中国实战化白帽人才能力图谱（2025）.pdf

资源描述

中国实战化白帽人才能力图谱 2025.12 主要结论白帽人才应该“能攻善守”。本次图谱对实战化白帽人才能力图谱进行了重大扩充：将网络安全实战攻防演习中，防守侧人员需要掌握的 52 项能力扩充为 54 项能力；同时，将攻击侧人员需要掌握的能力图谱，从原有的 108 项能力扩充为 115 项能力。攻防合计包含 169 项具体能力。本次图谱改变了先前使用的“先分级再分类”的架构方式，而是完全以“知识图谱”的形式，重新架构能力图谱，这种方式更有利于明确白帽人才的培养目标和职业规划，更有利于专业学校组织教学和白帽人才自学发展。本次图谱，将 AI 辅助攻防、安全设备绕过、大模型安全等新兴攻防技术引入图谱。这些技术在近年来的网络安全实战攻防演习中，已经被越来越频繁的使用。本次图谱对 471 名白帽子进行了实战化能力调研。其中，65.1%的白帽子参与过网络安全实战攻防演习攻击队，53.9%的白帽子参与过演习防守队。同时，有 46.5%的白帽子表示自己攻防均可，攻击队防守队均参与过。在攻击侧 7 大类实战化能力中，“Web 漏洞利用与挖掘”是最普及、最主要的一种攻击能力，白帽人才的平均掌握率超过六成。其次是“安全工具使用”和“社工与渗透”，约半数的白帽人才掌握此类相关能力。各类“攻击辅助”能力和“编程与开发”能力的平均掌握率均在三成左右。与 2024 年相比，除了“安全工具使用”的平均掌握率稍有提高外，其他各大类能力的平均掌握率均有 0.5%6.5%不等的小幅下降。关键字关键字：实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、安全检查、情报目录研究背景研究背景.1 第一章第一章实战化白帽人才能力图谱实战化白帽人才能力图谱.3 一、攻击侧能力图谱.3 二、防守侧能力图谱.6 第二章第二章实战化白帽人才能力现状实战化白帽人才能力现状.9 一、攻击侧现状分析.9 二、防守侧现状分析.11 第三章第三章能力图谱与掌握情况总览能力图谱与掌握情况总览.13 附录附录 1 1 实战化白帽人才能实战化白帽人才能力调研统计数据详情力调研统计数据详情.14 附录附录 2 2 实战化白帽人才能力图谱攻击侧能力详解实战化白帽人才能力图谱攻击侧能力详解.22 一、WEB漏洞利用与挖掘.22 二、系统层漏洞利用与挖掘.24 三、安全工具使用.27 四、编程与开发.30 五、社工与渗透.33 六、攻击辅助.36 七、其他攻击能力.39 附录附录 3 3 实战化白帽实战化白帽人才人才能力图谱防守侧能力详解能力图谱防守侧能力详解.43 一、检查与整改.43 二、监测与分析.45 三、响应与处置.48 四、溯源与反制.50 五、其他能力.53 附录附录 4 4 补天漏洞响应平台补天漏洞响应平台.57 1 研究背景中国实战化白帽人才能力图谱（以下简称：图谱）由补天漏洞响应平台、全国网络空间安全行业产教融合共同体、奇安信安服团队、奇安信行业安全研究中心、北京理工大学、重庆电子科技职业大学联合发布，并得到了中国职业技术教育学会网络安全专委会的指导。图谱结合攻防双方的实战化要求，绘制了实战化白帽人才能力图谱，并以此为基础展开广泛调研。图谱于 2021 年 1 月首次发布，以白帽子的攻击能力为主要分析对象。不过，随着网络安全实战攻防演习的不断深入开展，对白帽人才实战化能力要求的不断提升，防守侧人才的实战化能力也日益受到关注。在攻防演习活动中，不论是攻击侧还是防守侧，其共同目标都是通过对抗性的实战演练，发现系统存在的安全漏洞或安全隐患。从这个角度看，防守侧人员所需要具备的安全能力也应纳入到实战化白帽人才的能力图谱（以下简称：能力图谱）中。也就是说，白帽子，不仅要能攻，而且要善守。因此，在 2024 年发布的图谱中，首次将攻防双方的能力共同纳入能力图谱，共给出 12 大类、29 小类、160 项具体能力。其中，攻击侧为 7 大类、17 个小类、108 项能力，防守侧为 5 大类、12 小类、52 项能力。2025 年，我们对能力图谱再度更新：攻击侧新增 AI 辅助绕过小类，新增对抗性攻击、威胁情报分析、反取证操作、WAF 规则、EDR 行为检测、人脸识别系统、语音验证 7 项具体能力。防守侧新增 AI 辅助安全分析小类，新增 AI 安全分析平台、调用大模型接口辅助分析2 项具体能力。从而使能力图谱扩容至 7 大类、31 小类、169 项具体能力。