2023中国实战化白帽人才能力白皮书.pdf

中国实战化白帽人才能力白皮书 2022.11 补天漏洞响应平台 奇安信安服团队 奇安信行业安全研究中心 主要观点 实战化白帽人才的能力正在以实战化白帽人才的能力正在以 5 50 0%回归率为标准结构性调整。回归率为标准结构性调整。通过报告数据可见，若一类能力的人才平均掌握率显著高于 50%，那么人才平均掌握率就会随时间变化呈现下降趋势。反之若显著低于 50%，则人才平均掌握率会随时间变化呈现显著或小幅的上升趋势。实战化白帽人才队伍能力逐渐全面、均衡、优化发展。实战化白帽人才队伍能力逐渐全面、均衡、优化发展。相当一部分新入行的白帽子，不愿意在已经很卷的成熟市场领域继续深耕，如 Web 漏洞利用（基础）、Web 漏洞挖掘（进阶）等领域内竞争，而是转向人才相对更加稀缺的高级安全工具（高阶）、编写 PoC 或EXP（高阶）、掌握 CPU 指令集（高阶）等方面能力的学习。未来相当长一段时间，高水平实战化白帽人才仍将比较稀缺。未来相当长一段时间，高水平实战化白帽人才仍将比较稀缺。在高阶能力的各个类别中，实战化白帽人才系统层漏洞利用与防护的掌握能力仍旧最低。仅为 14.1%。也就是说，平均每 7 个白帽子，才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。白帽人才最为稀缺的单项实战化能力是针对 iOS 和 macOS 系统编写 PoC 或 EXP 的能力。掌握这两项能力的白帽子仅有 6.6%和 3.5%。也就是说，平均每 100 个白帽子中，最多才有 5 个白帽子具备编写 iOS 或 macOS 操作系统漏洞验证代码或漏洞利用代码的能力。从高级安全工具入手学习高阶能力是白帽人才很好的选择。从高级安全工具入手学习高阶能力是白帽人才很好的选择。在高阶能力的各个类别中，高级安全工具的平均掌握率较 2020 年有显著的上升，从 23.9%增长到 29.2%。摘 要 最新调研成果显示，在“实战化白帽人才能力图谱”所关注的 3 个级别、14 大类、87项具体的实战化能力中，各项能力总体的平均掌握率已经从 2020 年末的 38.8%，提升至 2023 年 8 月的 41.4%，提升了 2.6 个百分点。但与 2022 年 7 月的 45.5%比，降低了4 个百分点。基础能力的 2 大类 20 项具体能力的平均掌握率从 74.2%下降至 66.3%，降低了 7.9 个百分点；进阶能力 4 大类 23 项具体能力的平均掌握率从55.0%降低至 43.5%，下降了11.5个百分点，而高阶能力的平均掌握率从 27.3%增长至 28.7%，增加了 1.4个百分点，8 大类 44 项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。Web漏洞利用能力的平均掌握率从57.0%，大幅增长到74.5%，而后又平稳恢复至65.8%；而基础安全工具的平均掌握率则变化不大，从 74.5%持续下降至 67.1%。目前，两大类实战化基础能力的平均掌握率已经十分接近，人才储备均相对充实。Web 漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中，Web 漏洞挖掘能力的平均掌握率为 56.7%，社工钓鱼能力的平均掌握率为 52.1%。内网渗透能力的平均掌握率，从 2020 年末的 59.7%下降到 2023 年 8 月的 45.9%，但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力，2023 年白帽人才身份隐藏能力的平均掌握率为 44.7%。调研显示，Burp Suite 的平均掌握率最高，为 92.5%，是 2023 年度实战化白帽人才中唯一掌握率超过 9 成的基础安全工具，算得上是最基础的入门级安全工具。其次为Sqlmap，平均掌握率为 82.4%，排名第二。而 AppScan 和 Cobalt Strike 的平均掌握率均不足 50%。也就是说，一半以上的白帽子不会使用 Cobalt Strike 和 AppScan 两款安全工具。调研显示，针对苹果公司的操作系统，有 PoC 或 EXP 编写能力的白帽子非常“稀有”，iOS 6.6%、macOS 3.5%。