2021-2022中国白帽子调查报告.pptx

2021-2022中国白帽子调查报告 173K+ 国内白帽子总数 1025K+ 帮助客户修复漏洞 84% 获取漏洞赏金去年增幅 67.4% 国内白帽子 18-25岁占比 概述 报告背景 随着数字经济的蓬勃发展 ， 企业面临的网络安全隐患也与日俱 增 。 企业在与无孔不入的网络攻击的持久对抗中 ， 除了自身配 备的安全人员以外 ， 还拥有一批得力帮手 白帽子 。 他们背景 各异 ， 既可能是从业多年的安全大佬 ， 也可能是未毕业的在校 学生 。 他们有着共同的目标 ， 致力于迅速识别企业存在的安全 漏洞并及时修复 ， 不让黑客组织有机可乘 。 据统计 ， 2021年国内白帽子总数已超过 173300人 。 他们在保护 企业安全 、 防止数据泄露 、 减少网络犯罪等领域起到了关键作 用 。 截至 2021年中国白帽子调查报告 （ 以下简称报告 ） 发 布前 ， 国内的白帽子们已经帮助超过 6000个客户组织发现并修 复了超过 1025449个漏洞 ， 共获取超过 3900万元漏洞赏金 ， 相 比去年增幅高达 84%。 同时 ， 社会对于白帽子及整个网络安全行业的关注度持续走高 。 CTF网络安全夺旗赛 、 白帽众测挑战赛 、 漏洞马拉松等线下挖洞 比赛接连展开 ， 得到了大量白帽子的踊跃参与 。 在社会环境与 自身积极性的双重驱动下 ， 无论是整个网络安全行业 ， 还是白 帽子的工作机遇 ， 都将得到进一步的发展 。 从国家层面来看 ， 相关政策法规日趋成熟 。 由工业和信息化部 、 国家互联网信息办公室 、 公安部三部门联合印发的 网络产品 安全漏洞管理规定 对漏洞的发现 、 报告 、 修补和发布均作了 明确的规范 ， 于 2021年 9月 1日起正式实施 。 我国网络产品安全 漏洞法规在近年的逐步完善 ， 标志着漏洞修复工作逐步走向法 制化 、 体系化 。 工作以外 ， 白帽子和每一个普通人一样打拼生计 ， 追求感情 。 为 了深入了解我国白帽子的工作与生活近况 ， 我们对自愿参与的白 帽子展开了详尽的调查 ， 试图通过这份报告为读者展现 2021年中 国白帽子们的真实状况 。 关键发现 1.2021年国内白帽子总数已超过 173300人 ， 已经帮助超过 6000 个客户组织发现并修复了超过 1025449个漏洞 ， 共获取超过 3900 万元漏洞赏金 ， 相比去年增幅高达 84%。 2.白帽子主要由青年男性构成 。 他们是熬夜主力军 、 他们在认真 工作的同时 ， 也开始注重感情生活 。 3.国内高学历 、 受过系统性培训的白帽人才仍较为稀缺 。 本科以 下学历的白帽子达 到 4成 ， 专业精准对口网络安全领域的白帽子 占比不到 3成 。 4.白帽子整体呈二八收入状况 。 受疫情影响 ， 近 3成的白帽子无固 定收入 。 5.参差不齐的背景条件构成了国内白帽子分散化的挖洞能力 ， 大 部分白帽子有效漏洞提交数量在 300个以内 。 不同白帽子获得的 赏金数额也存在明显分化 。 6.黑客重灾行业 IT/互联网 、 教育 /政府 /事业单位 、 金融是白帽子 常年偏爱的目标行业 。 7.高达 94.74%的白帽子最擅长在 Web端挖洞 。 逻辑漏洞 、 XSS、 注入 、 弱口令 、 是白帽子们普遍擅长的四大漏洞类型 。 Burp- suite连年稳坐白帽子常用安全工具第一的宝座 。 中国白帽子概况 中国白帽子画像 这群网络世界的侠客 ， 在现实生活中到底什么样 ？ 他们是跟谢耳朵一样的技术宅 ， 还是如韩商言一般外冷内热的大帅哥 ？ 通过近百份问卷以及 走访调查 ， 我们绘制了一份真实的中国白帽子画像 。 白白帽帽子子 一群热爱以创造性的手段 ， 克服智力挑战的人 。 热衷于挑 战未知的漏洞 ， 以降低潜在网络安全风险 。 