其中，攻击侧为7 大类、18 个小类、115 项能力，防守侧为 5 大类、13 小类、54 项能力。下图给出了本次报告中攻击侧与防守侧能力图谱的总览（细分到小类）。此外，为了方便白帽人才从易到难的学习实战化能力，图谱特别对每一项具体能力的学习难度进行标注。三个级别的学习难度分别：基础能力、进阶能力、高阶能力。在能力图谱中，我们用颜色的深浅来标示能力学习的难易程度，颜色越深，学习难度越大。2 发布图谱的重要目的之一，就是引导白帽子群体更加科学合理的规划自己能力提升路径，帮助高校及政企机构更加科学合理的制定网络安全人才培养方案。因此，自 2021 年首次发布以来，每一年度，图谱都会结合最新的能力图谱架构，对白帽人才展开调研，统计分析各项能力、各类能力在白帽群体中的掌握情况。2025 年 8 月，补天漏洞响应平台再次对平台上活跃的 471 名白帽子进行了实战化能力调研，并形成了本次图谱的统计结论。在本次发布的图谱中，使用“平均掌握率”来对比分析各项能力或各类能力的人才掌握水平。单项能力的平均掌握率，是指在受调研的白帽子群体中，掌握某项具体的实战化能力的白帽子人数占所有受调研白帽子总人数的比例。而某一小类多项能力的总体平均掌握率，则是各单项能力的平均掌握率的总平均值。某一大类能力的总体平均掌握率，则是各小类能力的平均掌握率的总平均值，具体计算方法如下：单项能力的平均掌握率=掌握该项能力的白帽子人数受调研的白帽群体总人数小类能力平均掌握率=1 第项能力的平均掌握率=1 大类能力平均掌握率=1 第小类能力的平均掌握率=1 在接下来的内容中，我们将首先通过一章的内容来介绍攻击侧和防守侧的实战化能力图谱的具体构成，再通过一章内容来分析当前各类不同的实战化能力的平均掌握率情况。附录中给出了调研结果的原始数据和各项能力的具体说明，以方便白帽人才学习和研究。3 第一章实战化白帽人才能力图谱本章结合网络安全实战攻防演习实践，给出实战化白帽人才能力图谱的具体构成，其中：攻击侧为 7 大类、18 个小类、115 项能力，防守侧为 5 大类、13 小类、54 项能力。总计 169项具体能力。本文附录对每一项技能的含义与要求，进行了详细的说明。一、攻击侧能力图谱在网络安全实战攻防演习中，攻击侧成员通常需要拥有深厚的技术背景及综合性的攻防能力，具体包括 7 大类、18 小类、115 项能力。下图给出了实战化白帽人才能力图谱攻击侧的完整图谱。在图中，我们用颜色深浅来区分各项能力的学习难度。颜色由浅到深分别表示基础能力、进阶能力和高阶能力。下面，我们对攻击侧的 7 大类能力，即 Web 漏洞利用与挖掘、系统层漏洞利用与挖掘、安全工具使用、编程与开发、社工与渗透、攻击辅助和其他攻击能力进行简要说明。具体到每个能力项的含义说明，详见本图谱“附录 2 实战化白帽人才能力图谱攻击侧能力详解”。（一）Web 漏洞利用与挖掘 Web 漏洞利用与挖掘，是指针对 Web 系统或应用中存在的安全漏洞进利用和挖掘的攻击手段。具体又包括 Web 漏洞利用和 Web 漏洞挖掘两个方面。前者是指利用已知的各类 Web 漏洞进行攻击的技术能力，后者是指发现系统中存在的新的 Web 漏洞的能力。从技术原理来看，最常见的 Web 漏洞主要包括以下 12 种类型：命令执行、SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、XSS、配置错误、弱口令、反序列化、文件上传、权限绕过。针对这 12 种不同技术原理的漏洞进行利用和挖掘，就分别对应了 Web 漏洞利用与挖掘各自包含的 12 项不同能力。（二）系统层漏洞利用与挖掘 4 为应对各种各样的网络攻击，操作系统内部有很多底层的安全机制。系统层漏洞利用与挖掘指针对操作系统、服务器或网络设备等系统层面的安全漏洞进行攻防利用与漏洞挖掘的能力。其中，系统层漏洞挖掘，要求具备能够深入分析系统架构、配置及源代码，发现系统层面的潜在安全漏洞，为增强系统防御提供关键信息和修复建议的能力。系统层漏洞利用能力，主要包括 7 种最为常用的、典型的系统层安全机制，即 SafeSEH、DEP、PIE、NX、ASLR、SEHOP、GS。而最常用的系统层漏洞挖掘能力（方法）主要包括 6 种，即代码跟踪、动态调试、Fuzzing技术、补丁对比、软件逆向静态分析、系统安全机制分析。（三）安全工具使用在攻击侧，安全工具的使用是指在安全分析或攻防实战过程中，通过使用一系列成熟的、专用的安全工具，对网络系统进行监测、分析，乃至实现特定的攻击活动的攻击方法。