Cette année, le Cross-Site Scripting (XSS) est resté le type de vulnérabilité le plus courant et a reçu le plus grand nombre de récompenses sur HackerOne, selon la plate-forme de rapport de vulnérabilité basée sur les hackers.

Dans un rapport publié cette semaine, HackerOne révèle que les failles XSS représentaient 18% de tous les problèmes signalés et que les primes payées par les entreprises pour ces bogues ont augmenté de 26% par rapport à l’année dernière, atteignant 4,2 millions de dollars (soit une moyenne de seulement 501 dollars par vulnérabilité. ).

Extrêmement courantes et difficiles à éliminer, les failles XSS sont souvent intégrées dans le code des applications Web et pourraient être exploitées pour compromettre le compte ou le vol d’informations sensibles, y compris les numéros de compte bancaire, les données de carte de crédit, les mots de passe, les informations personnelles identifiables (PII), et plus.

Le deuxième type de vulnérabilité le plus récompensé en 2020, selon HackerOne, est le contrôle d’accès impropre, qui a connu une augmentation de 134% de son occurrence par rapport à 2019, avec un total de 4 millions de dollars payés par les entreprises en primes de bogues.

La divulgation d’informations a conservé la troisième position qu’elle occupait dans le rapport de l’année dernière, enregistrant une augmentation de 63% d’une année à l’autre. Avec 3 millions de dollars payés par les organisations pour les atténuer au cours de l’année écoulée, les vulnérabilités SSRF (Server-Side Request Forgery) se sont retrouvées en quatrième position.

«Auparavant, les bogues SSRF étaient assez bénins et occupaient notre septième place, car ils permettaient uniquement l’analyse du réseau interne et parfois l’accès aux panneaux d’administration internes. Mais à l’ère de la transformation numérique rapide, l’avènement de l’architecture cloud et des points de terminaison de métadonnées non protégés a rendu ces vulnérabilités de plus en plus critiques et met en lumière le risque de migrations vers le cloud mal effectuées », a déclaré HackerOne.

Les cinq premiers sont arrondis à la référence directe d’objet non sécurisée (IDOR), suivie de l’escalade de privilèges, de l’injection SQL, de l’authentification incorrecte, de l’injection de code et de la falsification de demandes intersites (CSRF).