《2019 HackerOne黑客報告》白帽收入最高是普通程序員的40倍

高楓

近日，HackerOne平臺發布年報，內容主要包括：黑客從哪里來，為何挖漏洞，最喜歡的黑客目標和工具是什么，從哪里學習，為何要和他人協作等。另外，還公布了首位獲得百萬賞金的黑客，其年僅19歲且自學成才。

報告數據來自HackerOne的調查數據以及2018年12月和2019年1月Harris的調查數據，后者的數據來自100多個國家和地區超過3 667名黑客。HackerOne平臺數據來自成功在該平臺上報告過一個及以上有效漏洞的黑客，以及該平臺基于1 200多個漏洞獎勵計劃和漏洞披露計劃的專有數據。

由黑客驅動的安全正在全球范圍內創造機會。頂級賞金獵人能夠賺取的年度賞金是其所在國軟件工程師年薪中位數的40倍。

“黑客向善”正在逐漸為大眾接受。Harris Poll調查數據顯示近64 %的美國人認為并非所有的黑客都在使壞。

黑客從哪里來

黑客幾乎遍布全球每個角落。冰島、加納、斯洛伐克、阿魯巴、厄瓜多爾、印度，美國、俄羅斯、巴基斯坦和英國的黑客一樣意志堅定、技能嫻熟、渴望成功，但后5個國家在黑客驅動安全領域的地位不可撼動。單是印度和美國的黑客數量就占了總數的30 %，2018年更是占比43 %。在黑客全球化的時代，黑客擁有新型且大量機會施展拳腳，而他們所需的不過是互聯網連接。

肯尼亞的黑客首次參與活動，阿爾及利亞的參與人數較上一年翻了一番。印度連續2年成為黑客的最多來源地，超過6個非洲國家首次參與活動。

哪個國家提供的賞金最多

截止2018年，HackerOne平臺共支付4 200多萬美元的賞金，8個國家的組織機構貢獻了超過一半的賞金。美國和加拿大的組織機構貢獻金額最多，其次是英國、德國、俄羅斯和新加坡。拿到最多賞金的黑客依次來自美國、印度、俄羅斯、未知來源、德國、加拿大、英國、瑞典、荷蘭和中國。

黑客賞金是普通程序員收入的多少倍

報告提供了黑客賞金與軟件工程師中位數年度收入對比數據。在阿根廷黑客賞金收入是軟件工程師的40.6倍、泰國是24.5倍、埃及是24.2倍、印度是17.6倍、中國香港是6.7倍、美國是6.4倍、瑞典是6.3倍、中國是6.2倍。

黑客人口統計狀況

90 %的黑客年齡低于35歲，而其中18～24歲年齡段的人略有增長。這群人占HackerOne平臺黑客總數的47 %，而且是唯一一個在數量方面逐年上漲的群體。但也不要小看年齡稍長的群體，35～49歲的群體數量在2018年占比超過9 %，而50～64歲的人群數量在2018年幾乎翻了一番。

80 %的人是自學成才，越來越多的黑客來自技術以外的行業，讓漏洞挖掘的領域充滿活力。40 %的人每周花費20多個小時尋找漏洞。

81 %的黑客將網絡資源和博客作為主要的學習途徑，只有6 %的黑客完成了正規課堂或證書培訓。

為何從事黑客活動

或因興趣而起或是全職工作所需。多數是因為感興趣，很多人在全職工作結束或上完課后基本將時間和精力投入到挖漏洞中。四分之一的人將其當作職業，僅有不到40 %的人是從事IT或技術行業，而在2017年，這個比例還是47 %。

三分之一的黑客每周花10個小時或更少的時間，不過這一比例在2018年比2017年有所下降。超過25%的黑客每周花費30個小時或更多的時間。

區塊鏈黑客趨勢如何

近70家區塊鏈和密幣公司使用HackerOne平臺確保安全。2018年，這些公司收到的漏洞報告近3 000份。2018年HackerOne平臺上4%的賞金源自區塊鏈和密幣組織機構。提供基于區塊鏈令牌的瀏覽器產品的公司Brave支付超過2.5萬美元的賞金，解決了近100個漏洞報告。

黑客從區塊鏈行業中獲得的賞金更高。2018年，所有與區塊鏈相關的公司支付的平均賞金是近1 500美元，比平臺的平均水平高出600美元左右。而區塊鏈黑客所獲得的賞金是其所在國家軟件工程師的工資中位數的7倍。

近30%的HackerOne平臺上的黑客具有6年或以上的經驗。而年齡并非唯一衡量經驗、技能或受教育水平。

最受歡迎的黑客工具是什么

2018年，黑客使用第三方本地代理工具的比例增長了67 %。Burp Suite是使用最多的工具（32.7%），使用Fiddler（14.7 %），Webinspect（11.1 %），ChipWhisperer（9.8 %）的黑客人數也在不斷增長。而使用網絡掃描器和模糊測試工具的人數穩定。

黑客喜愛的目標是什么

黑客最愛的目標是網站、API和持有自己數據的技術。他們仍然最愛從Web應用中查找漏洞。70 %的受訪黑客表示最喜歡黑的產品或平臺依次是網站（72.8 %）、API、存儲自己數據的技術（3.7 %）、安卓應用（3.7 %）、操作系統（3.5%）和可下載軟件（2.3 %）。

僅僅是因為錢才當黑客的嗎

經濟收益無疑起著重要作用。然而，好奇心是永遠不變的源動力。有些黑客只是為了“好玩”，而這個比例和只是為了賺錢的黑客比例幾乎相當（14.3 %）。四分之一的黑客表示是為了幫助他人或做好事。

黑客選擇某個公司的原因是為了挑戰或學習（59.5 %）、喜歡某個公司（40.4 %）、該公司安全團隊的響應（36.4 %）、為了獲得最高賞金（31.9 %）、我用這種技術或里面有我的數據（31 %）等。

黑客最喜歡的攻擊向量、技術或方法

超過38 %的黑客的答案是XSS漏洞，其次是SQL注入、模糊測試、業務邏輯、信息收集、SSRF、RCE、枚舉、逆向工程、IDOR、暴力攻擊、注入、CSRF、驗證、XXE和DDoS。

如何與平臺上的其他黑客建立連接一起工作

通過讀他們的博客和公開披露的漏洞報告占比最大，為33 %；而24.4 %的黑客表示不喜歡協作而喜歡單干；14.7 %的黑客表示在某些特殊項目或挑戰時進行合作；9.9 %的人表示是他人的導師或是受其他黑客的引導；一直和其他黑客協作的占8.7 %；而作為團隊成員和他人一起提交漏洞報告的占比7.4 %。

說到公司收到漏洞報告的反應，一定程度上態度分為比較開放（36.5 %）、非常開放（32.2 %）和一般（17.6 %）。

首個百萬賞金富翁是誰

現年19歲的Santiago Lopez是在HackerOne平臺上獲得100萬美元賞金的第一人。他16歲時開始學習黑客技術，互聯網即是他的黑客學校，他從中查看并閱讀如何繞過或打破安全防御的材料。一年之后，他憑借一個CSRF漏洞獲得50美元的獎勵，而最大的獎勵是因發現SSRF漏洞而獲得的9 000美元。他用獲得的第一筆賞金買了一臺新電腦，之后又買了一輛車。

如今，他共發現了1 676個唯一漏洞，將報告提交給了很多大公司，如Verizon、Automattic、推特、HackerOne和一些私營企業，甚至還包括美國政府。目前他在HackerOne平臺上排名第二。

一言以蔽之，這是屬于黑客的時代。