FreeBuf咨询&漏洞盒子：2021中国白帽子调查报告（17页）.pdf

1、2021 ChinaWhite Hat Report中国白帽子调查报告2021 China White Hat Report2021 China White Hat Report国内白帽子总数帮助客户修复漏洞获取漏洞赏金去年增幅国内白帽子18-25岁占比173K+1025K+84%67.4%概述报告背景随着数字经济的蓬勃发展，企业面临的网络安全隐患也与日俱增。企业在与无孔不入的网络攻击的持久对抗中，除了自身配备的安全人员以外，还拥有一批得力帮手白帽子。他们背景各异，既可能是从业多年的安全大佬，也可能是未毕业的在校学生。他们有着共同的目标，致力于迅速识别企业存在的安全漏洞并及时修复，不让黑客组织

2、有机可乘。据统计，2021年国内白帽子总数已超过173300人。他们在保护企业安全、防止数据泄露、减少网络犯罪等领域起到了关键作用。截至2021年中国白帽子调查报告（以下简称报告）发布前，国内的白帽子们已经帮助超过6000个客户组织发现并修复了超过1025449个漏洞，共获取超过3900万元漏洞赏金，相比去年增幅高达84%。同时，社会对于白帽子及整个网络安全行业的关注度持续走高。CTF网络安全夺旗赛、白帽众测挑战赛、漏洞马拉松等线下挖洞比赛接连展开，得到了大量白帽子的踊跃参与。在社会环境与自身积极性的双重驱动下，无论是整个网络安全行业，还是白帽子的工作机遇，都将得到进一步的发展。从国家层面来看

3、，相关政策法规日趋成熟。由工业和信息化部、国家互联网信息办公室、公安部三部门联合印发的网络产品安全漏洞管理规定对漏洞的发现、报告、修补和发布均作了明确的规范，于2021年9月1日起正式实施。我国网络产品安全漏洞法规在近年的逐步完善，标志着漏洞修复工作逐步走向法制化、体系化。工作以外，白帽子和每一个普通人一样打拼生计，追求感情。为了深入了解我国白帽子的工作与生活近况，我们对自愿参与的白帽子展开了详尽的调查，试图通过这份报告为读者展现2021年中国白帽子们的真实状况。关键发现1.2021年国内白帽子总数已超过173300人，已经帮助超过6000个客户组织发现并修复了超过1025449个漏洞，共获取

4、超过3900万元漏洞赏金，相比去年增幅高达84%。2.白帽子主要由青年男性构成。他们是熬夜主力军、他们在认真工作的同时，也开始注重感情生活。3.国内高学历、受过系统性培训的白帽人才仍较为稀缺。本科以下学历的白帽子达到4成，专业精准对口网络安全领域的白帽子占比不到3成。4.白帽子整体呈二八收入状况。受疫情影响，近3成的白帽子无固定收入。5.参差不齐的背景条件构成了国内白帽子分散化的挖洞能力，大部分白帽子有效漏洞提交数量在300个以内。不同白帽子获得的赏金数额也存在明显分化。6.黑客重灾行业IT/互联网、教育/政府/事业单位、金融是白帽子常年偏爱的目标行业。7.高达94.74%的白帽子最擅长在We

5、b端挖洞。逻辑漏洞、XSS、注入、弱口令、是白帽子们普遍擅长的四大漏洞类型。Burp-suite连年稳坐白帽子常用安全工具第一的宝座。中国白帽子概况中国白帽子画像这群网络世界的侠客，在现实生活中到底什么样？他们是跟谢耳朵一样的技术宅，还是如韩商言一般外冷内热的大帅哥？通过近百份问卷以及走访调查，我们绘制了一份真实的中国白帽子画像。一群热爱以创造性的手段，克服智力挑战的人。热衷于挑战未知的漏洞，以降低潜在网络安全风险。可以利用的软件、硬件或在线服务的脆弱点。安全测试协作平台，旨在排除企业安全隐患、提升安全能力。众测平台为需求方提供了一个在线发布任务的广阔空间，也为白帽子创造了能将知识转化商业价值

6、和社会价值的机会。白帽子漏洞众测平台即企业安全应急响应中心，可自主实现漏洞接收与奖励计划，设置漏洞接收范围、定义漏洞评级、并通过漏洞奖金池的形式进行全程管理。网络安全夺旗赛，白帽子之间进行技术竞技的一种比赛形式。漏洞盒子平台在国内首家发起的线下漏洞挖掘、赏金奖励比赛。企业SRCC T F漏洞马拉松一群热爱以创造性的手段，克服智力挑战的人。热衷于挑战未知的漏洞，以降低潜在网络安全风险。可以利用的软件、硬件或在线服务的脆弱点。安全测试协作平台，旨在排除企业安全隐患、提升安全能力。众测平台为需求方提供了一个在线发布任务的广阔空间，也为白帽子创造了能将知识转化商业价值和社会价值的机会。白帽子漏洞众测平