猎人与普通程序员的收入对比

报告中给出了黑客赏金猎人与软件工程师中位数年度收入对比数据。
阿根廷，黑客赏金收入是软件工程师的40.6倍
泰国是24.5倍
埃及是24.2倍
印度是17.6倍
中国香港是6.7倍
美国是6.4倍
瑞典是6.3倍
中国是6.2倍

黑客人口统计状况

黑客年龄普遍低于35岁约占90%，其中18-24年龄段的人略有增长，这群人占 HackerOne 平台黑客总数的47%，而且数量逐年上涨。
对于年龄稍长的群体也不能小看，35-49岁的群体数量在2018年占比超过9%，而50-64岁的人群数量在2018年几乎翻了一倍。
80%的人是自学成才
越来越多的黑客来自其他的行业，让漏洞挖掘的领域充满活力。
40%的人每周花费20多个小时寻找漏洞。
81%的黑客将网络资源和博客作为主要的学习途径，只有6%的黑客完成了正规课堂或证书培训。

为何从事黑客活动？

一是兴趣
二是工作需要
当然，大多数都是因为兴趣支撑。很多人下班或者上完课后基本将时间和精力投入到挖漏洞的事业当中。
四分之一的人将其当作职业，仅有不到40%的人是从事IT或技术行业，比2017年降低了7%。
超过25%的黑客每周花费30个小时或更多的时间从事黑客活动。
近30%的 HackerOne 平台上的黑客具有6年或以上的经验。但是年龄并非唯一衡量经验、技能或受教育的水平。

最受欢迎的黑客工具是什么？

2018年，黑客使用第三方本地代理工具的比例增长了67%。
Burp Suite 是使用最多的工具 (占比32.7%)
使用Fiddler (14.7%)
使用Webinspect (11.1%)
使用ChipWhisperer (9.8%)
以上4个工具使用的黑客人数在不断增长。
相比而言，使用网络扫描器和模糊测试工具的人数比较稳定。

黑客钟爱目标是什么

网站、API 和持有自己的数据的技术是黑客钟爱的目标！
web漏洞依然是他们的最爱。
在受访的黑客中，有70%表示最喜欢黑的产品或平台依次是：
网站 (72.8%)
API（6.8%）
存储自己数据的技术 (3.7%)
安卓应用 (3.7%)
操作系统 (3.5%)
可下载软件 (2.3%)。

当黑客只是为了钱吗？

在黑客活动中，经济收益无疑占着大比重。
然而，好奇心是驱使一切的原动力。
有些黑客单纯是为了“好玩”，和为了赚钱的黑客占比相差无几(14.3%)。
有四分之一的黑客表示是为了帮助他人或做好事。

黑客选择某个公司的原因占比

挑战或学习 (59.5%)
喜欢某个公司 (40.4%)
该公司安全团队的响应 (36.4%)
为了获得最高赏金 (31.9%)
我用这种技术或里面有我的数据 (31%)等。

黑客最喜欢的攻击向量、技术或方法是什么

超过38%的黑客的答案是 XSS 漏洞
其次是：
SQL 注入
模糊测试
业务逻辑
逆向工程
信息收集
SSRF
RCE
枚举
暴力攻击
IDOR
注入
XXE
CSRF
验证
DDoS

如何和平台上的其他黑客建立连接一起工作？

33%通过读其他黑客的博客和公开披露的漏洞报告
24.4%的黑客表示不喜欢协作而喜欢单干；
14.7%的黑客表示在某些特殊项目或挑战时进行合作；
9.9%的人表示是他人的导师或是受其他黑客的引导；
8.7%的人一直和其他黑客协作的；
7.4%作为团队成员和他人一起提交漏洞报告。

公司收到漏洞报告的反应

36.5%一定程度上态度比较开放
32.2%非常开放
17.6%态度一般

首个百万赏金是何方神圣？

Santiago Lopez是在 HackerOne 平台上获得100万美元赏金的第一人，当时他才19岁。

他16岁时开始学习黑客技术，互联网即是他的黑客学校，他在网上学习如何绕过或打破安全防御。
一年之后，他凭借一个 CSRF 漏洞获得50美元的奖励，期间最大的奖励是因发现SSRF漏洞而获得的9000美元。
他用获得的第一笔赏金买了一台新电脑，之后又买了一辆车。
如今，他共发现了1676个唯一漏洞，将报告提交给了很多大公司，如 Verizon、Automattic、推特、HackerOne和一些私营企业、甚至还包括美国政府。
目前他在 HackerOne 平台上排名第二。