HackerOne
专门代管各种抓漏专案(bug bounty)的HackerOne本周公布了 「基于骇客能力的安全报告」(Hacker-Powered Security Report ),探讨抓漏专案的现况,指出针对重要漏洞的平均奖金不断增高,且有41%的抓漏专案是由非科技业者所发起的。
抓漏专案最早源自于1983年的Hunter Ready,但当时并未受到太多关注,而Netscape在1995年複製了该模式,再由微软、Google、脸书及Mozilla等业者负责发扬光大。HackerOne蒐集了该平台逾800个抓漏专案的资料,涉及近5万个被解决的安全漏洞与13个产业,一窥现阶段的全球抓漏趋势。
HackerOne把抓漏专案称为基于骇客能力的安全机制,因为它鼓励外部的骇客社群挖掘企业系统中未知的安全漏洞,并提供奖金。
调查发现,在去年发起的抓漏专案中,有41%来自非科技产业,且业者回应安全问题的平均天数从去年的7天缩短到今年的6天,重要漏洞的平均奖金从2015年的1624美元提高到今年的1923美元,而提出高额奖金的抓漏专案平均每月支付5万美元,其中有些每年支付近90万美元。
科技产业迄今仍是抓漏专案的最大雇主,但所佔比例逐年缩小,从2014~2015年的72%到2015~2016年的61%,一直到2016~2017的59%,显示抓漏趋势已从科技产业延伸至其他产业,其中,媒体暨娱乐业与金融业都各佔了10%,并有6%来自零售业、旅游饭店业与医疗照护产业各佔3%,运输业及政府也各佔了2%。
从去年1月到今年5月间,採用抓漏专案成长最快的行业别则是零售业与游戏产业,分别成长了76%与75%。
另一方面,最常被抓到的漏洞为跨站指令码(Cross-site Scripting)漏洞,几乎在每个产业都居冠,除了金融与服务业以外。金融与服务业经由抓漏专案而修补的漏洞中,以不适当的认证机制为首,佔了22%,其次才是佔19%的跨站指令码漏洞。
其他常见的漏洞还包括资讯揭露、违反安全设计準则及跨站伪造请求(Cross-Site Request Forgery,CSRF)。
从去年1月到今年5月,藉由HackerOne发动抓漏专案的业者总计支付了逾1700万美元的奖金,光是今年就发出1000万奖金。而每个产业所设定的最高抓漏奖金亦有所不同,其中以科技业的3万美元最多,而零售、游戏与媒体暨娱乐业的最高抓漏奖金都是2万美元。
另一个有趣的数据是获得奖金的研究人员分布区域(下图,来源:HackerOne),得到最多抓漏奖金的研究人员依序来自美国、印度、澳洲、俄国与瑞典。其中,美国的研究人员赚到了逾240万美元的奖金,印度研究人员也得到了逾180万美元的奖金,澳洲的研究人员则以略超出100万美元的奖金位居第三。
I 相关 / Other
6月29日,由工业和信息化部、北京市人民政府共同主办的2017中国国际软件博览会于北京拉开帷幕。现场,阿里云业务总经理刘松介绍了此次软博会上阿里巴巴展示的诸多"普惠科技",包括服务全球的超大规模通用计算操作系统
证监会网站昨日晚间披露的《创业板发审委2017年第52次会议审核结果公告》 显示,山东双一科技股份有限公司(以下简称“双一科技”)IPO获通过,保荐机构是华泰联合证券。双一科技IPO过会 公开资料显示,双一科技是一
拓展数位金融版图另辟新路,一银结盟POS业者,合推整合型行动POS装置抢攻O2O新零售业
第一银行为了拓展金融版图,也跨出抢攻新零售市场的第一步。一银和台湾POS机业者宏誌科技去年合资成立的腾云科技,在6月28日正式推出一款整合多种支付型态的All-in-One行动POS机TC-8,以及用来管理支付帐务的云端服务
在首届世界智能大会上,百度董事长李彦宏刚谈完人工智能,柳传志就说他要为PC做个广告。6月29日,在天津举办的首届世界智能大会上,联想控股董事长柳传志称,要重点说说PC(个人电脑),"第一,PC确实是今天互联网、
本报记者贾丽6月28日,对于乐视网(30.680,0.00,0.00%)创始人、董事长贾跃亭而言是重要的一天。在这天里,乐视的股东大会如期召开,贾跃亭要面对股东,坦诚总结过去,坚定投资人的信心。毕竟,在过去的一段时间里,乐