漏洞下载（漏洞库网站）

写在前面

11月了，最近没有更新，已经意识到神经网络攻防专栏严重拖更了。到目前为止，专栏的全部内容我还没有确定下来，所以决定从11月起，以单篇的形式发出来，后面再去选择归档到专栏中。

，长按下面的二维码关注。

还有上个月我开始了一个漏洞挖掘100天挑战，有兴趣的可以点文末的原文链接。

2020年HackerOne十大漏洞

上周四，漏洞赏金平台HackerOne发布了2020年十大漏洞，如下图

可以看到跨站点脚本（XSS）仍然是影响力最大的漏洞，该漏洞在2020年连续第二年为白帽子黑客获得了最高的回报，总共420万美元的漏洞赏金，比2019年增长了26％

除了XSS，其他十大漏洞还包括不当访问控制、信息泄露、服务器端伪造请求（SSRF）、不安全的直接对象引用（IDOR）、特权升级、SQL注入、不正确的身份验证、代码注入和跨站点请求伪造（CSRF）。

HackerOne还总结了5个趋势：

公司正在使用新工具来减少XSS不当的访问控制和信息披露越来越普遍SSRF显示了云迁移的风险SQL注入逐年下降查找常见漏洞类型并不昂贵

kerone.com/top-ten-vulnerabilities

HackerOne黑客驱动安全报告

除了上面的十大漏洞，HackerOne还发布了第四年的黑客驱动安全报告

地址为：https://www.hackerone.com/hacker-powered-security-report

下面是我比较感兴趣的点

过去一年，亚太白帽子的收入增加了131%

中国白帽子拿到了535万刀赏金，第二名

漏洞严重程度占比

赏金中位数

严重漏洞的赏金中位数在涨

白帽子的经验分布

白帽子平台分布

有59%的白帽子是以兴趣为驱动力