关键字关键字：实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、目 录 研究背景研究背景.1 第一章第一章 实战化白帽人才能力变化趋势实战化白帽人才能力变化趋势.3 第二章第二章 实战化白帽人才能力现状分析实战化白帽人才能力现状分析.7 一、基础能力.7 二、进阶能力.8 三、高阶能力.11 第三章第三章 总结总结.18 附录附录 1 1 实战化白帽实战化白帽人才人才能力各项技能详解能力各项技能详解.19 一、基础能力.19 二、进阶能力.22 三、高阶能力.25 附录附录 2 2 补天漏洞响应平台补天漏洞响应平台.35 附录附录 3 3 奇安信蓝队能力及攻防实践奇安信蓝队能力及攻防实践.错误!未定义书签。1 研究背景 实战化能力，是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞能力，白帽子的实战化能力有以下几方面的特点：1）攻防过程针对的是业务系统，而并非单纯的 IT 系统。2）挖洞只是攻防过程中的辅助，攻击必须要有实际效果。3）针对系统的攻击是一个过程，技术之外允许使用社工。4）实战在动态攻防环境中进行，目标系统有人运行值守。2021 年 1 月，补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联合发布的中国实战化白帽人才能力白皮书（2020）（简称：白皮书（2020）。白皮书（2020 结合 1900 余个目标系统的攻防实战经验，首次提出了实战化白帽人才能力的概念，并给出了“实战化白帽人才能力图谱”。图谱详细列举了白帽人才在实战化过程中，所需要掌握的 3 个级别、14 个大类、87 项具体能力。白皮书还对每一项技能的含义与要求，进行了详细的说明。以图谱为基础，我们对 518 名白帽子进行了实战化能力调研。白皮书（2020对实战化白帽人才的能力培养给出了明确的指导方向和市场分析，引起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。2023 年 8 月，补天漏洞响应平台再次对平台上活跃的 518 名白帽子进行了实战化能力调研，并以此次调研为基础，撰写了中国实战化白帽人才能力白皮书（2023）（简称：白皮书（2023），希望能够对提升国内白帽子群体的整体能力水平，促进安全行业的实战化白帽子人才发展及能力培养工作有所帮助。特别说明，白皮书（2023）“实战化白帽人才能力图谱”由 3 个级别、14 个大类、87项具体能力集合而成。如下图所示。2 3 第一章 实战化白帽人才能力变化趋势 自 2021 年 1 月，中国实战化白帽人才能力白皮书（2020）发布以来，我国白帽人才群体的实战化能力已经得到了普遍的、显著的提升。最新调研成果显示，在“实战化白帽人才能力图谱”所关注的 3 个级别、14 大类、87 项具体的实战化能力中，各项能力总体的平均掌握率已经从 2020 年末的 38.8%，提升至 2023 年 8 月的 41.4%，提升了 2.6 个百分点。但与 2022 年 7 月的 45.5%比，降低了 4 个百分点。其中，基础能力的 2 大类 20 项具体能力的平均掌握率从 74.2%下降至 66.3%，降低了7.9 个百分点；进阶能力 4 大类 23 项具体能力的平均掌握率从55.0%降低至 43.5%，下降了11.5 个百分点，而高阶能力的平均掌握率从 27.3%增长至 28.7%，增加了 1.4 个百分点，8大类 44 项具体能力的平均掌握率是三个级别的能力中唯一有所增长的方向。在本次白皮书中，单项能力的平均掌握率，是指在受调研的白帽子群体中，掌握某项具体的实战化能力的白帽子人数，占所有受调研白帽子总人数的比例。而多项能力的总体平均掌握率，则是各单项能力的平均掌握率的总平均值，具体计算方法如下：单项能力的平均掌握率=掌握该项能力的白帽子人数受调研的白帽群体总人数 多项能力总体平均掌握率=1 第项能力的平均掌握率=1 通过数据分析，我们惊讶的发现“50%回归率”现象。即表面上看，基础能力人才平均掌握率从 74.2%下降到了 66.3%，进阶能力从 55.0%下降到了 43.3%，高阶能力变化不大，总平均掌握率从 45.4%下降到 41.4%，似乎是人才掌握的能力越来越少了。但详细分析基础能力、进阶能力、高阶能力的细分项变化后，就会发现，对于白帽人才来说，人才对不同能力的平均掌握率的平衡点似乎恰好出现在 50%左右。4 50%50%回归率回归率 当一个市场竞争激烈、内卷严重时，人才就会流出，同时也并不会降低这个市场的整体供给能力。