其中比较常见的基础安全工具包括：Burp Suite、Sqlmap、Nmap、Wireshark、AppScan、AWVS、MSF、Cobalt Strike 等。经常被用到的高级工具包括：IDA、Ghidra、Binwalk、OllyDbg、Peach fuzzer 等。（四）编程与开发编写和优化攻击代码与脚本，用于渗透测试、漏洞利用，甚至是设计并实现木马程序、黑客工具，以支持攻防需求，是白帽子在攻击侧需要具备的较高级能力。编程与开发能力主要包括 Web 开发与编程、编写 PoC 或 EXP 等利用两个方面。在 Web 开发与编程方面，白帽子最为经常遇到和需要掌握的编程语言包括：Java、PHP、Python、C/C+、Golang 等。而编写 PoC 或 EXP 等利用，又可以分为一般利用和高级利用。编写 PoC 或 EXP 等一般利用主要包括针对 Web 漏洞、智能硬件/IoT 漏洞、WAF 等防护设备绕过等利用。编写 PoC 或EXP 高级利用，则主要包括编写针对 Windows、Android、iOS、Linux、macOS 等操作系统，以及针对网络安全设备等的漏洞利用。（五）社工与渗透在对目标网络进行入侵活动时，社会工程学（也称为社工钓鱼）方法和网络渗透方法是最为主要、最为常用的攻击手段。在此将二者合并简称为社工与渗透能力。社工钓鱼，是指利用社会工程学手法，利用伪装、欺诈、诱导等方式，利用人的安全意识不足或安全能力不足，对目标机构特定人群实施网络攻击的一种手段。社工钓鱼，既是实战攻防演习中经常使用的作战手法，也是黑产团伙或黑客组织最为经常使用的攻击方式。在很多情况下，“搞人”要比“搞系统”容易得多。社工钓鱼的方法和手段多种多样。在实战攻防演习中，最为常用，也是最为实用的技能主要有三种：社工库收集、鱼叉邮件与社交钓鱼。内网渗透，是指当攻击方已经完成边界突破，成功入侵到政企机构内部网络之后，在机构内部网络中实施进一步渗透攻击，逐层突破内部安全防护机制，扩大战果或最终拿下目标系统的攻击过程。5 在实战攻防环境下，白帽子比较实用的内网渗透能力包括：工作组或域环境渗透、横向移动、内网权限维持/提权、数据窃取、常见隧道工具使用、免杀、云安全防护绕过与终端安全防护绕过等。（六）攻击辅助攻击辅助是指能够提升攻击活动成功率，或避免自身非发现的各类辅助性技术手段。这些技术手段通常都不是直接的攻击技术，但与各种攻击技术、社工手法配合使用，就能大大提升攻击活动的效率和成功率。目前，攻击辅助能力主要体现在身份隐藏、大模型辅助及情报收集与分析三方面。为避免自己的真实 IP、物理位置、设备特征等信息在远程入侵的过程中被网络安全设备记录，甚至被溯源追踪，攻击者一般都会利用各种方式来进行身份隐藏。在实战攻防演习中，攻击方所采用的身份隐藏技术主要有以下几类：匿名网络、盗取他人 ID/账号、使用跳板机、冒充他人身份和利用代理服务器等。大模型辅助是指在网络攻防实战过程中，通过使用各种大模型工具，实现加速攻击效率、智能分析预测目标系统潜在弱点，并自动优化攻击手段等目的的攻击辅助方法。目前在白帽子中比较流行的大模型辅助方法包括：大模型深度伪造、大模型辅助爆破、大模型漏洞挖掘、大模型辅助开发、对抗性分析、威胁情报分析、大模型辅助 EXP 开发及反取证操作。AI 辅助绕过指的是攻击者利用人工智能技术，自动化、智能化地修改恶意软件或攻击载荷，使其能够逃避传统和现代安全产品的检测机制。攻击方所掌握的绕过方式分别有：WAF规则绕过、EDR 检测、人脸识别系统、语音验证。情报收集与分析是网络安全实战攻防演习过程中，攻击队必不可少的前期准备工作。只有充分的掌握目标系统的精准情报，才能实现对目标系统的高效攻击。具体来说，主要包括公开情报收集、开源安全情报、黑灰产情报、目标系统信息及关键人锁定等几个方面。（七）其他攻击能力除了前述各项安全能力外，实战化白帽攻击人才还需要具备以下一些通用或特殊能力，包括大模型安全、掌握 CPU 指令集与团队协作等。大模型安全是指能够对针对应用系统所使用的 AI 大模型本身进行攻击的一种安全能力。具体来说，又可以分为大模型越狱和大模型组件安全两个方向。由于大模型技术已经在众多行业中得到了普及应用，因此，大模型本身的安全问题也倍受关注。在 2025 年的网络安全实战攻防演习中，已经有攻击队能够通过对应用系统大模型的攻击，实现既定的攻击目标任务。