漏漏洞洞 可以利用的软件 、 硬件或在线服务的脆弱点 。 众众测测平平台台 安全测试协作平台 ， 旨在排除企业安全隐患 、 提升安全能 力 。 众测平台为需求方提供了一个在线发布任务的广阔空 间 ， 也为白帽子创造了能将知识转化商业价值和社会价值 的机会 。 企企业业SS RRCC 即企业安全应急响应中心 ， 可自主实现漏洞接收与奖励计 划 ， 设置漏洞接收范围 、 定义漏洞评级 、 并通过漏洞奖金 池的形式进行全程管理 。 CC TT FF 网络安全夺旗赛 ， 白帽子之间进行技术竞技的一种比赛形 式 。 漏漏洞洞马马拉拉松松 漏洞盒子平台在国内首家发起的线下漏洞挖掘 、 赏金奖励 比赛 。 年纪分布 一直以来 ， 血气方刚的有为少年都是国内白帽子群体的中坚力量 。 在本次调查的参与者中 ， 男性群体比例高达 97.39%， 36岁以上人群仅 1.74%。 其中 ， 18-25岁人群占比稳居第一 ， 超出去年 6.82%， 达到 65.22%。 26-35岁群体占比 29.57%， 位居第二 。 此外 ， 也 有 少数跃跃欲试加入白帽子大军的 17岁及以下未成年人群 ， 占总人数的 3.48%。 男 97.39% 女 2.61% 17岁以下 3.48% 65.22% 29.57% 1.74% 18-25岁 26-35岁 36岁以上 教育情况 从受教育程度来看 ， 白帽人群的学历水平有一个值得关注的向下趋势 。 本科学历的白帽人群占比已不到半数 （ 49.57%） ， 较去年下降了 16.73%； 与之相对应的 ， 本科以下人群从去年 29.2%的占比增长到 40.87%。 研究生及以上的高学历人才比 例虽较去年有所增长 ， 但整体依然较为匮乏 ， 占 10%左右的总人数 。 同时 ， 超过 8成的白帽子主修计算机相关专业 ， 但专业精准对口网络安全领域的白帽子占比仅 28.7%。 另一方面 ， 只有 1/5 左右的白帽子受过专业培训或在学校有专业课程 。 网络论坛 、 网络课程 /书籍为白帽子获取漏洞挖掘技巧的主要渠道 ， 占 据 70.43%的比例 。 本科以下 40.87% 本科 硕士 博士及以上 49.57% 6.09% 3.48% 计算机相关但并非 网络安全方向专业 网络安全 精准对口专业 非计算机相关专业 54.78% 28.70% 16.52% 性别 年龄 学历水平 主修专业 就职情况 六成左右的白帽子是专职安全从业人员 ， 其中 ， 乙方占比 36.52%， 甲方占比 23.48%， 乙方比例大于甲方的现状可能与 现阶段大多数企业还不习惯于在公司配备专职安全人员有关 。 在非专职人员中 ， 在校学生占据大头 （ 26.09%） ， 剩余人 群由少数兼职 、 求职中 /实习的人员构成 ， 分别占比 4.35%和 2.61%。 近三成的白帽子属于无固定收入人群 ， 他们应该主要由上一段提到的学生群体 、 兼职及实习人员组成 。 有固定收入的白帽子年薪大多在 30万元以下 ， 且收入情况较为分散 ， 年收入在 15-30万元的占比最多 ， 达 21.74%。 年薪 超过 100万的大佬也在今年逐渐涌现 ， 占比 5.22%， 较去年的 1.1%有很大增长幅度 。 收入情况 据统计 ， 受到 2019年 COVID疫情 影 响 ， 无 固定收 入 白帽 占 比高达 29.57%。 其 次是 15-30万年收群体 ， 与此同 时 相对 2019 年白帽统计情况年收 50-100万有 1.5%的提升 ； 总体来说白帽子目前呈现二八收入状况 ， 部分白帽在疫情阶段内处于 “ 瓶 颈 期 ” 。 