反之，如果一个市场人才稀缺，就会不断的有人才涌入这个市场，提升这个领域的整体供给能力。如果一个市场人才供求平衡，那么人才流入和流出的速度都会相差不大。我们发现，不论是对比三年的总趋势还是对比 20222023 年的变化，也不论一个技能是基础能力、进阶能力还是高阶能力（能力级别只代表能力学习的难度，不代表人才的稀缺程度），一个显著的共同现象就是：1、如果一类能力的人才平均掌握率显著高于 50%，那么人才平均掌握率就会随时间变化呈现显著的下降趋势 2、如果一类能力的人才平均掌握率显著低于 50%，那么人才平均掌握率就会随时间变化呈现显著的或小幅的上升趋势 3、如果一类能力的人才平均掌握率接近于 50%，那么人才平均掌握率就会随时间变化呈现小幅波动态势 所以说，白帽人才的能力平均掌握率并不是简单的下降了，而是实在的结构性调整。50%回归率的本质，是市场对人才竞争的调节作用。相当一部分新入行的白帽子，不愿意在已经很卷的成熟市场领域内竞争，如 Web 漏洞利用（基础能力）、Web 漏洞挖掘（进阶能力）等，而是转向人才相对更加稀缺的高级安全工具（高阶能力）、编写 PoC 或 EXP（高阶能力）、掌握 CPU 指令集（高阶能力）等方面能力的学习。（详细分析见下文）相比基础能力和进阶能力实战化白帽人才选择更加困难的高阶能力，所以才造成了高阶能力平均掌握率的增长幅度没能填补基础能力、进阶能力平均掌握率的下降占比，进而导致安全技能的总体平均掌握率有所下降的情况发生。综上，我们推断白帽人才能力的建设与发展，不能简单的只看人才掌握技能数量的多少，而是应当积极的促进人才队伍能力结构全面、均衡、优化发展。适当的压缩过剩的低端产能，尽快补足短板，提升进阶能力，特别是高阶能力的平均掌握率，是白帽人才培养的当务之急。而我们的 白皮书 已经给白帽子自学、给有关单位引导培养，指出了具体的、科学的方向。详细分析来看，相比于 2020 年末，到 2023 年 8 月，虽然拥有高阶能力的实战化白帽人才的比例，有小幅增加，但在整体白帽人才能力掌握上仍旧处于最少。这也进一步说明，高水平的实战化白帽人才，在当前和未来相当长的一段时间里，仍将是比较稀缺的。下图给出的是两类基础能力平均掌握率的变化趋势。可以看出，Web 漏洞利用能力的平均掌握率从 57.0%，大幅增长到 74.5%，而后又平稳恢复至 65.8%；而基础安全工具的平均掌握率则变化不大，从 74.5%持续下降至 67.1%。目前，两大类实战化基础能力的平均掌握率已经十分接近，人才储备均相对充实。5 下图给出的是四类进阶能力的平均掌握率变化趋势。可以看出，Web 漏洞挖掘和社工钓鱼这两类技能的人才的储备量近两年均超过半数。其中，Web 漏洞挖掘能力的平均掌握率为56.7%，社工钓鱼能力的平均掌握率为 52.1%。与此同时 Web 开发与变成和编写 PoC 或 EXP等利用量类技能也在平稳上升中，其中，编写 PoC 或 EXP 等利用能力近两年在平稳上升，由2022 年的 49.1%稳步突破半数大关上升至 50.5%；Web 开发与编程能力由 2022 年的 31.1%上升至 34.6%，虽然仍旧较少，但与前两年比均有提高。可见白帽人才正在努力完善和全面发展自己的进阶能力。下图给出的是 8 类高阶能力的平均掌握率变化趋势。总体来看，在高阶能力中，掌握各类能力的人才分布情况近两年整体略有增加但掌握情况均未达半成。内网渗透能力的平均掌握率，从 2020 年末的 59.7%下降到 2023 年 8 月的 45.9%，但仍然是白帽人才平均掌握率最高的实战化高阶能力类别。其次是身份隐藏能力，2023 年白帽人才身份隐藏能力的平均掌握率为 44.7%。而系统层漏洞利用与防护平均掌握率最低，仅为 14.1%，也就是说，平均每7 个白帽子，才有一名白帽子掌握系统层漏洞利用与防护的实战化能力。6 值得注意的是，在各类高阶能力中，高级安全工具的掌握与编写 PoC 或 EXP 等高级利用能力近两年均在稳步上涨。其中，高级安全工具的掌握能力从 2021 年的 23.9%，到 2022 年的 29.2%，2023 年已稳步上涨至 32.8%，编写 PoC 或 EXP 等高级利用能力也从 2021 年的10.9%涨至 2023 年的 16.5%，上涨了 5.6 个百分点。从高级安全工具与高级编程利用入手学习高阶能力是白帽人才很好的选择。7 第二章 实战化白帽人才能力现状分析 2023 年 8 月，根据“实战化白帽人才能力图谱”，补天漏洞响应平台针对平台上活跃的518 名白帽子进行了实战化能力调研，本章将给出具体的调研结果和分析。