CPU 指令集，即 CPU 中用来计算和控制计算机系统的一套指令的集合。每一种不同的 CPU在设计时都会有一系列与其他硬件电路相配合的指令系统。指令系统包括指令格式、寻址方式和数据形式。一台计算机的指令系统反应了该计算机的全部功能。机器类型不同，其指令集也不同。而白帽子对 CPU 指令集的掌握程度，将直接决定白帽子进行系统层漏洞挖掘与利用的能力水平。本文指掌握不同架构下的底层程序分析。目前，最为常见的 CPU 指令集包括x86、MIPS、ARM 和 PowerPC。随着网络安全实战攻防演习实践的不断深入和防守方的整体能力持续提升，白帽子单凭强大的个人能力单打独斗取得胜利的希望越来越小。而由 35 人组成的攻击小队，通过分工协作的方式高效完成攻击行动的模式已经越来越成熟。而对于白帽子来说，是否拥有团队协 6 作的作战经验，在团队中扮演什么样的角色，也是白帽子实战化能力的重要指标。团队作战，成功的关键的是协作与配合。通常来说，每只攻击队的成员都会有非常明确的分工和角色。在实战攻防演习实践中，攻击队比较常见的角色分工主要有 7 种，分别是：行动总指挥、情报收集人员、武器装备制造人员、打点实施人员、社工钓鱼人员、内网渗透人员、攻击成果报告撰写人员。需要说明的是，在实际演习过程中，一人分饰多个角色也是非常普遍的。二、防守侧能力图谱白帽人才，既要能攻，也要善守。在网络安全实战攻防演习中，越来越多的白帽子已经投入防守侧工作当中，利用自己对攻击队的了解，能够更好的在防守侧大展拳脚。面对日益智能化、隐蔽化和复杂化的网络威胁，面对层出不穷的 Oday 漏洞、供应链攻击、新的高级攻击手法、甚至是高级持续性威胁（APT）等，想要构建坚固的安全防线，不仅需要先进的技术支撑，更离不开高效的管理机制、专业的团队素养以及快速的应急响应、甚至追踪反制能力。在本次研究中，实战化白帽人才能力图谱防守侧主要包括 5 大类、13 小类、54 项具体能力。下图给出了实战化白帽人才能力图谱防守侧的完整图谱。在图中，我们用颜色深浅来区分各项能力的学习难度。颜色由浅到深分别表示基础能力、进阶能力和高阶能力。需要说明的是，与攻击侧能力分类有所区别，防守侧的 5 大类能力分类与网络安全实战攻防演习过程中关键环节的执行次序有关。一般来说，演习开始前，要对系统进行“检查与整改”；演习开始后要对系统进行“监测与分析”；一旦发生问题，需要进行“响应与处置”；对于攻击活动进行处置的同时，防守队还需要对攻击队（攻击者）进行“溯源与反制”；除此以外还有一些“其他能力”贯穿整个演习过程。下面就对防守侧人员需要掌握的网络安全能力进行简要说明。具体到每个能力项的含义说明，详见本图谱“附录 3 实战化白帽人才能力图谱防守侧能力详解”。7 （一）检查与整改检查与整改，主要是指在网络安全运营过程中，或在网络安全实战攻防演习之前，对机构网络安全建设与运营的摸底排查和整改加固工作，目的是通过事前有针对性的自查工作，提前发现问题、提前消除隐患。其中包括：安全检查、整改加固与规则优化三个小类。安全检查，是指按照特定的流程、框架和规范，对机构的网络安全建设与运营状况进行逐一排查并确定问题的过程。安全检查一般需要检查人员具备资产梳理、基线检查、渗透测试/漏洞发现、安全有效性验证等技术能力。整改加固，是指对已经发现的安全漏洞、敏感信息泄露、资产暴露、策略不足、弱口令等问题进行及时定位和修补，提前排除各类技术隐患的安全工作。整改加固过程一般需要具备应用漏洞修复与升级、防护措施补全、安全设备加固和安全策略初始化等技术能力。规则优化，是指根据攻防态势的动态变化、根据事件分析及追踪溯源的结果，对各类网络安全设备、网络安全系统的识别与拦截规则进行动态优化配置。具体包括：规则优化、降噪及威胁建模三个环节。（二）监测与分析监测与分析，是指通过各类网络安全设备或系统，对机构内部网络中发生的各类网络安全威胁事件进行实时监测和分析研判的安全工作。监测与分析，不仅是日常网络安全运营过程中最主要的工作，也是网络安全实战攻防演习过程中最为主要的基础性工作。监测与分析工作，具体来说有可以分为告警监测与事件分析两大类。告警监测，一般是指通过各类网络安全软件、设备及监测平台，对监测范围内的所有系统中发生的各类网络安全告警信息进行实时监测、汇总的安全工作。告警监测能力，在网络安全实战攻防演习的实战阶段，防守方最为基础性的实战化技能，也是日常网络安全运营工作中最为重要的基础技能。