重点漏洞列表

链接

OWASP Top Ten Web Application Security Risks
- https://owasp.org/www-project-top-ten/
CWE - CWE List Version 4.2
- https://cwe.mitre.org/data/index.html
The HackerOne Top 10 Most Impactful and Rewarded Vulnerability Types | HackerOne
- https://www.hackerone.com/blog/hackerone-top-10-most-impactful-and-rewarded-vulnerability-types
Top 10 Most Impactful and Rewarded Vulnerability Types | HackerOne
- https://www.hackerone.com/top-10-vulnerabilities

Hackerone 报告笔记

关键词：SSRF、XSS、信息泄露、注入

云上安全日益重要：组织争前恐后使用混合的和云上环境，因此 SSRF 将会稳定繁荣；信息泄露仍将常见，始终在赏金漏洞前列。
企业看重权限提升、SSRF 和 IDOR：尽管报告的绝对数量并非最多，但是这三者累计赏金最多。
Hackerone 十大漏洞仅有 4 种在 OWASP Top 10 上：XSS、信息泄露、注入；而在 OWASP 排名第 4 的 XXE 在 Hackerone 排名 15。
在 XSS 之上的企业逻辑错误、代码注入以及更多：XSS 依旧最常见的漏洞类型。不过，一些数量少价格高的漏洞类型，比如企业逻辑错误和代码注入等，表明这些漏洞在多样化的攻击面上的影响。

表格：Hackerone 统计的不同漏洞类型的数量比例

类型 / 领域

互联网 & 在线服务

计算机软件

电信行业

媒体 & 娱乐

XSS

30%

29%

31%

37%

不恰当的验证

18%

24%

17%

18%

信息泄露

23%

18%

25%

19%

权限提升

5%

7%

5%

4%

SQL 注入

3%

1%

2%

3%

代码注入

2%

2%

3%

2%

SSRF

1%

1%

1%

1%

IDOR

2%

2%

0%

2%

不恰当的访问控制

4%

4%

3%

4%

CSRF

12%

11%

14%

10%

Previous前辈们的博客 NextXSS - 跨站脚本攻击

Last updated 4 years ago