在职 ， 甲方安全从业员 23.48% 在职 ， 乙方安全从业员 在职 ， 非安全岗位 求职中 /实习 在校学生 36.52% 6.96% 2.61% 26.09% 其他 4.35% 35.00% 30.00% 25.00% 20.00% 15.00% 10.00% 5.00% 0.00% 29.57% 13.04% 17.39% 21.74% 10.43% 2.61% 5.22% 就职情况 年收入情况 作息 /情感状态 白帽子的休息时间主要集中在晚上 22点至凌晨 2点 ， 这其中 22-24点间休息的人群占比最高 ， 为 46.09%。 只有不到 10% 的白帽子在 22点前就选择休息 ， 养生作息显然并不适合挖洞战士们 。 今年白帽子的单身比例较往年有所下降 ， 单身与非单身的比例接近五五开 。 白帽子已不再像过去那样总是孑然一身 ， 这可 能与现代人越来越追求工作与生活 、 工作与感情相平衡的态度有关吧 。 75.00% 50.00% 25.00% 0.00% 52.17% 31.30% 16.52% 单身 热恋中 成家 60.00% 45.00% 30.00% 15.00% 0.00% 9.57% 46.09% 27.83% 6.96% 9.57% 22点之前 22-24点 0-2点 2点以后 经常通宵 （ 每周超过两次 ） 作息时间 感情状态 是否会建议孩子 选择网络安全相关专业 当提 及 是否会 建 议自 己 孩子选 择 网络 安 全相关 专 业 ， 多 数白帽 子 （ 56.52%） 更愿意 遵 从 孩子自 己 的意愿 ， 不作过 多 干涉 。 而在剩 下 的 43.48%的 人 中 ， 鼓 励孩子 就 读相 关专业的白帽子比例 （ 31.30%） 远大于反对的比例 （ 12.17%） 。 这或多或少反映了 整体而言 ， 我国白帽子对于当下的工作持有一个比较正面的看法 。 会 31.30% 不会 12.17% 看 TA个人兴趣吧 56.52% 是否会建议孩子选择网络安全相关专业 白帽子的挖洞能力 参差不齐的背景条件构成了分散化的挖洞能力 。 既有提交超过 5000个漏洞的挖洞大佬 ， 也有只提交了 5个以内有效漏洞的 新手小白 ， 大部分白帽子有效漏洞提交数量在 300个以内 。 挖洞个数在 101-300个的人数占比最高 ， 为 21.74%。 这其中 ， 提交漏洞个数在 101-150个的占据近一半的比例 （ 47.0%） 。 漏洞提交个数在 151-200个与 201-300个的白帽子平分剩余 的比例 ， 分别占据 25.2%与 27.8%的比例 。 相应的 ， 不同白帽子获得的赏金数额也存在明显分化 ， 已获赏金低于 500元与高 于 10万元的白帽子分别达到 21.74%与 25.22%， 共占据了近一半的总人数 。 与往年的调查结果类似 ， 绝大多数白帽子最 擅长在 Web端挖 洞 ， 今年的比例更是高 达 94.74%。 而 面对五花八门的漏洞类 型 ， 白帽子们各有所长 ， 各显神通 。 其中 ， 逻辑漏洞 、 XSS、 注入 、 弱口令 、 是白帽子们普遍擅长的四大漏洞类型 ， 能够 轻松应对这些漏洞类别的人群均达到 60%以上 ， 而擅长信息泄露 、 上传漏洞的白帽子也超过了 50%。 可见 ， 解决常见的漏 洞对于现今的白帽子来说已不是难事 。 行业偏好 哪里有黑客 ， 哪里就有白帽 。 IT/互联网 、 教育 / 政府 / 事业单位 、 金融行业一直都是黑客的重点攻克目标 ， 也自然成为了 白 帽子的重点防守阵地 。 偏好为这些行业提供服务的白帽子分别占据了 66.67%、 51.75%、 44.74%的比例 。 