告警监测的主要范围一般包括：终端告警监测、服务器告警监测、流量告警监测、业务系统告警监测、蜜罐/蜜点告警监测及其他安全设备告警监测。事件分析，是指当疑似网络安全事件发生时，安全人员对于安全事件的性质、原因、攻击面、攻击手段、临时响应措施等进行基本的分析、识别和研判的过程。具体包括：安全事件识别、攻击手法识别与被攻击目标识别三项。AI 辅助安全分析指的是利用人工智能技术来增强、加速和自动化网络安全威胁的检测、调查、响应和预测过程。其核心目标是帮助安全团队在海量且复杂的数据中，更快、更准地发现真正的威胁，并做出更明智的决策。具体包括：AI 安全分析平台、调用大模型接口辅助分析两项。（三）响应与处置在完成安全事件的分析或通过追踪溯源完成对攻击者的研判之后，安全人员需要在第一时间对网络安全防护系统进行优化配置，阻断网络攻击活动，阻止事件影响扩散，这就是响应与处置工作。要做好响应与处置工作，不仅需要具备基本的应急响应能力，还需要具备常见应急场景处置的经验。应急响应，是指当安全事件发生之后，对系统进行的紧急抢救和处置措施，目的是阻断攻击活动，阻止安全事件的影响扩散。在应急响应过程中，应急人员一般需要具备多种主要能力，具体包括：失陷设备隔离、无补丁漏洞修复、数据恢复与应急工具包使用四大类。8 常见应急场景处置，主要包括：常见木马/病毒、网页篡改、DDoS 防御、流量劫持恢复、数据泄露及 APT 等场景的处置。每一类特定的应急响应场景，都对应一系列特定的处置流程和专用方法。熟练掌握常见应急响应场景的处置方法，可以大大提升网络安全事件的响应与处置效率。（四）溯源与反制溯源与反制，是网络攻防活动中，防守方抑制攻击活动的重要举措。在网络安全实战攻防演习活动中，如果能够对攻击队进行有效的溯源和反制，可以为防守队获得额外积分。溯源，也称为追踪溯源，是指对网络攻击活动的源头进行追溯的一种安全方法，内容一般包括但不限于：日志分析、操作系统排查、流量数据分析、内存与进程分析、威胁情报检索、社交网络溯源、代码同源性分析等多个方面。反制，也称为攻击反制，是指在溯源的基础上，通过各种技术及社工手段，对攻击者进行渗透、控制、数据获取等反向攻击活动，以实现压制攻击活动、抓捕攻击者等目的。反制能力包括但不限于反向 Web 漏洞利用、黑客工具漏洞利用、反向社工、蜜罐/密点部署以及常见黑客工具使用等。（五）其他能力除了前述各种安全能力外，防守一侧的实战化白帽防守人才还需要具备以下一些通用或特殊技能。协同指挥与决策能力，是指在网络安全实战攻防演习过程中，对防守一方的整体指挥、组织和协调能力。这是一种比较高级的能力，不仅需要有扎实的技术基础，还需要有大量的防守实战经验和指挥作战经验。具体包括：安全规划、响应流程制定、防守角色分配及指挥与决策。情报收集，是一项贯穿网络安全实战演习始终的重要工作。不论是在检查与整改阶段、监测与分析阶段、响应与处置阶段、还是溯源与反制阶段，都需要用到情报收集能力。因此，我们将情报收集能力单独提取出来，作为一项关键能力进行单独说明。特别的，这里所说的情报，并不一定都是“威胁情报”。企业日常建设、运营与宣传等工作的情报，也都有收集的意义和价值。具体包括：公开情报收集、威胁情报平台使用与自制情报收集工具三项。报告撰写，是一项非常基础的文字能力，一般需要按照特定的规范进行书写。针对网络安全实战攻防演习防守一方的特定情况，撰写以下几类典型报告，是安全人员需要具备的基本能力，具体包括：应急处置报告、防守成果报告、总结整改报告三类。9 第二章实战化白帽人才能力现状 2025 年 8 月，根据“实战化白帽人才能力图谱”，补天漏洞响应平台针对平台上活跃的 471 名白帽子进行了实战化能力调研。其中，65.1%的白帽子参与过网络安全实战攻防演习攻击队，53.9%的白帽子参与过实战攻防演习防守队。同时，有 46.5%的白帽子表示自己攻防均可，攻击队防守队均参与过。本章将对此次调研结果的整体情况进行介绍，包括大类分析和小类分析。具体到每一项能力的平均掌握率详情，请参见报告“附录 1 实战化白帽人才能力统计数据详情”。一、攻击侧现状分析统计显示，国内白帽人才对于“实战化白帽人才能力图谱”给出的攻击侧 7 大类实战化能力的总体平均掌握率为 40.8%。其中，“Web 漏洞利用与挖掘”能力的平均掌握率最高，达到 60.4%，是白帽人才中最普及、最主要的一种攻击能力。其次是“安全工具使用”和“社工与渗透”能力的平均掌握率分别是 54%和 46.2%，属于一半白帽子能够掌握或部分掌握的攻击能力。