2019 HackerOne黑客报告：白帽收入最高竟是普通程序员的40倍

HackerOne 平台发布年报，内容主要包括：黑客从哪里来？为何挖漏洞？最喜欢的黑客目标和工具是什么？从哪里学习？为何要和他人协作等等。另外，还公布了首位获得百万赏金的黑客年仅19岁且自学成才。

报告数据来自 HackerOne 调查数据以及2018年12月以及2019年1月的 Harris 调查数据，后者的数据来自100多个国家和地区超过3667名黑客。HackerOne 平台数据来自成功地在该平台上报告过一个及以上有效漏洞的黑客，以及该平台基于1200多个漏洞奖励计划和漏洞披露计划的专有数据。主要研究结论如下：

报告指出，HackerOne 平台的注册黑客人数已突破30万人，提交的有效漏洞总计超过10万个，支付的漏洞奖励金超过4200万美元。单在2018年，漏洞赏金总额即超过1900万美元，几乎是之前所有年份赏金的总和。

印度和美国仍然是最多的黑客聚集地，超过6个非洲国家在2018年首次参与该平台活动。

由黑客驱动的安全正在全球范围内创造机会。顶级赏金猎人能够赚取的年度赏金是其所在国软件工程师年薪中位数的40倍。

黑客培训活动发生在传统教室之外的地方。81%的黑客表示是通过博客以及学材料如公开披露的漏洞报告等学习技能的。仅有6%的黑客是通过传统教室或黑客证书入行的。

“黑客向善”正在逐渐为大众接受。Harris Poll 调查数据显示近三分之二的美国人（64%）认为并非所有的黑客都在使坏。

黑客从哪里来？

黑客几乎遍布全球每个角落。冰岛、加纳、斯洛伐克、阿鲁巴和厄瓜多尔的黑客和印度、美国、俄罗斯、巴基斯坦和英国的黑客一样意志坚定、技能娴熟、渴望成功，但后五个国家在黑客驱动安全领域的地位不可撼动。单是印度和美国的黑客数量就占据了总数的30%，2018年更是占比43%。在黑客全球化的时代，黑客拥有新型且大量机会施展拳脚，而他们所需的不过是互联网连接。

肯尼亚的黑客首次参与活动，阿尔及利亚的参与人数较上一年翻了一番。印度连续两年成为黑客的最多来源地，超过6个非洲国家首次参与活动。

哪个国家提供的赏金最多？拿到的赏金最多？

截止2018年，HackerOne 平台共支付4200多万美元的赏金，8个国家的组织机构贡献了超过一半的赏金。美国和加拿大的组织机构贡献金额最多，其次是英国、德国、俄罗斯和新加坡。拿到最多赏金的黑客依次来自美国、印度、俄罗斯、未知来源、德国、加拿大、英国、瑞典、荷兰和中国。

黑客赏金是普通程序员收入的多少倍？

报告提供了黑客赏金与软件工程师中位数年度收入对比数据。在阿根廷，黑客赏金收入是软件工程师的40.6倍、泰国是24.5倍、埃及是24.2倍、印度是17.6倍、中国香港是6.7倍、美国是6.4倍、瑞典是6.3倍、中国是6.2倍。

黑客人口统计状况

90%的黑客年龄低于35岁，而其中18-24年龄段的人略有增长。这群人占 HackerOne 平台黑客总数的47%，而且是唯一一个在数量方面逐年上涨的群体。但也不要小看年龄稍长的群体，35-49岁的群体数量在2018年占比超过9%，而50-64岁的人群数量在2018年几乎翻了一番。

80%的人是自学成才，越来越多的黑客来自技术以外的行业，让漏洞挖掘的领域充满活力。40%的人每周花费20多个小时寻找漏洞。

81%的黑客将网络资源和博客作为主要的学习途径，只有6%的黑客完成了正规课堂或证书培训。

为何从事黑客活动？或因兴趣而起或是全职工作所需。多数是因为感兴趣，很多人在全职工作结束或上完课后基本将时间和精力投入到挖漏洞中。四分之一的人将其当作职业，仅有不到40%的人是从事IT或技术行业，而在2017年，这个比例还是47%。

