Bugcrowd漏洞众测30月报告
作者: 日期:2015年08月06日 阅:2,335

有许多种措施可以用来提高安全防护水平,漏洞奖励就是其中之一。现在,许多大型IT或互联网企业普遍都建立起自己的安全应急响应中心(SRC)。而且,为了最小化运营漏洞奖励项目的工作成本,越来越多的机构开始将这些工作外包给第三方,即众测服务

640.webp

上个月底,国外漏洞众测机构Bugcrowd发布了一份回顾30个月来漏洞奖励情况的报告。报告显示,从2013年1月起至2015年6月止,Bugcrowd的客户总共付出72.4万美元给566位提交漏洞的白帽子。每个得到认可的漏洞平均价值200美元,最高漏洞奖励为1万美元,奖给一个跨站伪造请求(CRSF)漏洞的发现者。最常见的漏洞为跨站脚本漏洞(XSS),占全部漏洞的17.9%。

一个有趣的现象,在全世界提交漏洞的白帽子当中,印度是季度提交漏洞最多的国家。下面我们就来看看这份漏洞奖励状况报告的主要内容:

1. 私邀式漏洞奖励增长迅速

640.webp (1)

Bugcrowd平台同时接受公开和私邀两种漏洞众测服务。在过去的30个月中,后者的漏洞提交成功率达到36.1%,而前者仅为18%。

2. 印度成为漏洞提交最多的国家

640.webp (2)

在季度统计中,印度为漏洞提交最多的国家,然后是美国和英国。

3. XSS为最常见的漏洞类型

640.webp (3)

如图,XSS漏洞占总提交数的17.9%,CRSF占8.2%。但值得注意的是,漏洞类型正在多样化,“其它”类型漏洞排第一占到了67.7%。

4. 在“其它”中信息泄露漏洞最多

640.webp (4)

5. 每个漏洞平均价值200美元

640.webp (5)

每个漏洞的价值不同,2015年的漏洞平均价值为200美元,2013年则是180美元。

6. 最高奖励为1万美元

640.webp (6)

这个最高奖励是在2014年第二季度给出的,是一个CSRF漏洞。

7. 总奖金达到72.4万美元

640.webp (7)

在30个月的时间里,Bugcrowd的众测客户共付出72.4万美元给566位不同的白帽子。

(国内众测服务提供商乌云的白帽子数量有5800名左右,已帮助企业发现漏洞数量近2万个,其中能导致企业核心数据泄露以及资金被盗等高危漏洞3700个。)

8. 白帽子背景和专长

640.webp (8)

白帽子挖漏洞的动机和专长各不相同,跨越包括各种IT技术领域和软硬件。

白帽子由3种关键因素衡量,这3种因素互为影响:

1. 信任

这是白帽子最重要的品质,尤其是在信息系统敏感度较高的场景下。因此,众测平台一个重要的作用就是保证白帽子的可信度。

2. 技能

漏洞提交的成功率和提交漏洞的严重程度,反映了白帽子的技术水平和个人能力。

3. 频率

白帽子提交漏洞的活跃度也很重要,它反映了该研究人员是否可长期从事这项工作。

相关阅读 漏洞奖励开始流行 金融机构止步不前? 2015年漏洞奖励计划大盘点 漏洞众测--人类自动化的力量 漏洞到底应该怎样披露?

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章