一、基础能力 基础能力是比较初级的白帽人才实战化能力，学习和掌握相对容易，通常也是其他各类高级实战化能力学习和实践的基础。基础能力主要包括 Web 漏洞利用与基础安全工具使用两大类。（一）Web 漏洞利用 由于 Web 系统是绝大多数机构业务系统或对外服务系统的构建形式，所以 Web 漏洞利用也是最常见，最基础的网络攻击形式之一。在实战攻防演习中，白帽子最为经常利用的 Web漏洞形式包括：命令执行、SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、配置错误、弱口令、反序列化、文件上传、权限绕过等。调研显示，2023 年在所有的 Web 漏洞利用能力中，SQL 注入和命令执行的平均掌握率最高，但均未超过 90%：在实战中，88.0%的白帽子发现并利用过 SQL 注入漏洞，77.2%的白帽子发现并利用过命令执行漏洞。利用过 SQL 注入漏洞的白帽子如此诸多，主要原因是 SQL 注入类漏洞在实战化环境中最为常见。相比之下，平均掌握率最低的三种漏洞仍旧为反序列化漏洞、解析漏洞和配置错误，只有几乎不到半数的白帽子在实战中发现并利用过这三种漏洞。具体调研结果如下图。（二）基础安全工具 基础安全工具是指安全分析或攻防实战过程中，经常使用到的一些初级的、基础的软件工具。比较常见的基础安全工具包括：Burp Suite、Sqlmap、Nmap、Wireshark、AppScan、AWVS、MSF、Cobalt Strike 等。8 调研显示，Burp Suite 的平均掌握率最高，为 92.5%，是 2023 年度实战化白帽人才中唯一掌握率超过 9 成的基础安全工具，算得上是最基础的入门级安全工具。其次为 Sqlmap，平均掌握率为 82.4%，排名第二。而 AppScan 和 Cobalt Strike 的平均掌握率均不足 50%。也就是说，一半以上的白帽子不会使用 Cobalt Strike 和 AppScan 两款安全工具。具体调研结果如下图所示。二、进阶能力 进阶能力是相对更加高级的实战化白帽能力，学习和掌握的难度高于基础能力，但低于高阶能力，主要包括 Web 漏洞挖掘、Web 开发与编程、编写 PoC 或 EXP 等利用、社工钓鱼等。（一）Web 漏洞挖掘 Web 漏洞挖掘能力是指针对 Web 系统或软件进行漏洞挖掘的能力。在白帽子挖掘的 Web应用漏洞中，比较常见的漏洞形式包括：SQL 注入、弱口令、命令执行、逻辑漏洞、XSS、代码执行、解析漏洞、信息泄露、配置错误、反序列化、文件上传、权限绕过等。9 由于漏洞挖掘要比漏洞利用困难得多，所以，各种 Web 漏洞挖掘能力的平均掌握率均显著低于同类漏洞的漏洞利用能力 710 个百分点。其中，SQL 注入漏洞的挖掘能力平均掌握率最高，为 79.5%，与 2022 年 82.4%的掌握率相比略有下降。其次为弱口令漏洞，掌握率为68.0%排名第二，命令执行类漏洞挖掘能力排名第三，其平均掌握率为 66.2%。但值得注意的是，各项技能与 2022 年 web 漏洞挖掘能力掌握情况相比，弱口令漏洞和权限绕过类漏洞的挖掘能力平均掌握率下降显著。弱口令类漏洞挖掘掌握能力与 2022 年相比下降 15.5 个百分点，权限绕过类漏洞 2022 年掌握率为 58.4%，而 2023 年仅为 45.4%，下降了 13 个百分点。具体调研结果如上图。漏洞挖掘能力学习的难易程度，不仅与漏洞本身的技术原理或技术门槛有关，也与漏洞出现的概率有关。例如，反序列化漏洞大多对白帽子本身的代码掌握情况有要求，同时随着重要政企机构安全水平的普遍提高，配置错误导致的安全漏洞也会越来越少，因此这几类漏洞在实战环境下可能就会越来越难地被白帽子发现和利用。（二）Web 开发与编程 掌握一门或几门的开发与编程语言，是白帽子深入挖掘 Web 应用漏洞,分析 Web 站点及业务系统运行机制的重要基础能力。在实战攻防演习中，白帽子最为经常遇到和需要掌握的编程语言包括：Java、PHP、Python、C/C+、Golang 等。调研显示，在 5 种最常用的 Web 开发语言中，掌握 Python 语言开发与编程的白帽子人才最多，占比约为 68.0%，与 2022 年的 67.5%基本持平；其次是 PHP，占比为 33.0%。值得注意的是，Java 与 C/C+两张语言的掌握情况涨势较好。掌握 Java 的白帽子约为 32.8%，与 2022 年的 23.2%相比提高了 9.6 个百分点，掌握 C/C+白帽子约为 29.0%，相比于 2022年提高了 9.4 个百分点，二者均有显著提高。