HackerOne 首次公布十大杀伤力最强且受赏最多的漏洞类型

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

HackerOne平台的客户通过各种规模的1400多个计划已经收到了超过12万个有效的安全漏洞，它们代表着我们如今面临的真实风险情况。

HackerOne 首次发布基于漏洞奖励和客户影响力的十大受赏漏洞类型，它们均基于2018年解决的弱点数量。“HackerOne 十大影响力最强且受赏最多的漏洞类型”是一个交互站点，供用户探索漏洞奖励级别、严重程度评分、漏洞报告总量等。用户可根据行业类型进行过滤。

如下是主要的发现：

• 技术世界大量迁移到云，导致服务器端请求伪造等漏洞带来的风险增加。

• 尽管人们越来越注重保护用户隐私和数据，但信息泄漏漏洞仍然常见。

• 不到一半的 HackerOne十大漏洞类型和 OWASP十大漏洞类型重叠。

• 影响力较大的漏洞如 SSRF、IDOR和权限提升漏洞虽然更难发生，但从受赏额来看，仍然是最具价值的漏洞类型。

先来看看 OWASP 和 Mitre 对这十大弱点的定义：

1.  跨站点脚本

跨站点脚本 (XSS) 攻击是一种注入类型，恶意脚本被注入非恶意和可信网站中。当攻击者使用 web 应用程序，通常以浏览器端脚本的形式向另外一名终端用户发送恶意代码时，就会发生 XSS 攻击。

2.  认证不当

当行为者声称具有既定身份，但软件无法证明或充分证明该言论是正确时，就是认证不当。

3. 信息泄漏

应用程序（通常是崩溃或丢失控制）中的漏洞即是弱点，导致攻击发生。不要将攻击或控制归为此类。

4. 权限提升

权限提升是由攻击者获取系统或网络的更高级别许可的操作造成的。某些工具或动作要求更高级别的权限运作，而且在某操作过程中的很多节点可能是必要的。

5. SQL 注入

SQL 注入包括经由客户端到应用程序的输入数据插入或“注入”SQL 请求。SQL 注入利用成功后能读取数据库敏感信息、修改数据库数据（插入/更新/删除）、执行数据库管理操作（如关闭 DBMS）、恢复 DBMS 文件系统上出现的既定文件的内容并在某些情况下向操作系统发出命令。（【缺陷周话】第 2 期 ：SQL 注入）

6. 代码注入

代码注入是攻击类型的通用属于，由随后被应用程序解释/执行的注入代码组成。这种攻击类型利用的是对不可信数据的不良处理方式。这些攻击类型成为可能的原因在于缺乏正确的输入/输出代码验证，例如，被允许的字符（标准的正则表达式类或自定义）、数据格式或所期待数据的数量。

7. 服务器端请求伪造（SSRF）

在 SSRF 攻击中，攻击者能够滥用服务器上的功能读取或更新内部资源。攻击者能够提供或修改代码在服务器上所运行的且将读取或提交数据的 URL，通过仔细挑选 URL，攻击者可能能够读取本不应被暴露的服务器配置如 AWS 云数据、连接到内部服务如启用了 http 的数据库或执行内部服务的 post 请求。

8. 不安全的直接对象引用 (IDOR)

当应用程序基于用户提供的输入提供对对象的直接访问权限时，就会发生不安全的直接对象引用。该漏洞可导致攻击者绕过授权并直接访问系统中的资源，如数据库记录或文件。

9. 访问控制不当

软件未限制或未正确地限制对资源的越权访问。

10. 跨站点请求伪造 (CSRF)

CSRF 攻击强制终端用户在当前已获认证的 web 应用程序上执行不需要的动作。CSRF 攻击特别针对状态不断变化的请求而并非窃取数据，因为攻击者无法看到对伪造请求的响应。

随着采用混合云和多云环境的组织机构数量呈爆发式增长态势，服务器端请求伪造 (SSRF) 等漏洞将茁壮成长。暴露敏感信息的各种信息泄漏漏洞仍然是常客，给组织机构带来了真正的风险，也正因如此，它们在榜单靠前位置争得一席之地。

SSRF、IDOR 和权限提升类别的漏洞因所带来的风险而受到更多赏金的加持。虽然单从数量方面来看，它们并非最为常见的漏洞提交类型，但按总赏金额来看，它们也跻身于十大漏洞类型之列。企业都在以具有竞争力的赏金积极地推动黑客对这些漏洞类型的搜寻热情。

HackerOneTop 10 所列的40%的漏洞类型和 OWASP Top 10 最新版重合。XSS、信息泄漏和注入在这两份榜单中都有一席之地。XML外部实体 (XXE) 漏洞类型虽然在 OWASP Top 10 中位列第4，但在 HackerOne Top 10 榜单屈居15位。

从赏金额来看，更高风险的漏洞会打破前十大排名。无论从哪个方面衡量，跨站点脚本（或 XSS）仍然是最常见的弱点类型，为黑客赢得超过800万美元的赏金。然而，业务逻辑错误、代码注入等漏洞类型虽然数量少但平均赏金额更高，显示了这些漏洞对 HackerOne 平台各种攻击面的影响。

按弱点类型划分的支付赏金总额

（图表说明：气泡大小表示报告数量，Y轴代表弱点类型所受赏金在支付给所有前十大漏洞类型的总奖金中所占百分比。）

按严重程度划分的支付总赏金和报告数量

按弱点划分的报告总量

（图表说明：按照弱点类型划分的报告总数量。百分比表示的是报告的数量。不同颜色显示的是该漏洞类型的平均严重程度。）

按弱点类型划分的赏金总额

支付的 XSS 赏金和报告数量

按弱点划分的报告总数量

HackerOne 首次发布的前十大最具影响力和受赏最多的漏洞类型报告基于 HackerOne 平台的专有数据，它查看了2018年该平台上解决了逾12万个唯一安全弱点。这份报告中包含的弱点由黑客社区通过漏洞披露、公开和私有漏洞奖励计划报告，而且所有的漏洞分类均由 HackerOne 客户完成或确认，包括弱点类型、影响和严重性。

风险已成为我们生活的一部分。如今，技术独角兽、政府、创业公司、金融机构和开源项目都在和黑客协作以明确未知漏洞。哪些是影响力最大的但并未被收录到 OWASP Top 10 中的漏洞类型？提交数量最多的十大漏洞是哪些？HackerOne 将在今夏晚些时候发布2019年安全报告解答这些疑问。

原文链接

https://www.hackerone.com/blog/hackerone-top-10-most-impactful-and-rewarded-vulnerability-types

题图：Pixabay License

文内图：HackerOne

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。