分析了黑客们的爱好之后，我们才知道……

对于一些黑客来说，漏洞奖励真的可以改变他们的生活。

《2018黑客报告》（以下简称报告）显示，顶级黑客在印度，软件工程师的平均工资是他们的16倍。平均来说，顶部研究人员的收入是他们国家软件工程师平均工资的2.7倍。

•近四分之一的黑客没有报告他们发现的漏洞因为该公司没有披露信息的渠道。

•金钱仍然是漏洞赏金黑客攻击的首要原因，但它已经下降从2016年的第一名到第四名。最重要的是，黑客是有动机的通过学习技巧和技巧的机会，用“被挑战”和“被挑战”玩得开心”并列第二。

•印度(23%)和美国(20%)是前两名以HackerOne黑客社区为代表，其次是俄罗斯(6%)，巴基斯坦(4%)和英国(4%)。

•近58%的人是自学的黑客。尽管50%的黑客都有本科或研究生阶段学习计算机科学，占26.4%在高中或以前学习过计算机科学，只有不到5%的人学过课堂上的黑客技能。

•37%的黑客说他们把黑客作为业余爱好，约12%在HackerOne上，黑客每年从漏洞奖励中赚取2万美元或更多，其中超过3%的公司年收入超过10万美元，1.1%的公司年收入超过10万美元每年超过350000美元。四分之一的黑客依赖于至少50%的奖励他们的年收入中，有13.7%的人表示他们的收入相当于90美元100%的年收入。

业余爱好，，果然大佬还是大佬。

黑客几乎遍布地球上的每个区域。

据报告显示，印度，美国，俄罗斯，巴基斯坦和英国排在前五名，有43%的人来自英国印度和美国的总和。

在这些黑客之中，超过90%的黑客年龄在35岁以下，58%是自学，44%是IT专业人士。

超过90%的黑客攻击赏金低于35岁，超过50%25岁以下，18岁以下略低于8%。大多数黑客(45.3%)是黑客年龄在18 - 24岁之间，紧随其后的是年龄在25岁之间的37.3%的黑客35岁。

那黑客们每周花多长时间用于黑客攻击？

报告显示，超过66%的黑客每周花20小时或更少的时间进行黑客活动，44%的人每周花10小时每周工作小时或更少。超过20%的黑客每周花费超过30小时。

那黑客们如何决定要攻击谁?用什么工具呢?

最喜欢的工具

报告显示，近30%的黑客使用Burp Suite来帮助他们寻找漏洞，超过15%的黑客有他们自己的工具。其他用于bug的顶级工具搜索包括web代理和扫描器(12.6%)，网络漏洞扫描器(11.8%)、fuzzers(9.9%)，debuggers(9.7%)、WebInspect(5.4%)、Fiddler(5.3%)和Chip Whisperer(0.8%)。

超过23%的黑客表示，他们选择的公司是基于这些公司进行攻击的他们提供的奖金。超过20%的人说他们会选择以黑客为基础的公司关于学习的机会。其他最大的激励因素也有对方是一个他们喜欢的品牌(13%)、安全团队的反应(10.7%)和认可(9.7%)。

当被问及他们最喜欢的攻击方式、技术或方法时，超过28%的人表示，他们更喜欢搜索XSS漏洞，其次是SQL注入(23.1%)，fuzzing(5.5%)和brute force(4.5%)等。

黑客们仅仅只是为了钱去当黑客吗？答案是否定的——钱虽然是黑客们努力发现的BUG的一个原因，但它的重要性已经在2016年由第一降到了第四。更多黑客的动机是想通过发现漏洞等一系列黑客活动，来提升自己的技巧。

报告中显示，“接受挑战”和“拥有乐趣”两个原因并列第二，其他原因还有包括职业发展、保卫互联网安全和做好人等。

总的来说，绝大部分黑客的黑客活动都是想提高技能、享受乐趣和为互联网贡献更加安全的环境。

报告链接：

https://www.hackerone.com/sites/default/files/2018-01/2018_Hacker_Report.pdf

蓝蓝编译，安全圈综合整理