2019 HackerOne黑客报告：白帽收入最高竟是普通程序员的40倍(2)

黑客从区块链行业中获得的赏金更高。2018年，所有与区块链相关的公司支付的平均赏金是近1500美元，比平台的平均水平高出600美元左右。而区块链黑客所获得的赏金是其所在国家软件工程师的工资中位数的7倍。

近30%的 HackerOne 平台上的黑客具有6年或以上的经验。而年龄并非唯一衡量经验、技能或受教育水平。

最受欢迎的黑客工具是什么?

2018年，黑客使用第三方本地代理工具的比例增长了67%。Burp Suite 是使用最多的工具 (32.7%)，而使用Fiddler (14.7%)、Webinspect (11.1%)、ChipWhisperer (9.8%) 的黑客人数也在不断增长。而使用网络扫描器和模糊测试工具的人数稳定。

黑客宠爱的目标是什么?

黑客最爱的目标是网站、API 和持有自己的数据的技术。他们仍然最爱从 web 应用中查找漏洞。70%的受访黑客表示最喜欢黑的产品或平台依次是网站 (72.8%)、API、存储自己数据的技术 (3.7%)、安卓应用 (3.7%)、操作系统 (3.5%) 和可下载软件 (2.3%)。

仅仅是因为钱才当黑客的吗?

经济收益无疑起着重要作用。然而，好奇心是永远不变的源动力。有些黑客只是为了“好玩”，而这个比例和只是为了赚钱的黑客比例几乎相当 (14.3%)。四分之一的黑客表示是为了帮助他人或做好事。

黑客选择某个公司的原因是为了挑战或学习 (59.5%)、喜欢某个公司 (40.4%)、该公司安全团队的响应 (36.4%)、为了获得最高赏金 (31.9%)、我用这种技术或里面有我的数据 (31%)等。

黑客最喜欢的攻击向量、技术或方法是什么?

超过38%的黑客的答案是 XSS 漏洞，其次是 SQL 注入、模糊测试、业务逻辑、信息收集、SSRF、RCE、枚举、逆向工程、IDOR、暴力攻击、注入、CSRF、验证、XXE、DDoS。

如何和平台上的其他黑客建立连接一起工作?

通过读他们的博客和公开披露的漏洞报告占比最大，为33%;而24.4%的黑客表示不喜欢协作而喜欢单干;14.7%的黑客表示在某些特殊项目或挑战时进行合作;9.9%的人表示是他人的导师或是受其他黑客的引导;一直和其他黑客协作的占据8.7%，而作为团队成员和他人一起提交漏洞报告的占比7.4%。

说到公司收到漏洞报告的反应，一定程度上态度比较开放 (36.5%)、非常开放 (32.2%)、一般 (17.6%)。

首个百万赏金富翁是谁?

现年19岁的 Santiago Lopez 是在 HackerOne 平台上获得100万美元赏金的第一人。他16岁时开始学习黑客技术，互联网即是他的黑客学校，他从中查看并阅读如何绕过或打破安全防御的材料。一年之后，他凭借一个 CSRF 漏洞获得50美元的奖励，而最大的奖励是因发现SSRF漏洞而获得的9000美元。他用获得的第一笔赏金买了一台新电脑，之后又买了一辆车。

如今，他共发现了1676个唯一漏洞，将报告提交给了很多大公司，如 Verizon、Automattic、推特、HackerOne和一些私营企业、甚至还包括美国政府。目前他在 HackerOne 平台上排名第二。

一言以蔽之，这是属于黑客的时代。

HackerOne 黑客报告完整版：

https://www.hackerone.com/sites/default/files/2019-03/the-2019-hacker-report.pdf

【编辑推荐】

1. 黑客攻击基础设施建设之弱点扫描
2. 黑客或可将隐形恶意软件植入“裸机”云主机当中
3. 2019年最佳黑客书籍盘点
4. 黑客入侵：移动恶意软件进入杀戮
5. “黑客”深度学习之“免杀技术原理与实现”

（编辑：ASP站长网）