1、2021 ChinaWhite Hat Report中国白帽子调查报告2021 China White Hat Report2021 China White Hat Report国内白帽子总数帮助客户修复漏洞获取漏洞赏金去年增幅国内白帽子18-25岁占比173K+1025K+84%67.4%概述报告背景随着数字经济的蓬勃发展，企业面临的网络安全隐患也与日俱增。企业在与无孔不入的网络攻击的持久对抗中，除了自身配备的安全人员以外，还拥有一批得力帮手白帽子。他们背景各异，既可能是从业多年的安全大佬，也可能是未毕业的在校学生。他们有着共同的目标，致力于迅速识别企业存在的安全漏洞并及时修复，不让黑客组织

2、有机可乘。据统计，2021年国内白帽子总数已超过173300人。他们在保护企业安全、防止数据泄露、减少网络犯罪等领域起到了关键作用。截至2021年中国白帽子调查报告（以下简称报告）发布前，国内的白帽子们已经帮助超过6000个客户组织发现并修复了超过1025449个漏洞，共获取超过3900万元漏洞赏金，相比去年增幅高达84%。同时，社会对于白帽子及整个网络安全行业的关注度持续走高。CTF网络安全夺旗赛、白帽众测挑战赛、漏洞马拉松等线下挖洞比赛接连展开，得到了大量白帽子的踊跃参与。在社会环境与自身积极性的双重驱动下，无论是整个网络安全行业，还是白帽子的工作机遇，都将得到进一步的发展。从国家层面来看

3、，相关政策法规日趋成熟。由工业和信息化部、国家互联网信息办公室、公安部三部门联合印发的网络产品安全漏洞管理规定对漏洞的发现、报告、修补和发布均作了明确的规范，于2021年9月1日起正式实施。我国网络产品安全漏洞法规在近年的逐步完善，标志着漏洞修复工作逐步走向法制化、体系化。工作以外，白帽子和每一个普通人一样打拼生计，追求感情。为了深入了解我国白帽子的工作与生活近况，我们对自愿参与的白帽子展开了详尽的调查，试图通过这份报告为读者展现2021年中国白帽子们的真实状况。关键发现1.2021年国内白帽子总数已超过173300人，已经帮助超过6000个客户组织发现并修复了超过1025449个漏洞，共获取

4、超过3900万元漏洞赏金，相比去年增幅高达84%。2.白帽子主要由青年男性构成。他们是熬夜主力军、他们在认真工作的同时，也开始注重感情生活。3.国内高学历、受过系统性培训的白帽人才仍较为稀缺。本科以下学历的白帽子达到4成，专业精准对口网络安全领域的白帽子占比不到3成。4.白帽子整体呈二八收入状况。受疫情影响，近3成的白帽子无固定收入。5.参差不齐的背景条件构成了国内白帽子分散化的挖洞能力，大部分白帽子有效漏洞提交数量在300个以内。不同白帽子获得的赏金数额也存在明显分化。6.黑客重灾行业IT/互联网、教育/政府/事业单位、金融是白帽子常年偏爱的目标行业。7.高达94.74%的白帽子最擅长在We

5、b端挖洞。逻辑漏洞、XSS、注入、弱口令、是白帽子们普遍擅长的四大漏洞类型。Burp-suite连年稳坐白帽子常用安全工具第一的宝座。中国白帽子概况中国白帽子画像这群网络世界的侠客，在现实生活中到底什么样？他们是跟谢耳朵一样的技术宅，还是如韩商言一般外冷内热的大帅哥？通过近百份问卷以及走访调查，我们绘制了一份真实的中国白帽子画像。一群热爱以创造性的手段，克服智力挑战的人。热衷于挑战未知的漏洞，以降低潜在网络安全风险。可以利用的软件、硬件或在线服务的脆弱点。安全测试协作平台，旨在排除企业安全隐患、提升安全能力。众测平台为需求方提供了一个在线发布任务的广阔空间，也为白帽子创造了能将知识转化商业价值

