黑客报告的 2021 年漏洞比 2020 年多 21%

漏洞赏金中心HackerOne 宣布，其自由赏金猎人的用户群在 2021 年报告了高达 66,000 多个经过验证的漏洞，比去年增加了 20%。究竟是什么导致了今年的激增，而最后一年是不确定性和 COVID 引起的混乱的实际年份？

参见：密码泄露：为什么流行文化和密码不能混用（免费 PDF）（TechRepublic）除了经过验证的错误数量增加之外，HackerOne 的报告还发现，为关键错误（使用 CVSS 量表评级）支付的奖金中位数增加了 13%，而对于评级为“高严重性”的错误则增加了 30%，这是比临界低一级。 

随着漏洞检测的增加和支出的增加，HackerOne 所谓的“黑客驱动的安全程序”的数量在 2021 年增长了 34%，其中航空/航天、医疗技术和政府行业的增长幅度最大。HackerOne 还指出，金融服务行业对基于黑客的安全的使用继续增长 62%（第四大），它表示这是预期的，因为“在核心技术行业之外，[金融服务] 趋于领先具有前瞻性和敏捷的安全解决方案。” 

正在发现什么样的错误？

了解正在发现的错误类型是构建安全问题的重要组成部分，以应对安全领域的趋势。 

根据 HackerOne 的研究，从 2020 年到 2021 年，跨站点脚本漏洞仍然是发现最多的漏洞，同比增长 7%。信息披露同比增长58%，从第三位跃升至第二位。它取代了不当的访问控制，后者下滑至第三位。 

然而，今年最危险的威胁是业务逻辑错误，在 HackerOne 发布报告的五年中首次进入前 10 名，同比增长 67%。 

业务逻辑错误是攻击者滥用站点上合法功能损害站点所有者的方式。这方面的例子包括诸如取消购买足够快而不会被收费，但仍然可以获得与购买相关的忠诚度积分；或者通过滥用网站处理其定价逻辑的方式为电子商务购物车中的对象注入更低的价格。这些错误与其说是破坏系统的方式，不如说是一种滥用合法但糟糕的站点设计的方式。 

是有更多错误，还是更多报告？

本报告的核心问题是，软件中的错误数量是否确实在增加，或者是否由于错误赏金计划的流行度增加而更频繁地发现现有错误，如果没有额外的见解，就无法明确回答。我已经联系 HackerOne 征求其意见，但尚未收到回复；如果我这样做，这篇文章将被更新。

但是，如果没有这种洞察力，仍然有可能得出结论，尤其是在考虑 HackerOne 关于如何发现错误的数字时。例如，漏洞赏金计划今年仅增长了 10%，报告了 42,805 个漏洞，而 2020 年为 38,863 个。在这两种漏洞赏金计划中，私人赏金（仅限受邀黑客可用）增长了 16%，而公共赏金仅增长了 2%。 

其他两种发现错误的方法，漏洞披露程序 (VDP) 和渗透测试，是真正增长的地方。来自 VDP 的报告增加了 47%，来自 Pentest 的错误报告增加了惊人的 264%。 

HackerOne 表示，渗透测试的受欢迎程度大幅上升，这是由于“客户更加关注安全法规和标准的合规性”。然而，就绝对数量而言，渗透测试只发现了私人漏洞赏金所发现的一小部分漏洞：渗透测试在 2021 年发现了 1,804 个漏洞，而私人赏金则发现了 25,278 个。 

参见： 谷歌浏览器：您需要了解的安全和 UI 提示  （TechRepublic Premium）

不管报告的形式如何，HackerOne 表示，黑客驱动的解决方案正在证明其价值。报告总结道：“组织从漏洞赏金、VDP 和渗透测试中获得的数据和漏洞洞察使他们能够更好地确定问题的根源以及需要分配资源和培训的地方。” 

这是否应该让您感到安慰是个悬而未决的问题：似乎发现了更多的错误并不是因为错误的数量在增加，而是因为白帽黑客利用他们的权力为善（和利润）的数量在增加。这真正意味着您的系统可能和其他人的系统一样充满漏洞。唯一的问题是你还没有找到你的。