此外，各类“攻击辅助”能力的平均掌握率约为 38.9%，“编程与开发”能力的平均掌握率是 31.2%，也属于平均掌握率接近半数的安全能力，约 1/3 的白帽人才具备这两种能力。各大类能力的平均掌握率情况详见下图。10 那么，与 2024 年相比，白帽人才对于实战化能力的掌握率情况有哪些变化呢？下图给出了 2024 年与 2025 年的情况对比。考虑到 2025 版图谱比 2024 版图谱增加了 7 项新的能力，为确保对比的一致性，下图给出的对比分析中，仅以 2024 版图谱中包含的 108 项能力为基础进行对比，暂不考虑新增能力项的影响。从图中可见，基于 2025 版图谱 120 项能力的整体分析来看，2025 年白帽人才对于 7 大类实战化攻击能力整体掌握情况有所下降，总体平均掌握率从 2024 年的 42.6%下降到 2025年的 40.8%，下降了 1.8 个百分点。除了“系统层漏洞利用与挖掘”能力和“安全工具使用”的平均掌握率增长了 3.3 个百分点和 3.1 个百分点外，其他各大类能力的平均掌握率均有0.5%9%不等的下降。下图给出了以 2025 版图谱力为基础，分析的 18 个小类的实战化攻击能力的平均掌握 11 率情况。如上，如果某一个小类下面的能力项为 2025 版图谱新增能力项，则该项能力的统计数据不计入对比分析。总体来看，2025 年和 2024 年相比，各小类能力的平均掌握率上下浮动不太稳定，少的在 0.5-3 个百分点以内，多的则在 5-10 个百分点。但如果将 18 个小类能力的横向对比即可发现，实战化白帽人才攻击侧能力的掌握情况并没有很乐观。仅有 4 个小类的能力，白帽人才平均掌握率在 50%以上。其中，web 漏洞利用的掌握情况最好，2025 年“web 漏洞利用”的平均掌握率为 64.3%，排名第一；其次为“基础安全工具”，平均掌握率为 60.8%；“Web漏洞挖掘”的平均掌握率为 56.4%。二、防守侧现状分析调研显示，在“实战化白帽人才能力图谱”所关注的防守侧 5 大类、13 小类、54 项能力中，各项能力的总体平均掌握率为 55.5%。与攻击侧的 42.9%相比略高一筹。从能力大类来看，“检查与整改”能力的平均掌握率为 64.0%，掌握情况在 5 个大类中是最好水平。其次为“监测与分析”能力，平均掌握率为 61.0%、“溯源与反制”能力的平均掌握率 50.7%。“响应与处置”能力的平均掌握率最低，仅为 45.3%。每一项能力同比 2024年都有所提高。具体分布如下图所示。12 具体到小类来看，防守侧白帽子的平均掌握率超过七成的能力为“事件分析”和“安全检查”，分别达到了 75.7%和 70.3%。此外，“报告撰写”能力的平均掌握率也达到了 65.9%，接近七成。同时，“规则优化”、“告警监测”、“应急响应”、“常见应急场景处置”、“协同指挥与决策”这几个小类的能力，白帽人才的平均掌握率不足 50%左右，是亟待加强人才培养的重要方向。值得注意的是，在网络安全实战攻防演习中，“安全检查”作为防范与应对安全威胁的基石，其掌握情况的好坏直接关系到整个防御体系的稳固与响应效率。通过调研结果可见，大部分防守侧的白帽子能够熟练掌握安全检查工具与使用方法，具备了对系统、网络、应用等多层次多维度的安全检查能力，还具备基本的合规性与风险管理能力。但安全检查并非一次性任务，而是一个持续的过程，需要持续监控并维护完善的监控机制。13 第三章能力图谱与掌握情况总览 14 附录 1 实战化白帽人才能力调研统计数据详情下表给出了实战化白帽人才能力图谱中，攻击侧白帽人才对于各项能力的平均掌握率情况，供各界研究者参考。在“学习难度”一栏中，1 表示基础能力、2 表示进阶能力、3 表示高阶能力。大类小类能力项平均掌握率（2023）平均掌握率（2024）平均掌握率（2025）学习难度 Web 漏洞利用与挖掘 Web漏洞利用命令执行 77.2%75.3%76.2%1 SQL 注入 88.0%87.5%81.4%1 代码执行 67.4%65.4%65.5%1 逻辑漏洞 70.7%72.1%76.2%1 解析漏洞 50.4%50.4%48.2%1 信息泄露 69.1%72.1%69.4%1 XSS 72.2%70.2%55.7%1 配置错误 44.4%45.6%51.5%1 弱口令 76.5%79.0%71.0%1 反序列化 46.0%44.8%49.5%1 文件上传 