6、和社会价值的机会。白帽子漏洞众测平台即企业安全应急响应中心，可自主实现漏洞接收与奖励计划，设置漏洞接收范围、定义漏洞评级、并通过漏洞奖金池的形式进行全程管理。网络安全夺旗赛，白帽子之间进行技术竞技的一种比赛形式。漏洞盒子平台在国内首家发起的线下漏洞挖掘、赏金奖励比赛。企业SRCC T F漏洞马拉松一群热爱以创造性的手段，克服智力挑战的人。热衷于挑战未知的漏洞，以降低潜在网络安全风险。可以利用的软件、硬件或在线服务的脆弱点。安全测试协作平台，旨在排除企业安全隐患、提升安全能力。众测平台为需求方提供了一个在线发布任务的广阔空间，也为白帽子创造了能将知识转化商业价值和社会价值的机会。白帽子漏洞众测平

7、台即企业安全应急响应中心，可自主实现漏洞接收与奖励计划，设置漏洞接收范围、定义漏洞评级、并通过漏洞奖金池的形式进行全程管理。网络安全夺旗赛，白帽子之间进行技术竞技的一种比赛形式。漏洞盒子平台在国内首家发起的线下漏洞挖掘、赏金奖励比赛。企业SRCC T F漏洞马拉松2021 China White Hat Report年纪分布一直以来，血气方刚的有为少年都是国内白帽子群体的中坚力量。在本次调查的参与者中，男性群体比例高达97.39%，36岁以上人群仅1.74%。其中，18-25岁人群占比稳居第一，超出去年6.82%，达到65.22%。26-35岁群体占比29.57%，位居第二。此外，也有少数跃跃

8、欲试加入白帽子大军的17岁及以下未成年人群，占总人数的3.48%。男97.39%女2.61%17岁以下3.48%65.22%29.57%1.74%18-25岁26-35岁36岁以上教育情况从受教育程度来看，白帽人群的学历水平有一个值得关注的向下趋势。本科学历的白帽人群占比已不到半数（49.57%），较去年下降了16.73%；与之相对应的，本科以下人群从去年29.2%的占比增长到40.87%。研究生及以上的高学历人才比例虽较去年有所增长，但整体依然较为匮乏，占10%左右的总人数。同时，超过8成的白帽子主修计算机相关专业，但专业精准对口网络安全领域的白帽子占比仅28.7%。另一方面，只有1/5左右

9、的白帽子受过专业培训或在学校有专业课程。网络论坛、网络课程/书籍为白帽子获取漏洞挖掘技巧的主要渠道，占据70.43%的比例。本科以下40.87%本科硕士博士及以上49.57%6.09%3.48%计算机相关但并非网络安全方向专业网络安全精准对口专业非计算机相关专业54.78%28.70%16.52%2021 China White Hat Report性别年龄学历水平主修专业就职情况六成左右的白帽子是专职安全从业人员，其中，乙方占比36.52%，甲方占比23.48%，乙方比例大于甲方的现状可能与现阶段大多数企业还不习惯于在公司配备专职安全人员有关。在非专职人员中，在校学生占据大头（26.09%）

10、，剩余人群由少数兼职、求职中/实习的人员构成，分别占比4.35%和2.61%。近三成的白帽子属于无固定收入人群，他们应该主要由上一段提到的学生群体、兼职及实习人员组成。有固定收入的白帽子年薪大多在30万元以下，且收入情况较为分散，年收入在15-30万元的占比最多，达21.74%。年薪超过100万的大佬也在今年逐渐涌现，占比5.22%，较去年的1.1%有很大增长幅度。收入情况据统计，受到2019年COVID疫情影响，无固定收入白帽占比高达29.57%。其次是15-30万年收群体，与此同时相对2019年白帽统计情况年收50-100万有1.5%的提升；总体来说白帽子目前呈现二八收入状况，部分白帽在疫

11、情阶段内处于“瓶颈期”。在职，甲方安全从业员23.48%在职，乙方安全从业员在职，非安全岗位求职中/实习在校学生其他36.52%6.96%2.61%26.09%4.35%无固定收入5万元以下5-15万元15-30万元30-50万元50-100万元100万元以上35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%2021 China White Hat Report29.57%13.04%17.39%21.74%10.43%2.61%5.22%就职情况年收入情况作息/情感状态白帽子的休息时间主要集中在晚上22点至凌晨2点，这其中22-24点间休息的人群占比

12、最高，为46.09%。只有不到10%的白帽子在22点前就选择休息，养生作息显然并不适合挖洞战士们。今年白帽子的单身比例较往年有所下降，单身与非单身的比例接近五五开。白帽子已不再像过去那样总是孑然一身，这可能与现代人越来越追求工作与生活、工作与感情相平衡的态度有关吧。75.00%50.00%25.00%0.00%2021 China White Hat Report52.17%31.30%16.52%单身热恋中成家60.00%45.00%30.00%15.00%0.00%9.57%46.09%27.83%6.96%9.57%22点之前22-24点0-2点2点以后经常通宵（每周超过两次）作息时间感

