《2020中国白帽子调查报告》出炉 | FreeBuf咨询 x 漏洞盒子

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

咨询

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
90
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

《2020中国白帽子调查报告》出炉 | FreeBuf咨询 x 漏洞盒子

FreeBuf咨询 2021-01-19 14:07:02 668041

在互联网时代的安全江湖中，有一群武功高强、行侠仗义的“白帽子”，他们热衷于研究网络与计算机，善于发现安全漏洞，并及时将漏洞提交给企业协助修复，在锻炼自己能力的同时也能获取企业反馈的奖励与致谢。在外界看来，这是一群神秘的正义的代表。然而，和普通人一样，他们也有自己的工作和生活，也需要通过学习不断积累，加强自身的挖洞能力。

因此，FreeBuf咨询联合漏洞盒子通过数百份问卷调查和详细的数据统计推出这份《2020中国白帽子调查报告》（以下简称报告），将为大家揭开这群身怀绝技人群的神秘面纱。

1611920309_6013f3b5d3bcbdd7e1318.png!small?1611920312263

据统计，2020年国内白帽子总数已超过14万人。截至报告发布前，国内的白帽子们已经帮助超过6000个客户组织发现并修复了超过70万个漏洞，共获取超过3000万元漏洞赏金。此外，本报告不仅为大家展示国内白帽子的真实现状，还将回顾2020年的漏洞统计数据，以供参考。

年龄分布

白帽子人群的最大特征就是“年轻化”，正所谓“英雄少年”，从调查结果可以看到，17岁以下的白帽子比例为1.1%。其次，18-25岁的人群占比最高，达到58.4%，但相比去年的67.4%，有所降低。26-35岁的人群占比达38.2%。而36岁以上的白帽子仍存“老将风范”，占比约为2.3%。

1611920375_6013f3f7d857f0bd3243f.png!small?1611920386580

地域分布

“五湖四海皆白帽”，调查结果显示，白帽子的分布呈现广撒网和区域性集中趋势，主要来自广东、北京，占比分别达到23.8%和21.5%，两个地方合在一起，真的可以说是白帽的“半壁江山”了。当然，上海、四川、广西、江苏、河南也是白帽子主要分布的聚集地。

1611920490_6013f46a211147d538239.png!small?1611920498395

教育/就职情况

从学历上来说，国内有学历的白帽大多是本科出身，这一比例高达66.3%，本科学历以下占比达29.2%，硕士和博士白帽占比达4.5%。

在调查对象中有部分为学生群体，13.5%的白帽子尚未毕业。已就业的白帽子中，乙方安全从业人员居多，占比达50.6%，甲方安全从业人员占比达22.5%。由此可见，70%以上的白帽子都从事与安全相关岗位。

1611920524_6013f48c14ca46da18d58.png!small?1611920533434

年收入

调查结果中近30%的白帽子无固定收入，或许也是因为部分人群还处在求职/实习的状态。此外，28.1%的白帽子年收入在5-15万之间，21.3%在15-30万之间，10.1%在5万元以下。年收入过百万的白帽大佬占比为1.1%。

1611920550_6013f4a6a8889780d3ace.png!small?1611920555526

漏洞赏金

24.7%的白帽子能拿到1万-5万的赏金，其次是2000-5000，占比20.2%，18%的人群能获得5万-10万的赏金。数据结果显示的漏洞赏金差距还是比较大的，或许和挖洞姿势有关？

1611920588_6013f4cc8789bd2976c54.png!small?1611920596583

常用的挖洞工具

和去年的调查结果相似，今年白帽子常用的五大挖洞工具中，BurpSuite、SQLmap、Nmap、中国菜刀仍榜上有名，Fiddler为“新晋宠儿”。此外，8.9%的白帽子喜欢御剑扫描器。

1611920609_6013f4e1a6aa496ab30c4.png!small?1611920612332

擅长的挖洞类型

调查结果显示，白帽子擅长的挖洞类型中，8.2%的逻辑漏洞占比最高，其次是XSS，占比为7.5%。

1611920634_6013f4fa930ddd4cc3eb9.png!small?1611920639719

挖洞的行业偏好

对于挖洞的行业偏好，白帽子更倾向于选择互联网/IT行业，调查结果显示为14.3%，这和行业资源集中、漏洞价值高等因素息息相关。其次是教育/政府/事业单位，12.1%的白帽子选择这个行业，或许是因为其更高的关注度和重视程度。

1611920658_6013f512252ff5edf92e0.png!small?1611920662083

漏洞危害等级分布

2020年半数以上都为高危漏洞，高达52%，中低危漏洞均占比24%。高危漏洞如此之多，不禁让人深思，如果被不法分子利用，又该如何防范？
1611920713_6013f549ba947a839b2eb.png!small?1611920719712

年度安全漏洞

安全事件常与安全漏洞息息相关，2020年Zoom的数据泄露风波至今似乎仍历历在目，而Zoom产品背后的漏洞无疑成为了今年最热门的漏洞，波及面广且影响巨大。其他热门漏洞还包含通达OA漏洞、Fastjson执行漏洞等。

1611920754_6013f572e7a2f34de4b68.png!small?1611920759223

安全产品漏洞

去年攻防演练曝出大量安全产品自身漏洞，“安全产品本身的安全问题”关注度骤升，一时间成为安全圈的热门话题。根据CNVD公开统计数据显示，近十年来，国外安全产品漏洞数量较多，约为1459个，占比为70%，而国内安全产品漏洞发布428个，占比为20%。此外，国内外安全产品重合漏洞210个，占比为10%。

1611920800_6013f5a064ae9ad7026c1.png!small?1611920811402

安全建议

漏洞的防范和规避是企业安全工作的一部分，然而，安全建设不可“管中窥豹”，应从全局视角来考量。因此，漏洞盒子为企业提供了一些安全建议，以供参考。

1611920827_6013f5bb88814d9525e11.png!small?1611920833161

关于FreeBuf咨询

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是网络安全从业者与爱好者广泛关注的行业社区平台。
FreeBuf咨询集结安全行业经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现专业的研究与咨询服务。

关于漏洞盒子

漏洞盒子，高效的网络安全测试服务平台，国内安全众测模式的创新者和领导者。连接全球安全专家资源与自有团队，通过再现真实环境进行漏洞挖掘，为企业用户提供高效、透明的新一代安全服务解决方案。
截至2020年12月，漏洞盒子注册白帽子已达8万余名，发现漏洞数超过69万个。被国家计算机网络应急技术处理协调中心（CNCERT）、国家信息安全漏洞库（CNNVD）、上海市委网信办分别评定为网络安全应急服务支撑单位（省级）、优秀技术支撑单位、和网络安全技术支撑单位。

# 漏洞 # 白帽子

本文为 FreeBuf咨询独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