73.4%74.4%68.1%1 权限绕过 54.3%56.6%58.9%1 Web漏洞挖掘命令执行 66.2%62.2%63.8%2 SQL 注入 79.5%78.9%75.2%2 代码执行 55.6%55.5%51.8%2 逻辑漏洞 62.7%67.5%67.4%2 解析漏洞 39.8%42.7%40.4%2 信息泄露 62.0%70.0%65.5%2 XSS 62.6%66.6%54.4%2 配置错误 41.5%47.2%47.6%2 弱口令 68.0%74.6%65.5%2 反序列化 34.4%39.4%34.9%2 文件上传 62.6%69.7%59.6%2 权限绕过 45.4%60.0%51.4%2 系统层漏洞利用与挖掘系统层漏洞利用与SafeSEH 19.5%19.4%28.0%3 DEP 15.8%11.1%20.8%3 PIE 17.0%16.3%18.8%3 NX 15.3%14.0%15.6%3 ASLR 12.7%13.5%13.3%3 SEHOP 10.2%10.6%10.4%3 GS 8.1%12.7%12.7%3 15 防护系统层漏洞挖掘代码跟踪 31.5%35.0%45.2%3 动态调试 28.0%32.4%45.2%3 Fuzzing技术 33.8%39.4%46.9%3 补丁对比 21.6%19.7%21.1%3 软件逆向静态分析 24.5%30.3%26.3%3 系统安全机制分析 14.5%16.8%16.6%3 安全工具使用基础安全工具 Burp Suite 92.5%91.2%73.2%1 Sqlmap 82.4%83.7%84.0%1 AppScan 47.3%48.5%48.8%1 AWVS 61.6%61.7%59.6%1 Nmap 78.2%80.3%68.7%1 Wireshark 65.4%69.4%64.5%1 MSF 63.9%66.8%62.2%1 Cobalt Strike 45.8%58.6%54.7%1 DNSLog-60.6%55.7%1 HTTPLog-31.9%28.9%1 Goby-62.2%58.6%1 Behinder-70.7%63.5%1 AntSword-78.8%68.4%1 高级安全工具 IDA 52.1%58.3%64.8%3 Ghidra 15.4%17.4%23.4%3 Binwalk 31.1%33.2%36.8%3 OllyDbg 27.4%30.1%33.5%3 Peach fuzzer 38.0%19.7%20.8%3 编程与开发 Web开发与编程 Java 32.8%33.9%43%2 PHP 33.0%35.2%42.0%2 Python 68.0%64.3%80.1%2 C/C+29.0%24.1%26.0%2 Golang 10.4%14.5%22.1%2 编写PoCWeb 漏洞 87.1%87.1%83.3%2 智能硬件/IOT 漏洞 13.9%13.2%19.8%2 16 或EXP等一般利用 WAF 等防护设备绕过-29.5%33.2%2 编写PoC或EXP等高级利用 Windows漏洞 27.4%23.1%21.8%3 Android 17.4%13.2%15.6%3 iOS 6.6%7.5%8.1%3 Linux 25.1%18.4%18.2%3 macOS 3.5%5.2%5.8%3 网络安全设备 18.9%22.0%17.9%3 社工与渗透社工钓鱼社工库收集 62.6%66.6%68.4%2 鱼叉邮件 34.8%39.4%41.3%2 社交钓鱼 49.0%54.2%58.3%2 内网渗透工作组、域环境渗透 50.2%52.6%51.4%3 横向移动 51.9%54.2%62.8%3 内网权限维持/提权 55.6%59.3%58.9%3 数据窃取 33.4%31.9%37.1%3 免杀 38.4%44.8%40.3%3 常见隧道工具-49.2%50.4%3 云安全防护绕过-24.6%18.2%3 终端安全防护绕过-25.7%21.1%3 攻击辅助身份隐藏匿名链路（如Tor）45.6%47.4%37.4%3 盗取他人ID/账号 29.0%27.2%33.5%3 使用跳板机 50.0%58.0%57%3 17 冒用他人身份 31.1%30.3%33.2%3 利用代理服务器 68.0%73.1%66.1%3 大模型辅助大模型深度伪造-19.7%31.6%3 利用大模型辅助爆破-33.4%55.7%3 大模型辅助漏洞挖掘-18.4%59.6%3 大模型辅助开发-13.7%-3 对抗性攻击-28.6%3 威胁情报分析-30.2%3 大模型辅助 EXP 开发-15.5%45.2%3 反取证操作-18.8%3 AI辅助绕过 WAF 规则-55.3%3 EDR 行为检测-25.