而掌握 Golang 的白帽子也终于突破 10.0%的大关，2023 年占比 10.4%。具体调研结果如下图。此外，还有约 27.4%的白帽子表示，他们虽然熟悉一些编程语言，但并没有真正的 Web 开发经验，不会进行真正的开发工作。总体而言，白帽子在 Web 开发与编程方面的能力是普遍较低的，绝大多数的白帽子，并不掌握除 Python 以外的其他 Web 开发语言。这很有可能成为我国实战化白帽人才能力长远发展的重要瓶颈。但比较乐观的是，通过近两年的情况可以看到，白帽子越来越清晰的知道自己的优势与劣势，正在努力提升 web 开发与编程的能力。10（三）编写 PoC 或 EXP 等利用 编写漏洞验证代码或漏洞利用代码，是比单纯的漏洞发现更加具有实战意义的白帽能力。其中主要包括 PoC（Proof of Concept）或 EXP（Exploit）这两种方式。关于 PoC,和 EXP 的详细解释，参见附录 1。在进阶能力中，PoC 或 EXP 等利用主要针对的是 Web 漏洞、智能硬件/IoT 漏洞等系统环境。调研显示，掌握 Web 漏洞的 PoC 或 EXP 编写能力的白帽子，占比高达 87.1%，几乎可以算是人人都会的必备技能。但是，掌握智能硬件/IoT 漏洞的 PoC 或 EXP 编写能力的白帽子，则占比仅为 13.9%，大约相当于平均每 7 个白帽子中，才有 1 人掌握针对智能硬件或IoT 设备编写漏洞验证代码或利用代码的能力。这与今天智能硬件/IoT 设备高度普及的现状是相当不匹配的。具体调研结果如下图。（四）社工钓鱼 社工钓鱼，是指利用社会工程学手法，利用伪装、欺诈、诱导等方式，利用人的安全意识不足或安全能力不足，对目标机构特定人群实施网络攻击的一种手段。社工钓鱼，既是实战攻防演习中经常使用的作战手法，也是黑产团伙或黑客组织最为经常使用的攻击方式。在很多情况下，“搞人”要比“搞系统”容易得多。社工钓鱼的方法和手段多种多样。在实战攻防演习中，最为常用，也是最为实用的技能主要有四种：开源情报收集、社工库收集、鱼叉邮件和社交钓鱼。其中，前面两个都属于情报收集能力，而后面两个则属于攻防互动能力。11 调研显示，约 86.1%的白帽子曾经在实战攻防演习中使用过社工钓鱼手法，完全没用过任何形式社工钓鱼手法的白帽子仅有 13.9%。这表明，社工钓鱼已经成为实战攻防演习的重要组成部分和普遍使用的攻防手法，单纯基于技术的攻防思想已经完全不适用于现代实战攻防演习活动。具体调研结果如上图。在四种最常用的社工钓鱼方法中，使用过社工库收集的白帽子最多，占比为 62.6%；其次是开源情报收集，占比为 61.8%；49.0%的白帽子曾使用过社交钓鱼；仅 34.6%的白帽子使用过鱼叉邮件。事实上，从我们对各类高级威胁，特别是 APT 活动的研究中可以明显的发现，鱼叉邮件一直是攻击成本最低、攻击成功率最高的攻击方法之一。但在实战攻防演习工作中，仅有约三分之一的白帽子使用过鱼叉邮件，这与鱼叉邮件在实战攻防过程中的实际地位是不相配的。造成这种情况的原因有几个方面：首先，鱼叉邮件虽然成本低，但也有一定的技术门槛，特别是需要一定的前期情报收集，需要对目标个体或群体有比较充分的了解，否则很难构造出以假乱真的邮件。第二，在某些实战攻防演习中，鱼叉邮件是被禁止使用的。这就导致演习环境与现实环境存在很大的差异。不过，从趋势上看，对于社工手法的使用限制正在变得越来越少。第三，很多白帽子更加崇尚技术路线或其他社工方式（如使用社交软件进行攻击），尚未充分认识到鱼叉邮件对政企机构攻击的有效性。三、高阶能力 高阶能力是最为高级的实战化白帽能力，学习和掌握的难度普遍较高，白帽子通常需要多年的学习和实战经验积累，才能初步掌握其中一小部分的关键能力。在实战化环境中，白帽子的高阶能力主要包括：系统层漏洞利用与防护、系统层漏洞挖掘、身份隐藏、内网渗透、高级安全工具、编写 PoC 或 EXP 等高级利用、掌握 CPU 指令集、团队协作等几个方面。（一）系统层漏洞利用与防护 为应对各种各样的网络攻击，操作系统内部有很多底层的安全机制。而每一种安全机制，12 都对应了一定形式的网络攻击方法。对于白帽子来说，学习和掌握底层的系统安全机制，发现程序或系统中安全机制设计的缺陷或漏洞，是实现高水平网络攻击的重要基础技能。在实战攻防演习中，最为实用、也是最为常用的 7 种典型的系统层安全机制包括：SafeSEH、DEP、PIE、NX、ASLR、SEHOP、GS 等。