13、情状态是否会建议孩子选择网络安全相关专业当提及是否会建议自己孩子选择网络安全相关专业，多数白帽子（56.52%）更愿意遵从孩子自己的意愿，不作过多干涉。而在剩下的43.48%的人中，鼓励孩子就读相关专业的白帽子比例（31.30%）远大于反对的比例（12.17%）。这或多或少反映了整体而言，我国白帽子对于当下的工作持有一个比较正面的看法。会31.30%不会看TA个人兴趣吧12.17%56.52%2021 China White Hat Report是否会建议孩子选择网络安全相关专业白帽子的挖洞能力参差不齐的背景条件构成了分散化的挖洞能力。既有提交超过5000个漏洞的挖洞大佬，也有只提交了5个以内

14、有效漏洞的新手小白，大部分白帽子有效漏洞提交数量在300个以内。挖洞个数在101-300个的人数占比最高，为21.74%。这其中，提交漏洞个数在101-150个的占据近一半的比例（47.0%）。漏洞提交个数在151-200个与201-300个的白帽子平分剩余的比例，分别占据25.2%与27.8%的比例。相应的，不同白帽子获得的赏金数额也存在明显分化，已获赏金低于500元与高于10万元的白帽子分别达到21.74%与25.22%，共占据了近一半的总人数。与往年的调查结果类似，绝大多数白帽子最擅长在Web端挖洞，今年的比例更是高达94.74%。而面对五花八门的漏洞类型，白帽子们各有所长，各显神通。其

15、中，逻辑漏洞、XSS、注入、弱口令、是白帽子们普遍擅长的四大漏洞类型，能够轻松应对这些漏洞类别的人群均达到60%以上，而擅长信息泄露、上传漏洞的白帽子也超过了50%。可见，解决常见的漏洞对于现今的白帽子来说已不是难事。行业偏好哪里有黑客，哪里就有白帽。IT/互联网、教育/政府/事业单位、金融行业一直都是黑客的重点攻克目标，也自然成为了白帽子的重点防守阵地。偏好为这些行业提供服务的白帽子分别占据了66.67%、51.75%、44.74%的比例。0-56.96%6-5017.4%51-10013.04%101-30047.0%101-15025.2%151-20027.8%201-30021.74

16、%301-5006.09%.65%.31%5000以上7.83%2021 China White Hat Report物联网及制造业23.48%51.30%30.43%66.96%大型综合性企业31.30%其他1.74%金融44.35%电商39.13%游戏20.87%30.43%33.91%25.22%航空物流汽车旅游酒店餐饮房地产租 赁装 修医疗健康体检IT互联网教育政府事业单位已提交漏洞数行业偏好白帽子的挖洞时间年底是各行各业对一年的规划作最后的冲刺，一年的成果作回顾总结的时间段，保障该时段的网络运行环境安全，业务数据不被窃取、篡改至关重要，也使得

17、白帽子在年底变得格外忙碌。我们的调研结果显示，第四季度是2021年白帽子提交漏洞的高峰期，漏洞提交个数占了全年的71.83%，12月是单月漏洞提交个数最多的月份，占据近3成（29.88%）的比例。白帽子在2-9月份的漏洞提交情况不活跃，单月漏洞提交个数均不到全年的4%。多数（66.75%）白帽子集中在下午14:00-凌晨01:00之间提交漏洞，而22:00-01:00是白帽子提交漏洞最活跃的时间段，占比24.29%。清晨（06:00-09:00）是白帽子提交漏洞最不频繁的时间段，这与前文白帽子昼夜颠倒的作息习惯相吻合。30.00%20.00%10.00%25.00%15.00%5.00%0.0

18、0%2021 China White Hat Report7.15%14.87%20.24%22.22%24.29%11.23%06:00-09:0010:00-13:0014:00-17:0018:00-21:0022:00-01:0002:00-05:0030.00%25.00%20.00%15.00%10.00%5.00%0.00%6.60%3.72%3.58%1.89%2.79%3.89%2.69%3.02%13.30%20.84%29.88%71.83%66.75%8.80%1月2021年2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月漏洞提交数量按月份漏洞提交