0-5 6.96% 6-50 17.4% 51-100 13.04% 101-300 47.0% 101-150 25.2% 151-200 27.8% 201-300 21.74% 301-500 6.09% 500-1000 15.65% 1000-5000 11.31% 5000以上 7.83% 物联网 及制造业 23.48% 51.30% 30.43% 66.96% 大型 综合性企业 31.30% 其他 1.74% 金融 44.35% 电商 39.13% 游戏 20.87% 30.43% 33.91% 25.22% 航空 物流 汽车 旅游 酒店 餐饮 房地产 租 赁 装 修 医疗 健康 体检 IT 互联网 教育 政府 事业单位 已提交漏洞数 行业偏好 白帽子的挖洞时间 年底是各行各业对一年的规划作最后的冲刺 ， 一年的成果作回顾总结的时间段 ， 保障该时段的网络运行环境安全 ， 业 务 数据不被窃取 、 篡改至关重要 ， 也使得白帽子在年底变得格外忙碌 。 我们的调研结果显示 ， 第四季度是 2021年白帽子提交漏洞的高峰期 ， 漏洞提交个数占了全年的 71.83%， 12月是单月漏 洞提交个数最多的月份 ， 占据近 3成 （ 29.88%） 的比例 。 白帽子在 2-9月份的漏洞提交情况不活跃 ， 单月漏洞提交个数均 不到全年的 4%。 多数 （ 66.75%） 白帽子集中在下午 14:00-凌晨 01:00之间提交漏洞 ， 而 22:00-01:00是白帽子提交漏洞最活跃的时间段 ， 占比 24.29%。 清晨 （ 06:00-09:00） 是白帽子提交漏洞最不频繁的时间段 ， 这与前文白帽子昼夜颠倒的作息习惯相吻合 。 30.00% 20.00% 10.00% 25.00% 15.00% 5.00% 0.00% 7.15% 14.87% 20.24% 22.22% 24.29% 11.23% 06:00- 09:00 10:00- 13:00 14:00- 17:00 18:00- 21:00 22:00- 01:00 02:00- 05:00 30.00% 25.00% 20.00% 15.00% 10.00% 5.00% 6.60% 3.72% 3.58% 1.89% 2.79% 3.89% 2.69% 3.02% 13.30% 20.84% 29.88% 71.83% 66.75% 8.80% 0.00% 2021年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 漏洞提交数量 按月份 漏洞提交数量 按时点 擅长漏洞类型 相较于用途的全面性 ， 多数白帽子更关注于挖洞工具是否 “ 简洁明了 ” ， 七成左右 （ 71.03%） 的白帽子在 “ 大而全 ” 和 “ 小 而精 ” 的工具特性之中选择了小而精 。 此外 ， 各有三成左右的白帽子会将教程是否详细 、 工具是否免费纳入考虑因素 。 Burpsuite、 Sqlmap,nmap是大多数白帽子的常用安全工具 。 其中 ， Burpsuite连年稳坐常用安全工具第一的宝座 ， 高达 94.78%的白帽子表示自己经常会使用 Burpsuite。 御剑扫描器 、 菜刀 、 awvs扫描器是除此以外的热门工具 。 与在云端进行操作相比 ， 绝大多数白帽子仍更习惯于一键安装 ， 在本地就能使用的工具环境 。 子域名扫描 、 端口扫描 、 目 录扫描是三大白帽子偏爱的工具种类 ， 把它们归为常用工具种类的白帽子均超过半数 。 burpsuite 94.78% s q l m a p n m a p 60.87% 58.26% 御剑扫描器 44.35% 菜刀 40.00% a wvs扫描器 36.52% 自写扫描器 Fiddler 23.48% 20.87% Pkav 7.83% 其他 1.74% 体积小 ， 工具精简 71.30% 详细的文档操作指南 /网上热门教程 免费一键还原 大而全的工具 其他 ， 可在最后留言 31.30% 28.70% 28.70% 0.87% 工具特性偏好 常用的安全工具 57.39% 55.65% 52.17% 