Bug Bounty e baslamak istiyorum
- Konbuyu başlatan rabbit1
- Başlangıç tarihi
Çözüm
- 15 Mar 2018
- 519
- 1
- 51
Bug bounty yol haritası:GitHub - nahamsec/Resources-for-Beginner-Bug-Bounty-Hunters: A list of resources for those interested in getting started in bug bounties
Bug Bounty Nedir-Nereden Başlayabilirim? - Cemal Mete Hayırlı
Bug Bounty, belli bir yazılımın açıklarının bulunması amacıyla herkesin katılımına açık olarak gerçekleştirilen güvenlik yarışmalarıdır.
cemalmetehayirli.com.tr
Guide 001 | Getting Started in Bug Bounty Hunting.. - Muhammad Khizer Javed ingilizce
Bug Hunting Methodology from an Average Bug Hunter ingilizce
bu siteye bak mutlaka
Home
Hacker101 is a free class for web security. Whether you’re a programmer with an interest in bug bounties or a seasoned security professional, Hacker101 has something to teach you.
www.hacker101.com
Hackerone kurucusu nasıl başlamalıyız sorusuna cevap veriyor: Jobert Abma's answer to Hackers: How can I get started with hacking? - Quora
Bugcrowd'un kendi hazırladığı Bug Bounty'ye giriş serisi
Bu kaynaklar yarcımcı olacaktır.Ödemeden kastını tam anlayamadım.ödülü mü kastediyorsun yoksa karşıya yapılan ödeme mi ?
- Konbuyu başlatan
- #3
bana para mi nasil vericekler kartlami?
Bug bounty yol haritası:GitHub - nahamsec/Resources-for-Beginner-Bug-Bounty-Hunters: A list of resources for those interested in getting started in bug bounties
Bug Bounty Nedir-Nereden Başlayabilirim? - Cemal Mete Hayırlı
Bug Bounty, belli bir yazılımın açıklarının bulunması amacıyla herkesin katılımına açık olarak gerçekleştirilen güvenlik yarışmalarıdır.
Guide 001 | Getting Started in Bug Bounty Hunting.. - Muhammad Khizer Javed ingilizce
Bug Hunting Methodology from an Average Bug Hunter ingilizce
bu siteye bak mutlaka
Home
Hacker101 is a free class for web security. Whether you’re a programmer with an interest in bug bounties or a seasoned security professional, Hacker101 has something to teach you.
Hackerone kurucusu nasıl başlamalıyız sorusuna cevap veriyor: Jobert Abma's answer to Hackers: How can I get started with hacking? - Quora
Bugcrowd'un kendi hazırladığı Bug Bounty'ye giriş serisi
Bu kaynaklar yarcımcı olacaktır.Ödemeden kastını tam anlayamadım.ödülü mü kastediyorsun yoksa karşıya yapılan ödeme mi ?
- 15 Mar 2018
- 519
- 1
- 51
Onun detayını tam bilmiyorum.Attığım kaynaklarda mutlaka yazması lazım özellikle o başta attığım türkçe iki videodan birinde.Ama parayı çekme konusunda sorun yaşayacağını zannetmiyorum.Kartla vs bir şekilde alırsın mutlaka.O kadar insan Bug Bounty ile uğraşıyor ben hiç duymadım para çekme sıkıntısı yaşayan.Doğru sitelerden başlarsan sıkıntı yaşamazsın bilindik yani o videolarda anlatılıyor hangi sitelerden başlanacağı.
Merhabalar değerli üye genel olarak web pentest agırlıklı ilerlemeniz gerekmektedir ve temeliniz yoksa forumdaki site hackleme rehberimize göz atabilirisiniz sizlere çok faydalı olacaktır iyi forumlar dilerim.
www.turkhackteam.org
Site Hackleme Rehberi #1
Selamlar arkadaşlar forumda çok fazla “Site nasıl hacklenir, Hangi yolları takip etmem gerekir” Tarzında konular açılıyor sizlere rehber olmak adına bu konuyu hazırlıyorum konuyu fırsat buldukça güncel tutacağım yeni yollar ekleyeceğim. Şimdi geçelim ele alacağımız konuları(Temel seviye olarak...