19、数量按时点擅长漏洞类型相较于用途的全面性，多数白帽子更关注于挖洞工具是否“简洁明了”，七成左右（71.03%）的白帽子在“大而全”和“小而精”的工具特性之中选择了小而精。此外，各有三成左右的白帽子会将教程是否详细、工具是否免费纳入考虑因素。 Burpsuite、Sqlmap,nmap是大多数白帽子的常用安全工具。其中，Burpsuite连年稳坐常用安全工具第一的宝座，高达94.78%的白帽子表示自己经常会使用Burpsuite。御剑扫描器、菜刀、awvs扫描器是除此以外的热门工具。与在云端进行操作相比，绝大多数白帽子仍更习惯于一键安装，在本地就能使用的工具环境。子域名扫描、端口扫描、目录扫描是

20、三大白帽子偏爱的工具种类，把它们归为常用工具种类的白帽子均超过半数。burpsuite94.78%sqlmapnmap60.87%58.26%御剑扫描器44.35%菜刀40.00%awvs扫描器36.52%自写扫描器Fiddler23.48%20.87%Pkav7.83%其他1.74%2021 China White Hat Report体积小，工具精简71.30%详细的文档操作指南/网上热门教程免费一键还原大而全的工具其他，可在最后留言31.30%28.70%28.70%0.87%工具特性偏好常用的安全工具2021 China White Hat Report57.39%55.65%52.1

21、7%45.22%45.22%44.35%41.74%41.74%38.26%38.26%36.65%32.17%32.17%30.43%30.43%27.83%26.96%20.00%19.13%15.65%14.78%12.17%9.57%2.61%子域名扫描类端口扫描类目录扫描类抓包改包类webshell类字典目录类代理工具类暴力破解类注入工具类webshell管理类XSS类综合扫描类代码审计类内网工具类编码解码类采集收集类谷歌插件类ctf管理类提权工具类破解逆向类数据管理类ARP攻击类手机取证类其他常用工具种类2021 China White Hat Report逻辑漏洞注入XSS弱口令

22、信息泄露上传漏洞代码执行支付漏洞文件包含任意文件操作认证缺陷权限控制缺失CSRFSSRFURL重定向条件竞争XXE客户端本地SQL注入权限提升/绕过疑似入侵/存在后门69.57%65.22%65.22%64.35%52.17%50.43%37.39%35.65%33.91%33.04%33.04%33.04%30.43%30.43%28.70%25.22%22.61%14.78%11.30%10.43%客户端信息泄露组件暴露/权限漏洞本地拒绝服务DLL劫持WebView命令执行内核提权拒绝服务硬编码敏感信息溢出Activity劫持不安全存储智能硬件双重释放SSL证书验证错误数组越界访问Allo

23、wBackup释放重引用其他9.57%9.57%9.57%8.7%8.7%7.83%6.96%6.96%6.09%6.09%6.09%5.22%5.22%5.22%4.35%4.35%3.48%2.61%擅长的漏洞类型如何分配漏洞赏金白帽子主要将赏金收入用于生活费/补贴家用，也有不少有上进心的白帽子愿意将赏金花在购买提升技术相关的课程或者书籍上。2021 China White Hat Report56.52%生活费/补贴家用39.13%购买提升技术相关的课程或者相关书籍36.52%存起来29.57%买喜欢的装备14.78%给亲朋好友买礼物13.91%其他30.00%25.00%20.00%2

24、1.74%7.83%19.13%6.09%14.78%15.65%5.22%9.57%0--50-50001-500000500000以上15.00%10.00%5.00%0.00%所获漏洞赏金总额所获漏洞赏金如何使用企业对白帽子的态度不同于销售额、利润率这一类直观反应企业收益情况的指标，企业经常忽视白帽子的工作成果。这直接导致挖洞战士们很难得到与工作贡献对等的酬劳，绝大多数的白帽子并不满意企业的赏金力度。高达57.39%的白帽子认为企业支付的赏金远远没有达到预期，也有1/3的白帽子认为获得的赏金