45.22% 45.22% 44.35% 41.74% 41.74% 38.26% 38.26% 36.65% 32.17% 32.17% 30.43% 30.43% 27.83% 26.96% 20.00% 19.13% 15.65% 14.78% 12.17% 9.57% 2.61% 子域名扫描类 端口扫描类 目录扫描类 抓包改包类 webshell类 字典目录类 代理工具类 暴力破解类 注入工具类 webshell管理类 XSS类 综合扫描类 代码审计类 内网工具类 编码解码类 采集收集类 谷歌插件类 ctf管理类 提权工具类 破解逆向类 数据管理类 ARP攻击类 手机取证类 其他 常用工具种类 逻辑漏洞 注入 XSS 弱口令 信息泄露 上传漏洞 代码执行 支付漏洞 文件包含 任意文件操作 认证缺陷 权限控制缺失 CSRF SSRF URL重定向 条件竞争 XXE 客户端本地 SQL注入 权限提升 /绕过 疑似入侵 / 存在后门 69.57% 65.22% 65.22% 64.35% 52.17% 50.43% 37.39% 35.65% 33.91% 33.04% 33.04% 33.04% 30.43% 30.43% 28.70% 25.22% 22.61% 14.78% 11.30% 10.43% 客户端 信息泄露 组件暴露 / 权限漏洞 本地拒绝服务 DLL劫持 We b View 命令执行 内核提权 拒绝服务 硬编码 敏感信息 溢出 Activity劫持 不安全存储 智能硬件 双重释放 SSL证书 验证错误 数组越界访问 AllowBackup 释放重引用 其他 9.57% 9.57% 9.57% 8.7% 8.7% 7.83% 6.96% 6.96% 6.09% 6.09% 6.09% 5.22% 5.22% 5.22% 4.35% 4.35% 3.48% 2.61% 擅长的漏洞类型 如何分配漏洞赏金 白帽子主要将赏金收入用于生活费 / 补贴家用 ， 也有不少有上进心的白帽子愿意将赏金花在购买提升技术相关的 课程或者书籍上 。 56.52% 生活费 /补贴家用 39.13% 购买提升技术相关的 课程或者相关书籍 36.52% 存起来 29.57% 买喜欢的装备 14.78% 给亲朋好友买礼物 13.91% 其他 20.00% 30.00% 25.00% 21.74% 7.83% 19.13% 6.09% 14.78% 15.65% 5.22% 9.57% 15.00% 10.00% 5.00% 0.00% 所获漏洞赏金总额 所获漏洞赏金如何使用 企业对白帽子的态度 不同于销售额 、 利润率这一类直观反应企业收益情况的指标 ， 企业经常忽视白帽子的工作成果 。 这直接导致挖洞战士们很难得到与工作贡献对等的酬劳 ， 绝大多数的白帽子并不满意企业的赏金力度 。 高达 57.39%的白帽子认为企业支付的赏金远远没有达到预期 ， 也有 1/3的白帽子认为获得的赏金比预期低一点 ， 而 认为企业支付的赏金达到或超出预期的白帽子 ， 只有不到 10%。 另一方面 ， 一半以上 （ 55.65%） 的白帽子每年 获得的漏洞赏金仅占总收入的 10%以内 ， 100%依靠挖洞获得收入来源的白帽子依然是极少数 （ 6.09%） 。 与此同时 ， 仅 13.04%的白帽子在提交漏洞后能够得到企业的及时确认 。 大多 数 （ 60.87%） 白帽子 都 觉得企业 对提交漏洞的确认速度一般 ， 更存在着 1/4左右的白帽子认为企业确认漏洞不及时 。 我们注意到 ， 政府已开始采取相应措施解决此类问题 。 为了增强企业和个人在漏洞修复过程中的主动性 ， 规范 漏洞防护机制 ， 由工业和信息化部 、 国家互联网信息办公室 、 公安部联合印发的 网络产品安全漏洞管理规定 在 2021年 9月正式实施 ， 首次在国内法规内鼓励厂商提供漏洞赏金机制 ， 并对通报漏洞的组织或个人予以奖 励 。 