三分之一的黑客每周花10个小时或更少的时间，不过这一比例在2018年比2017年有所下降。越来越多（超过25%）的黑客每周花费30个小时或更多的时间。

区块链黑客趋势如何？

近70家区块链和密币公司使用 HackerOne 平台确保安全。2018年，这些公司收到的漏洞报告近3000份。2018年HackerOne平台上4%的赏金源自区块链和密币组织机构。提供基于区块链令牌的浏览器产品的公司 Brave 支付超过2.5万美元的赏金，解决了近100个漏洞报告。

黑客从区块链行业中获得的赏金更高。2018年，所有与区块链相关的公司支付的平均赏金是近1500美元，比平台的平均水平高出600美元左右。而区块链黑客所获得的赏金是其所在国家软件工程师的工资中位数的7倍。

近30%的 HackerOne 平台上的黑客具有6年或以上的经验。而年龄并非唯一衡量经验、技能或受教育水平。

最受欢迎的黑客工具是什么？

2018年，黑客使用第三方本地代理工具的比例增长了67%。Burp Suite 是使用最多的工具 (32.7%)，而使用Fiddler (14.7%)、Webinspect (11.1%)、ChipWhisperer (9.8%) 的黑客人数也在不断增长。而使用网络扫描器和模糊测试工具的人数稳定。

黑客宠爱的目标是什么？

黑客最爱的目标是网站、API 和持有自己的数据的技术。他们仍然最爱从 web 应用中查找漏洞。70%的受访黑客表示最喜欢黑的产品或平台依次是网站 (72.8%)、API、存储自己数据的技术 (3.7%)、安卓应用 (3.7%)、操作系统 (3.5%) 和可下载软件 (2.3%)。

仅仅是因为钱才当黑客的吗？

经济收益无疑起着重要作用。然而，好奇心是永远不变的源动力。有些黑客只是为了“好玩”，而这个比例和只是为了赚钱的黑客比例几乎相当 (14.3%)。四分之一的黑客表示是为了帮助他人或做好事。

黑客选择某个公司的原因是为了挑战或学习 (59.5%)、喜欢某个公司 (40.4%)、该公司安全团队的响应 (36.4%)、为了获得最高赏金 (31.9%)、我用这种技术或里面有我的数据 (31%)等。

黑客最喜欢的攻击向量、技术或方法是什么？

超过38%的黑客的答案是 XSS 漏洞，其次是 SQL 注入、模糊测试、业务逻辑、信息收集、SSRF、RCE、枚举、逆向工程、IDOR、暴力攻击、注入、CSRF、验证、XXE、DDoS。

如何和平台上的其他黑客建立连接一起工作？

通过读他们的博客和公开披露的漏洞报告占比最大，为33%；而24.4%的黑客表示不喜欢协作而喜欢单干；14.7%的黑客表示在某些特殊项目或挑战时进行合作；9.9%的人表示是他人的导师或是受其他黑客的引导；一直和其他黑客协作的占据8.7%，而作为团队成员和他人一起提交漏洞报告的占比7.4%。

说到公司收到漏洞报告的反应，一定程度上态度比较开放 (36.5%)、非常开放 (32.2%)、一般 (17.6%)。

首个百万赏金富翁是谁？

现年19岁的 Santiago Lopez 是在 HackerOne 平台上获得100万美元赏金的第一人。他16岁时开始学习黑客技术，互联网即是他的黑客学校，他从中查看并阅读如何绕过或打破安全防御的材料。一年之后，他凭借一个 CSRF 漏洞获得50美元的奖励，而最大的奖励是因发现SSRF漏洞而获得的9000美元。他用获得的第一笔赏金买了一台新电脑，之后又买了一辆车。

如今，他共发现了1676个唯一漏洞，将报告提交给了很多大公司，如 Verizon、Automattic、推特、HackerOne和一些私营企业、甚至还包括美国政府。目前他在 HackerOne 平台上排名第二。

一言以蔽之，这是属于黑客的时代。

HackerOne 黑客报告完整版：https://www.hackerone.com/sites/default/files/2019-03/the-2019-hacker-report.pdf

*本文作者：360代码卫士，转载请注明来自FreeBuf