重点漏洞列表
链接
OWASP Top Ten Web Application Security Risks
CWE - CWE List Version 4.2
The HackerOne Top 10 Most Impactful and Rewarded Vulnerability Types | HackerOne
Top 10 Most Impactful and Rewarded Vulnerability Types | HackerOne
Hackerone 报告笔记
关键词:SSRF、XSS、信息泄露、注入
云上安全日益重要:组织争前恐后使用混合的和云上环境,因此 SSRF 将会稳定繁荣;信息泄露仍将常见,始终在赏金漏洞前列。
企业看重权限提升、SSRF 和 IDOR:尽管报告的绝对数量并非最多,但是这三者累计赏金最多。
Hackerone 十大漏洞仅有 4 种在 OWASP Top 10 上:XSS、信息泄露、注入;而在 OWASP 排名第 4 的 XXE 在 Hackerone 排名 15。
在 XSS 之上的 企业逻辑错误、代码注入以及更多:XSS 依旧最常见的漏洞类型。不过,一些数量少价格高的漏洞类型,比如企业逻辑错误和代码注入等,表明这些漏洞在多样化的攻击面上的影响。
表格:Hackerone 统计的不同漏洞类型的数量比例
Last updated