《2020中国白帽子调查报告》出炉

在互联网时代的安全江湖中，有一群武功高强、行侠仗义的“白帽子”，他们热衷于研究网络与计算机，善于发现安全漏洞，并及时将漏洞提交给企业协助修复，在锻炼自己能力的同时也能获取企业反馈的奖励与致谢。在外界看来，这是一群神秘的正义的代表。然而，和普通人一样，他们也有自己的工作和生活，也需要通过学习不断积累，加强自身的挖洞能力。

因此，FreeBuf咨询联合漏洞盒子通过数百份问卷调查和详细的数据统计推出这份《2020中国白帽子调查报告》（以下简称报告），将为大家揭开这群身怀绝技人群的神秘面纱。

据统计，2020年国内白帽子总数已超过14万人。截至报告发布前，国内的白帽子们已经帮助超过6000个客户组织发现并修复了超过70万个漏洞，共获取超过3000万元漏洞赏金。此外，本报告不仅为大家展示国内白帽子的真实现状，还将回顾2020年的漏洞统计数据，以供参考。

年龄分布

白帽子人群的最大特征就是“年轻化”，正所谓“英雄少年”，从调查结果可以看到，17岁以下的白帽子比例为1.1%。其次，18-25岁的人群占比最高，达到58.4%，但相比去年的67.4%，有所降低。26-35岁的人群占比达38.2%。而36岁以上的白帽子仍存“老将风范”，占比约为2.3%。

地域分布

“五湖四海皆白帽”，调查结果显示，白帽子的分布呈现广撒网和区域性集中趋势，主要来自广东、北京，占比分别达到23.8%和21.5%，两个地方合在一起，真的可以说是白帽的“半壁江山”了。当然，上海、四川、广西、江苏、河南也是白帽子主要分布的聚集地。

教育/就职情况

从学历上来说，国内有学历的白帽大多是本科出身，这一比例高达66.3%，本科学历以下占比达29.2%，硕士和博士白帽占比达4.5%。

在调查对象中有部分为学生群体，13.5%的白帽子尚未毕业。已就业的白帽子中，乙方安全从业人员居多，占比达50.6%，甲方安全从业人员占比达22.5%。由此可见，70%以上的白帽子都从事与安全相关岗位。

年收入

调查结果中近30%的白帽子无固定收入，或许也是因为部分人群还处在求职/实习的状态。此外，28.1%的白帽子年收入在5-15万之间，21.3%在15-30万之间，10.1%在5万元以下。年收入过百万的白帽大佬占比为1.1%。

漏洞赏金

24.7%的白帽子能拿到1万-5万的赏金，其次是2000-5000，占比20.2%，18%的人群能获得5万-10万的赏金。数据结果显示的漏洞赏金差距还是比较大的，或许和挖洞姿势有关？

常用的挖洞工具

和去年的调查结果相似，今年白帽子常用的五大挖洞工具中，BurpSuite、SQLmap、Nmap、中国菜刀仍榜上有名，Fiddler为“新晋宠儿”。此外，8.9%的白帽子喜欢御剑扫描器。

擅长的挖洞类型

调查结果显示，白帽子擅长的挖洞类型中，8.2%的逻辑漏洞占比最高，其次是XSS，占比为7.5%。

挖洞的行业偏好

对于挖洞的行业偏好，白帽子更倾向于选择互联网/IT行业，调查结果显示为14.3%，这和行业资源集中、漏洞价值高等因素息息相关。其次是教育/政府/事业单位，12.1%的白帽子选择这个行业，或许是因为其更高的关注度和重视程度。

热门漏洞类型

如果说白帽是一群网络安全的江湖侠客，那么漏洞或许就是他们的“惩奸除恶”的对象。白帽爱挖哪类漏洞？哪类漏洞最让白帽趋之若鹜？以下是2020年的漏洞年报数据，以供白帽或是安全从业者参考。

提及热门漏洞类型，当属SQL注入，漏洞占比为36%，弱口令漏洞紧随其后，约为31%，信息泄露、XSS、命令&代码执行位居第三至五位。

漏洞危害等级分布

2020年半数以上都为高危漏洞，高达52%，中低危漏洞均占比24%。高危漏洞如此之多，不禁让人深思，如果被不法分子利用，又该如何防范？

年度安全漏洞

安全事件常与安全漏洞息息相关，2020年Zoom的数据泄露风波至今似乎仍历历在目，而Zoom产品背后的漏洞无疑成为了今年最热门的漏洞，波及面广且影响巨大。其他热门漏洞还包含通达OA漏洞、Fastjson执行漏洞等。

安全产品漏洞

去年攻防演练曝出大量安全产品自身漏洞，“安全产品本身的安全问题”关注度骤升，一时间成为安全圈的热门话题。根据CNVD公开统计数据显示，近十年来，国外安全产品漏洞数量较多，约为1459个，占比为70%，而国内安全产品漏洞发布428个，占比为20%。此外，国内外安全产品重合漏洞210个，占比为10%。

安全建议

漏洞的防范和规避是企业安全工作的一部分，然而，安全建设不可“管中窥豹”，应从全局视角来考量。因此，漏洞盒子为企业提供了一些安全建议，以供参考。

关于FreeBuf咨询

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是网络安全从业者与爱好者广泛关注的行业社区平台。

FreeBuf咨询集结安全行业经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现最专业的研究与咨询服务。

关于漏洞盒子

漏洞盒子，高效的网络安全测试服务平台，国内安全众测模式的创新者和领导者。连接全球安全专家资源与自有团队，通过再现真实环境进行漏洞挖掘，为企业用户提供高效、透明的新一代安全服务解决方案。

截至2020年12月，漏洞盒子注册白帽子已达8万余名，发现漏洞数超过69万个。被国家计算机网络应急技术处理协调中心（CNCERT）、国家信息安全漏洞库（CNNVD）、上海市委网信办分别评定为网络安全应急服务支撑单位（省级）、优秀技术支撑单位、和网络安全技术支撑单位。

本文始发于微信公众号（FreeBuf）：《2020中国白帽子调查报告》出炉 | FreeBuf咨询 x 漏洞盒子