freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

HackerOne漏洞赏金计划在2017年总共支付了1100万美元
2018-07-24 13:00:02

根据HackerOne发布的2018年HackerOne安全报告显示,去年在HackerOne上提交过漏洞的白帽黑客们总共已经挣了超过1100万美元了。

a.png

在去年,HackerOne总共上线了大约1000个漏洞奖励计划,并从来自100多个国家的安全研究人员手中收到了超过72000份漏洞报告。从HackerOne成立到2018年6月份,HackerOne总共已经向研究人员支付了3100万美元。其中,有超过2500万美元的漏洞奖金是由美国境内的组织提供的。

根据HackerOne提供的数据,去年提交的116份漏洞报告就占掉了1万美金的奖金支出,公司给关键安全漏洞支付的平均漏洞奖金也已经增加到了2000美元,而像微软和英特尔这样的科技公司提供的漏洞奖金已经增加到了25万美元之多。

下图显示的是每一个行业为关键安全漏洞提供的平均漏洞奖金:

b.png

随着行业的发展,越来越多的公司开始推出自己的公开漏洞奖励计划了,但去年仍有将近80%的漏洞奖励计划是非公开的。大部分公开的漏洞奖励计划都是由科技公司发起的,这部分占了总数的63%。

在新增加的漏洞奖励计划中,政府部门发布的项目占了很大一部分,随着欧盟委员会和新加坡国防部都推出了自己的漏洞奖励计划之后,美国政府也推出了相应的漏洞奖励计划,例如他们会奖励那些成功入侵美国空军系统陆军系统的黑客。

根据报告的内容,去年上报的有效漏洞总数约为27000个,跨站脚本漏洞(XSS)仍然是最常见的安全漏洞类型,其次则是信息披露漏洞。

关于漏洞修复时间方面,消费品行业的平均漏洞修复时间是最短的,平均为14天。而与之相比,政府部门的平均漏洞修复时间就要长很多了,平均为68天。

去年支付的漏洞奖金最高为75000美元,这是一家科技公司给三个组合漏洞支付的漏洞奖金。据了解,攻击者可利用这三个漏洞组合成一条漏洞利用链,并在无需用户交互的情况下实现远程代码执行。一旦成功利用,攻击者将能够远程访问用户的信用卡数据,劫持用户账号和员工账号,访问基础设施代码,甚至发动大规模勒索软件攻击。

HackerOne提供的2018年Hacker-Powered安全报告完整版可以点击【这里】获取。

* 参考来源:securityweek,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# 漏洞赏金 # HackerOne
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者