25、比预期低一点，而认为企业支付的赏金达到或超出预期的白帽子，只有不到10%。另一方面，一半以上（55.65%）的白帽子每年获得的漏洞赏金仅占总收入的10%以内，100%依靠挖洞获得收入来源的白帽子依然是极少数（6.09%）。与此同时，仅13.04%的白帽子在提交漏洞后能够得到企业的及时确认。大多数（60.87%）白帽子都觉得企业对提交漏洞的确认速度一般，更存在着1/4左右的白帽子认为企业确认漏洞不及时。我们注意到，政府已开始采取相应措施解决此类问题。为了增强企业和个人在漏洞修复过程中的主动性，规范漏洞防护机制，由工业和信息化部、国家互联网信息办公室、公安部联合印发的网络产品安全漏洞管理规定在20

26、21年9月正式实施，首次在国内法规内鼓励厂商提供漏洞赏金机制，并对通报漏洞的组织或个人予以奖励。这在激励厂商主动发现并及时处理漏洞的同时，也鼓励个人或组织共同参与到企业漏洞管理的工作中去，使得企业受到更全面的监督。企业响应政府规定仍需要一定的时间，然而相信在政策的强力助推下，2022年，企业将大大加强对漏洞管理的重视程度，做到主动发现、尽早修复并有效防护。而白帽子获得的赏金低、提交的漏洞确认不及时等问题也将迎刃而解。2021 China White Hat Report60.87%一般26.09%不及时13.04%及时57.39%远远没有33.04%比预期低一点7.83%差不多1.74%超出预

27、期60.00%50.00%40.00%55.65%19.13%11.30%5.22%2.61%6.09%0-10%11-30%31-50%51-80%81-99%100%（强大靠挖洞致富）30.00%20.00%10.00%0.00%获得的漏洞赏金占总收入的比例企业在漏洞提交后确认是否及时企业给予的漏洞赏金是否达到预期白帽子的平台偏好“钱是第一生产动力”，漏洞赏金是大多数白帽子（67.83%）在选择漏洞提交平台时，首先会纳入考虑的因素。同时，也存在近半数的人表示会将平台厂商的漏洞确认速度、平台对白帽的保护作为选择标准。此外，项目难度是否足够低、平台活动丰富程度、同一项目的竞争者是否更少以自己的

28、朋友或团队在哪个平台，是白帽子的其他主要关注点。平台选择标准2021 China White Hat Report80.00%60.00%70.00%40.00%50.00%67.83%46.96%38.26%34.78%26.09%21.74%1.74%漏洞赏金高平台厂商的漏洞确认速度平台对白帽的保护项目难度低容易挖掘平台活动丰富同一项目更少白帽竞争我的朋友或团队所在平台其他30.00%20.00%10.00%0.00%46.96%在选择漏洞提交平台时，你看重哪些因素360补天漏洞响应平台、漏洞银行、漏洞盒子是国内三大白帽子最常使用的漏洞提交平台。选择在这些平台提交漏洞的白帽子分别占比18.

29、7%，16.5%，14.2%。此外，阿里云漏洞响应中心、腾讯应急响应中心、Sobug白帽众测平台是国内其他几个热门的漏洞平台。常用平台2021 China White Hat Report常用漏洞提交平台18.7%360补天漏洞响应平台14.2%漏洞盒子16.5%漏洞银行20.4%其他7.2%Sobug白帽众测10.9%腾讯应急响应中心12.1%阿里云漏洞响应平台2021 China White Hat Report随着疫情催化企业数字化转型的脚步，新的攻击模式催生新的安全需求，为白帽子带来了前所未有的机会。而随着网络产品安全漏洞管理规定的出台，对漏洞的接收、验证、报送、修补均作了明确的时效性

30、要求，企业需在发现产品存在漏洞后立即验证，2日内报送，及时修补，并留存不少于6个月的漏洞接收日志。顶层制度的逐步完善，为白帽子的工作提供了规范化的保障。然而白帽子擅长的漏洞类型、偏好的工具种类以及挖洞环境均与往年没有明显的变化。这或多或少意味着白帽子的挖洞水平到达了一定的瓶颈期。未来白帽子应该多多尝试自己过往不熟知、不擅长的漏洞领域，不断更新挖洞知识与技能。这或许会在前期耗费一定的成本，但却是白帽子的挖洞能力完成从量变到质变必不可少的环节。同时，无论是白帽子的挖洞能力还是相应获得的赏金酬劳，均存在两极分化明显的情况。能够游刃有余处理多种漏洞类型的挖洞大佬仍属于少数，若要使白帽子的工作有突破性的进展，在未来加大对白帽子群体体系化的培训至关重要。FreeBuf总结及前瞻性建议