调研显示，SafeSEH 的平均掌握率最高，为 19.5%，与 2022 年 18.2%相比略有提升；其次是 PIE，平均掌握率为 17.0%。GS 的平均掌握率最低，仅为 8.1%。不过系统层漏洞利用与防护能力从总体来看，均略有提升，具体调研结果如下图。客观的说，学习操作系统的安全机制，对于当下绝大多数国内的白帽子来说都是非常困难的。从调研结果来看，白帽子对 7 种典型的系统层安全机制的平均掌握率均未超过 20%。同时，有 50.4%的白帽子明确表示，自己从未接触人过任何系统层漏洞利用与防护方面的安全知识。（二）系统层漏洞挖掘 系统层漏洞的挖掘需要很多相对高级的漏洞挖掘技术与方法。从实战角度看，以下 6 种挖掘方法最为实用：代码跟踪、动态调试、Fuzzing 技术、补丁对比、软件逆向静态分析、系统安全机制分析。调研现实，Fuzzing 技术的平均掌握率最高，均为 33.8%，略有提升，代码跟踪能力的平均掌握率也达到了 31.5%与 2022 年相比基本持平。动态调试能力平均掌握率排名第三，达 28.0%。软件逆向静态分析、补丁对比、系统安全机制分析等能力的平均掌握率较低，分别为 24.5%、21.6%和 14.5%。此外，约有 34.4%的白帽子表示，从未接触过系统层漏洞挖掘方面的工作。具体调研结果如下图。13 （三）身份隐藏 为避免自己的真实 IP、物理位置、设备特征等信息在远程入侵的过程中被网络安全设备记录，甚至被溯源追踪，攻击者一般都会利用各种方式来进行身份隐藏。在实战攻防演习中，攻击方所采用的身份隐藏技术主要有以下几类：匿名网络（如 Tor）、盗取他人 ID/账号、使用跳板机、他人身份冒用和利用代理服务器等。调研显示，68.0%的白帽子曾经利用代理服务器进行过身份隐藏，与 2022 年 81.1%相比显著下降；50.0%的白帽子使用过跳板机；45.6%的白帽子使用过匿名网络。而曾经使用过冒用他人身份、盗取他人 ID/账号等方法隐藏身份的白帽子，仅分别有 31.1%和 29.0%。具体调研结果如下图。此外，约有 9.3%的白帽子表示，从来没有使用过任何身份隐藏的技术或方法。而不进行身份隐藏，也就意味着，在实战化环境下，或在实战攻防演习中，白帽子一旦发起攻击，就很容易暴露自己，进而被防守方所捕获。14（四）内网渗透 内网渗透，是指当攻击方已经完成边界突破，成功入侵到政企机构内部网络之后，在机构内部网络中实施进一步渗透攻击，逐层突破内部安全防护机制，扩大战果或最终拿下目标系统的攻击过程。在实战攻防环境下，白帽子比较实用的内网渗透能力主要包括：工作组或域环境渗透、横向移动、内网权限维持/提权、数据窃取和免杀等。调研显示，内网权限维持/提权的平均掌握率最高，约为 55.6%；其次是横向移动，平均掌握率为 51.9%。特别值得注意的是，约有 38.4%的白帽子或多或少的掌握一定程度的免杀技术。这也意味着，政企机构单纯依赖杀毒软件，很难防范专业白帽的渗透攻击。此外，约有 17.2%的白帽子表示，没有接触过内网渗透相关的各项技能。具体调研结果如下图。（五）高级安全工具 高级安全工具同样是白帽子的必修课，只不过这些工具对于使用者有更高的基础技能要求，初学者不易掌握。在实战化环境中，最为经常被用到的工具包括：IDA、Ghidra、Binwalk、OllyDbg、Peach fuzzer 等。调研显示，白帽子最爱使用的高级安全工具是 IDA，平均掌握率高达 52.1%。Peach fuzzer 的平均掌握率从 2022 年的 15.2%增长至 2023 年的 38.0%，排名跃升至第二，显著增长了 22.8 个百分点。Binwalk 和 OllyDbg 掌握率紧随其后，分别为 31.1%月 27.4%。会用Ghidra 的人最少，只有 15.4%。此外有 21.0%的白帽子表示，从来没有接触或使用过这些高级的安全工具，与 2022 年持平。可怜更多的白帽子在开始接触和使用各种高级安全工具的同时，越来越倾心于更加智能和自动化的检测工具。具体调研结果如下图所示。15 （六）编写 PoC 或 EXP 等高级利用 针对 Web 漏洞或智能硬件/IoT 漏洞编写 PoC 或 EXP，属于实战化的进阶能力。而针对各类操作系统或网络安全设备编写 PoC 或 EXP，则属于实战化的高阶能力。在实战化环境中，比较被关注的操作系统主要包括：Windows、Android、iOS、Linux、macOS。