据悉,HackerOne在去年6月至今年9月间发起了本次调查,主要针对与该平台合作的2000名白帽,报告显示,白帽寻找漏洞的最大动机是赚钱,占了80%,但也有高达78%的原因是为了学习,另也有47%表示是为了“保护一般用户的安全”。
至于白帽不提交漏洞的主要原因则包括公司回应太慢(60%)、沟通引发冲突(55%)、奖金太低(48%),以及公司外界评价太差(44%)等。
白帽们也对新兴的生成式AI技术感兴趣,认为该技术既能提高生产力也能维持竞争力。
有66%的白帽表示他们正在或准备利用生成式AI来撰写报告
有61%的白帽正开发基于生成式AI的工具来发现更多的漏洞
有55%的白帽认为生成式AI工具本身在未来几年可能也会变成攻击目标
有53%的白帽表示将利用生成式AI来写程序
有33%的白帽要用生成式AI来降低编程语言的门槛
14%的白帽已经把生成式AI当作重要的工具
▲图源HackerOne
而在白帽们锁定的领域中,线上服务排行第一,占基数58%;金融服务排行第二,占基数53%;零售业与电商平台排行第三,占基数48%,电脑软件占基数43%,政府部门组织为40%。
IT之家同时从报告中得知,高达95%的白帽掌握网页测试能力,有63%专精于漏洞研究,47%着重于网络渗透测试,40%的着重于红队测试,另有20%擅长社工,18%擅长无线渗透测试。
白帽们主要把黑客技术
应用在入侵网站,占了98%,其中55%用来攻陷API,43%攻击Android软件,23%攻击开源项目,只有17%选择攻击iOS及桌面平台。