这在激励厂商主动发现并及时处理漏洞的同时 ， 也鼓励个人或组织共同参与到企业漏洞管理的工作中去 ， 使得企业受到更全面的监督 。 企业响应政府规定仍需要一定的时间 ， 然而相信在政策的强力助推下 ， 2022年 ， 企业将大大加强对漏洞管理的 重视程度 ， 做到主动发现 、 尽早修复并有效防护 。 而白帽子获得的赏金低 、 提交的漏洞确认不及时等问题也将 迎刃而解 。 60.87% 一般 26.09% 不及时 13.04% 及时 57.39% 远远没有 33.04% 比预期低一点 7.83% 差不多 1.74% 超出预期 60.00% 50.00% 40.00% 55.65% 19.13% 11.30% 5.22% 2.61% 6.09% 30.00% 20.00% 10.00% 0.00% 获得的漏洞赏金占总收入的比例 企业在漏洞提交后确认是否及时 企业给予的漏洞赏金是否达到预期 白帽子的平台偏好 平台选择标准 “ 钱是第一生产动力 ” ， 漏洞赏金是大多数白帽子 （ 67.83%） 在选择漏洞提交平台时 ， 首先会纳入考虑的因素 。 同时 ， 也存在近半数的人表示会将平台厂商的漏洞确认速度 、 平台对白帽的保护作为选择标准 。 此外 ， 项目难度是否足 够低 、 平台活动丰富程度 、 同一项目的竞争者是否更少以自己的朋友或团队在哪个平台 ， 是白帽子的其他主要关注点 。 80.00% 60.00% 70.00% 40.00% 50.00% 67.83% 46.96% 38.26% 34.78% 26.09% 21.74% 1.74% 漏洞赏金高 平台厂商的 漏洞确认速度 平台对白帽 的保护 项目难度低 容易挖掘 平台活动丰富 同一项目 更少白帽竞争 我的朋友或 团队所在平台 其他 30.00% 20.00% 10.00% 0.00% 46.96% 在选择漏洞提交平台时 ， 你看重哪些因素 常用平台 补天漏洞响应平台 、 漏洞银行 、 漏洞盒子是国内三大白帽子最常使用的漏洞提交平台 。 选择在这些平台提交漏洞的白帽子分别占比 18.7%， 16.5%， 14.2%。 此外 ， 阿里云漏洞响 应中心 、 腾讯应急响应中心 、 Sobug白帽众测平台是国内其他几个热门的漏洞平台 。 常用漏洞提交平台 18.7% 补天漏洞响应平台 14.2% 漏洞盒子 16.5% 漏洞银行 20.4% 其他 7.2% Sobug白帽众测 10.9% 腾讯应急响应中心 12.1% 阿里云漏洞响应平台 随着疫情催化企业数字化转型的脚步 ， 新的攻击模式催生新 的安全需求 ， 为白帽子带来了前所未有的机会 。 而随着 网络产品安全漏洞管理规定 的出台 ， 对漏洞的接 收 、 验证 、 报送 、 修补均作了明确的时效性要求 ， 企业需在 发现产品存在漏洞后立即验证 ， 2日 内报送 ， 及时修补 ， 并留 存不少于 6个月的漏洞接收日志 。 顶层制度的逐步完善 ，为白 帽子的工作提供了规范化的保障 。 然而白帽子擅长的漏洞类型 、 偏好的工具种类以及挖洞环境 均与往年没有明显的变化 。 这或多或少意味着白帽子的挖洞 水平到达了一定的瓶颈期 。 未来白帽子应该多多尝试自己过 往不熟知 、 不擅长的漏洞领域 ， 不断更新挖洞知识与技能 。 这或许会在前期耗费一定的成本 ， 但却是白帽子的挖洞能力 完成从量变到质变必不可少的环节 。 同时 ， 无论是白帽子的挖洞能力还是相应获得的赏金酬劳 ， 均存在两极分化明显的情况 。 能够游刃有余处理多种漏洞类 型的挖洞大佬仍属于少数 ， 若要使白帽子的工作有突破性的 进展 ， 在未来加大对白帽子群体体系化的培训至关重要 。 FreeBuf总结及前瞻性建议 THANKS