调研显示，掌握 Windows 操作系统 PoC 或 EXP 编写能力的白帽子最多，约为 27.4%，增长了 7.9%；其次是 Linux 25.1%、Android 17.4%。而针对苹果公司的操作系统，有 PoC 或EXP 编写能力的白帽子非常“稀有”，iOS 6.6%、macOS 3.5%。此外，约有 18.9%的白帽子能够针对某些网络安全设备编写 PoC 或 EXP。总体而言，能够针对操作系统和网络安全设备编写 PoC 或 EXP 的白帽子，正在逐步增加，但总体还是非常稀少的。具体调研结果如下图。特别值得注意的是，针对网络安全设备编写 PoC 或 EXP 的能力是非常实用的实战化技能。相比于主流的商业化操作系统，国内各家安全企业生产的网络安全设备，其自身的安全性实际上是参差不齐的，被报告漏洞后的响应与修复速度也大不相同。在很多情况下，针对网络安全设备挖洞和编写利用代码，要比直接攻击主流操作系统更容易。16（七）掌握 CPU 指令集 CPU 指令集，即 CPU 中用来计算和控制计算机系统的一套指令的集合。每一种不同的 CPU在设计时都会有一系列与其他硬件电路相配合的指令系统。指令系统包括指令格式、寻址方式和数据形式。一台计算机的指令系统反应了该计算机的全部功能。机器类型不同，其指令集也不同。而白帽子对 CPU 指令集的掌握程度，将直接决定白帽子进行系统层漏洞挖掘与利用的能力水平。目前，最为常见的 CPU 指令集包括 x86、MIPS、ARM 和 PowerPC 等。调研显示，实战化白帽人才 2023 年对各类 CPU 指令集均略有提高，其中，掌握 x86 的白帽子最多，占比约为 47.3%；其次是 ARM，占比约为 24.5%，掌握 MIPS 和 PowerPC 指令集的白帽子分别约占比 17.4%和 13.5%。此外，约 37.6%的白帽子表示，从未接触过操作系统指令集方面的知识和技能。具体调研结果如上图。（八）团队协作与角色 由 35 人组成的攻击小队，通过分工协作的方式高效完成攻击行动的模式已经越来越成熟。而对于白帽子来说，是否拥有团队协作的作战经验，在团队中扮演过什么样的角色，也是白帽子实战化能力的重要指标。在实战攻防演习实践中，攻击队比较常见的角色分工主要有 6 种，分别是：行动总指挥、情报收集人员、武器装备制造人员、打点实施人员、社工钓鱼人员和内网渗透人员。调研显示，在实战攻防演习中，打点实施人员是最为热门的角色，超过半数（52.3%）的白帽子曾经担任过这个角色。其次是情报收集人员，45.2%的白帽子担任过这个角色。接下来依次是内网渗透人员 25.5%、社工钓鱼人员 23.2%。行动总指挥是攻击队的核心和“主角”，对实战攻防能力的综合素质要求最高。调研结果显示，仅有约 22.8%的白帽子担任过行动总指挥。具体调研结果如下图。17 需要强调的是，内网渗透是非常重要的实战化能力。但如前所述，内网渗透能力的平均掌握率不足 50%（45.9%），而在实际演习过程中担任过内网渗透人员角色的白帽子更是不足三成。这与演习之外，缺乏合法合规的内网渗透实战及教学环境有很大关系。18 第三章 总结 下图是汇集了上述所有信息的，2023 年实战化白帽人才能力现状。19 附录 1 实战化白帽人才能力各项技能详解 一、基础能力 基础能力是比较初级的实战化白帽能力，学习和掌握相对容易，通常也是其他各类高级实战化技能学习和实践的基础能力。基础能力主要包括 Web 漏洞利用与基础安全工具使用两类。（一）Web 漏洞利用 Web 漏洞利用能力是指利用 Web 系统或软件的安全漏洞实施网络攻击的能力。由于 Web 系统是绝大多数机构业务系统或对外服务系统的构建形式，所以 Web 漏洞利用也是最常见，最基础的网络攻击形式之一。在实战攻防演习中，白帽子最为经常利用的 Web漏洞形式包括：命令执行、SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、配置错误、弱口令、反序列化、文件上传、权限绕过等。1）命令执行 命令执行漏洞，是指黑客可以直接在 Web 应用中执行系统命令，从而获取敏感信息或者拿下 Shell 权限的安全漏洞。造成命令执行漏洞最常见的原因是 Web 服务器对用户输入命令的安全检测不足，导致恶意代码被执行。命令执行漏洞常常发生在各种 Web 组件上，包括Web 容器、Web 框架、CMS 软件、安全组件等。2）SQL 注入 SQL，是 Structured Query Language 的缩写，意为结构化查询语言。