www.turkhackteam.org
- 10 Mar 2021
- 80
- 1
- 126
dostum öncelikle kartla ödeme yapıyorlar fakat vergi kesintisi de yapıyorlar her programa göre değişir bir de bazı program vardır sana 3 ay sonra paranı gönderir bazı programlar 1 haftada hesabına yatırır. programını ona göre seçmen gerekiyor bu konuda. o kadar çok güvenlik açığı var ki her program her güvenlik açığını kabul etmiyor , programın scope kısmını okuyup neler arayabileceğini önce okumalısın ve neler yapmayacağını da.
- 10 Mar 2021
- 80
- 1
- 126
bir de diğer arkadaşların attığı videoları da izle incele iyice çok fazla araştırma yapman gerekir.
- 15 Mar 2018
- 519
- 1
- 51
Yalnızca o konuda anlatılan yöntemleri bilerek ve kullanarak bug bounty'ye giriş yapabileceğini zannetmiyorum. Bug Bounty daha kapsamlı bir şey çünkü normal Web hacking den daha farklı bug Bounty içeriği...Merhabalar değerli üye genel olarak web pentest agırlıklı ilerlemeniz gerekmektedir ve temeliniz yoksa forumdaki site hackleme rehberimize göz atabilirisiniz sizlere çok faydalı olacaktır iyi forumlar dilerim.
Site Hackleme Rehberi #1
Selamlar arkadaşlar forumda çok fazla “Site nasıl hacklenir, Hangi yolları takip etmem gerekir” Tarzında konular açılıyor sizlere rehber olmak adına bu konuyu hazırlıyorum konuyu fırsat buldukça güncel tutacağım yeni yollar ekleyeceğim. Şimdi geçelim ele alacağımız konuları(Temel seviye olarak...
Merhaba değerli üye,
Türkçede Ödül Avcılığı olarak da kullanılan Bug Bounty yarışmalarının amacı, şirketlerin yazılımlarının güvenliklerini sınaması ve bu doğrultuda ortaya çıkan açıkların giderilerek daha gelişmiş, güvenli bir yazılımın ortaya çıkarılmasıdır.
Bug Bounty yarışmaları sayesinde şirketler güvenlik şirketlerinin yanı sıra tüm son kullanıcılara ve geliştiricilerle yazılımları sınama şansı elde eder. Rapor edilen bugların giderilmesiyle de Bug Bounty programı başarıyla tamamlanarak ödüller dağıtılır.
Sayısız yazılım geliştiricisi veya internet sitesi Bug Bounty yarışmaları gerçekleştirerek sistemleri üzerindeki açıkları keşfetmesi için hackerlarla çalışma şansı elde eder. Çoğu zaman beyaz şapkalı hacker olarak adlandırılan White Hat Hacker grubuna dahil bilgisayar korsanları bu programlara katılarak hem kendi yeteneklerini dener hem de yazılımın güvenlik sınırının öğrenilmesine yardımcı olur.
Bu tarz yarışmaların tümü mutlaka ödül üzerine gerçekleştirilir. Ödül bazen nakit olurken bazen firmanın sunduğu servislerle ya da diğer fırsatlarla ilişkili olabilir. Misal, Mozilla gerçekleştirdiği bir yarışmanın kazananına 3,000 dolar para ödülü sunarken; Facebook tek bir açığı kendilerine bildiren bir internet korsanına 20,000 dolar ödeme gerçekleştirmiştir.
Bug Bounty programlarında, programın sahibinin büyüklüğü ve yazılımın ciddiyeti de her zaman ödülün daha yüksek olması anlamına gelir. Örneğin; 2012 Yılında Google, Chrome işletim sistemi üzerinde keşfedilen açıklara karşılık 700,000 dolar ödül dağıtmıştır. Microsoft ise Windows 8.1’deki ölümcül bir açığı fark eden geliştiriciye 100.000 dolar ödül vermiştir.