%3 人脸识别系统-18.8%3 语音验证-11.4%3 情报收集与分析公开情报收集-76.2%1 开源安全情报-63.5%63.8%2 黑灰产情报-24.1%3 目标系统信息-43.3%3 关键人锁定-40.3%3 18 其他能力大模型攻击大模型越狱-25.7%35.5%3 大模型组件安全-21.0%28.3%3 掌握cpu 指令集 x86 47.3%44.3%39.7%3 MIPS 17.4%11.4%15.6%3 ARM 24.5%24.1%22.8%3 PowerPC 13.5%11.1%14.0%3 团队协作行动总指挥（策略制定、任务分发、进度把控等）22.8%20.0%24.7%3 情报收集人员 45.2%46.4%43.9%3 武器装备制造（漏洞挖掘、工具编写）21.0%27.2%27.3%3 打点实施（获取接入点、Web渗透等）52.3%65.8%57.9%3 社工钓鱼人员 23.2%25.4%24.1%3 内网渗透 25.5%30.3%28.9%3 攻击成果报告-32.5%2 下表给出了实战化白帽人才能力图谱中，防守侧白帽人才对于各项能力的平均掌握率情况，供各界研究者参考。在“学习难度”一栏中，1 表示基础能力、2 表示进阶能力、3 表示高阶能力。19 大类小类能力项平均掌握率（2024）平均掌握率（2025）学习难度检查与整改安全检查资产梳理 74.1%81.8%1 基线检查 48.3%67.3%1 渗透测试/漏洞发现 76.1%75.5%3 有效性验证 57.0%56.6%3 整改加固应用漏洞修复与升级 61.7%71.2%1 安全设备加固 53.5%64.1%1 安全策略优化 50.0%64.5%2 防护措施补全 56.2%57.4%2 规则优化规则优化 49.5%74.8%3 降噪 30.1%51.1%3 威胁建模 31.1%40.1%3 监测与分析告警监测终端告警 61.7%74.4%1 服务器告警 63.4%66.1%1 流量告警 70.9%72.0%1 业务系统告警 50.5%57.8%1 蜜罐/密点告警 56.0%59.4%1 其他安全设备告警 32.1%1.5%1 事件分析安全事件识别 75.1%82.6%2 攻击手法识别 72.4%75.5%2 被攻击目标识别 59.7%69.2%2 AI 辅助安全分析 AI 安全分析平台-58.6%1 调用大模型接口辅助分析-54.3%1 响应与处置应急响应失陷设备隔离 63.7%67.7%1 无补丁漏洞修复 31.3%38.5%2 20 数据恢复 27.4%29.9%3 应急工具包 28.6%56.6%3 常见应急场景常见木马/病毒处置 67.7%72.8%2 网页篡改 51.7%56.3%2 DDOS 防御 33.3%38.5%2 流量劫持恢复 25.6%30.3%2 数据泄露 38.6%42.1%2 APT 17.9%20.8%3 溯源与反制追踪溯源日志分析 78.4%77.1%2 操作系统排查 61.2%60.6%2 流量数据分析 61.0%65.3%2 内存与进程分析 37.3%41.7%2 威胁情报检索 48.8%51.1%2 社交网络溯源 42.3%41.7%2 代码同源性分析 21.9%17.3%3 攻击反制反向 web 漏洞利用 51.5%70.4%3 黑客工具漏洞利用 48.8%51.5%3 反向社工 46.8%37.8%3 蜜罐/密点部署 49.3%48.8%3 常见黑客工具使用 44.5%44.8%3 其他能力协同指挥与决策安全规划 39.8%47.2%3 响应流程制定 33.3%45.2%2 防守角色分配 42.8%48.8%2 指挥与决策 24.1%32.6%3 情报收集公开信息情报收集 78.1%76.3%1 威胁情报平台使用 73.9%75.9%2 21 自制情报收集工具 26.6%39.7%3 报告撰写应急处置报告 55.2%72.4%2 防守成果报告 56.0%69.2%2 总结整改报告 48.5%56.3%3 22 附录 2 实战化白帽人才能力图谱攻击侧能力详解一、We

展开阅读全文