SQL 注入漏洞，是最常见的安全漏洞形式之一，是指通过构造特定的 SQL 语句，可以实现对数据库服务器的非授权查询，进而造成数据库数据泄露的安全漏洞。SQL 注入漏洞产生的主要原因是软件系统对输入数据的合法性缺少校验或过滤不严。3）代码执行 代码执行漏洞，是指通过构造特殊的语句或数据，使软件可以在设计流程之外，执行特定函数或命令的安全漏洞。造成代码执行漏洞的主要原因是，开发人员在编写代码时，没有充分校验输入数据的合法性。4）逻辑漏洞 逻辑漏洞，是指由于程序设计逻辑不够严谨，导致一些逻辑分支处理错误，或部分流程被绕过，进而引发安全风险的安全漏洞。5）解析漏洞 解析漏洞，是指服务器应用程序在解析某些精心构造的后缀文件时，会将其解析成网页脚本，从而导致网站沦陷的漏洞。大部分解析漏洞的产生都是由应用程序本身的漏洞导致的。此类漏洞中具有代表性的便是 IIS6.0 解析漏洞，此漏洞又有目录解析和文件解析两种利用 20 方式，但也有少部分是由于配置的疏忽所产生的。6）信息泄露 信息泄露漏洞，是指造成系统或服务器中，本应被保护或不可见的敏感信息被意外泄露的安全漏洞。这些信息包括账号密码、系统配置、运行状态、关键参数、敏感文件内容等。造成信息泄露漏洞的主要原因包括运维操作不当、系统代码不严谨等。7）XSS XSS，全称为 Cross Site Scripting，意为跨站脚本攻击，为了和更加常用的 CSS（Cascading Style Sheets，层叠样式表）有所区分，特别简写为 XSS。XSS 攻击，通常是指通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括 Java、VBScript、ActiveX、Flash 或某些普通的 HTML 等。攻击成功后，攻击者可能得到更高的权限（如执行一些操作）、私密的网页内容、会话信息和 Cookie 等各种用户敏感信息。最早期的 XSS 攻击示例大多使用了跨站方法，即：用户在浏览 A 网站时，攻击者却可以通过页面上的恶意代码，访问用户浏览器中的 B 网站资源（如 Cookie 等），从而达到攻击目的。但随着浏览器安全技术的进步，早期的跨站方法已经很难奏效，XSS 攻击也逐渐和“跨站”的概念没有了必然的联系。只不过由于历史习惯，XSS 这个名字一直被延用了下来，现如今用来泛指通过篡改页面，使浏览器加载恶意代码的一种攻击方法。在本文中，白帽子的 XSS 能力，是指白帽子能够发现软件或系统的设计缺陷或安全漏洞，构造 XSS 攻击代码，实现网络攻击的技术能力。8）配置错误 配置错误，是指由软件或系统的配置不当导致安全风险的安全漏洞。例如，文件的或服务的访问权限、可见范围配置不当，网络安全规则的设置错误等，都有可能使系统处于暴露或风险之中。配置错误的本质是系统的使用或运维不当，而不是系统的设计或开发问题。造成配置错误的主要原因是运维人员的疏忽或专业技能不足。9）弱口令 弱口令也是安全漏洞的一种，是指系统登录口令的设置强度不高，容易被攻击者猜到或破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形式包括：系统出厂默认口令没有修改；密码设置过于简单，如口令长度不足，单一使用字母或数字；使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口令；设置的口令属于流行口令库中的流行口令。10）反序列化 反序列化漏洞，是指反序列化过程可以被操控或篡改，进而引发恶意代码执行风险的安全漏洞。序列化和反序列化都是基础的计算机技术。序列化就是把计算机中的“对象”转换成字节流，以便于存储的一种方法。反序列化是序列化的逆过程，即将字节流还原成“对象”。在反序列化过程中，如果输入的字节流可以被控制或篡改，就有可能产生非预期的“对 21 象”。这就是反序列化漏洞。此时，攻击者通过构造恶意字节流输入，就可以在反序列化过程中，在对象被还原的过程中，使系统执行恶意代码。11）文件上传 文件上传漏洞，是指可以越权或非法上传文件的安全漏洞。攻击者可以利用文件上传漏洞将恶意代码秘密植入到服务器中，之后再通过远程访问去执行恶意代码，达到攻击的目的。12）权限绕过 权限绕过漏洞，是指可以绕过系统的权限设置或权限管理规则执行非法操作的安全漏洞。造成权限绕过漏洞的主要原因是，软件或系统的开发人员对数据处理权限的设计或判定不严谨、不全面。（二）基础安全工具 基础安全工具是指安全分析或攻防实战过程中，经常使用到的一些初级的、基础的软件工具。比较常见