Her şirket kendi Bug Bounty yarışmasını düzenlerken farklı kurallar belirleyip, bu kurallara uyulmasını bekleme hakkına sahiptir. Bu nedenle Bug Bounty programlarına katılmayı düşünen bilişimcilerin sistemi incelemeden önce şartları okuması ve yarışmanın detaylarına hakim olması önemlidir.
Triaged : Firmaların raporlarının çalışıp çalışmadığını kontrol ederek gönderdiğiniz rapordan güvenlik açığının onaylandığını göstermektedir.
Daha fazla bilgi gerekiyor : Gönderdiğiniz raporların eksik veya daha detaylı olması için daha fazla bilgi vermenizi ister.
Duplicate : Raporunuz daha önce başka biri tarafından gönderildi anlamına gelir.
Bilgilendirici : Raporunuz altında veya kapsam dışı bilgilendirilerek kapatılır.
Çözüldü : Raporunuzun onaylandığını ifade etmektedir.
Uygulanamaz : Var olmayan bir açık tespiti verdiğiniz zaman verilen cevaptır.
Kilitli : Rapor kilitlenir ve değiştirilemez hale gelmektedir.
İlk aşama olarak hedef belirlenmektedir. Sonrasında programın açıklama kısmındaki kuralları ve istenilen zafiyetlere odaklanılır. Aynı zamanda belirtilen alan adreslerine. Kabul edilen ve edilmeyen açıklar tespit edilip ona göre işlem yapılır. Ondan dan programlardaki çok okumak. Kapsam alanı içinde etki alanı kendi araştırmasına ve uygulamasına göre özgürlerdir. Önemli olan bulduğunuz açığın kabul edilebilirdir. Son adım olarak elde tuttuğumuz ve bulduğumuz açıklar rapor halinde gönderilir. Raporlar programı sahibine iletilmelidir. Bir süre sizi bekletip açığı kapatacaklardır. Ondan sonra ise raporunuzu onaylayıp açığın derecesine göre ücret vermektedirler.
Bug Bounty yarışmalarında en çok ele alınan konu web güvenliğidir. Web güvenliği alanında daha fazla bilgi edinmeli, sonrasında ise açıkları öğrenmelisiniz.
GitHub - OWASP/Top10: Official OWASP Top 10 Document Repository
Yukardaki github üzerinde bulunan owasp Top10 açıkları ile oldukça çok karşılaşacaksınız. Bu alanda ilerlemek istiyorsanız web açıkları üzerinde yoğunlaşmanız gerekiyor. Youtube üzerinden röportaj ve konferans videolarını izleyerek işin temel mantığını kavramanız ilerlemenizi daha da hızlandıracaktır.
Ayrıca İngilizce bilgisi önemlidir. Çünkü web açıklarında ilerledikçe Türkçe içerik bulamamaya başlayacaksınız. İnsanlara sormak ve onları yormak yerine kendi imkanlarınızı kullanarak gitmeniz sizi daha kaliteli ve istikrarcı yapar.
Bilgi toplamak da kilit noktalardan biridir. Bir sistem nasıl ve ne mantığı ile çalıştığını anlamak size bir gidiş yolu açar. Ne yapacağınıza karar verir. Bu alanda herhangi bir ön bilginiz yok ise ilk olarak ağ teknolojisi bilgine sahip olmanız gerekir.
Yazılım dillerine hakim olmanızda son derece önemli tabi ki. Php ve Jawa Script gibi web dillerine hakim olmamız önemlidir. Bu diller üzerinde oluşabilecek açıkları kavrayıp faaliyet göstermeniz gerekir.
Bunun yanında ek olarak Linux işletim sistemi hakkında bilgi sahibi olmanız da ilerlemenizi hızlandıracaktır.
Yarışmaları bulmak ve katılmak için güvenlik ve teknoloji sektörüyle ilgili internet sitelerini sürekli mercek altında tutmanız gerekir. Takip edeceğiniz kaynaklar aracılığıyla hangi yazılım şirketi veya internet sitelerinin yarışma düzenlediğinden haberdar olabilir ve katılabilirsiniz.
Türkçe dilinde teknoloji sitelerini takip etmeniz Bug bounty programlarından haberdar olmanız için yeterli olacaktır. Yine de aşağıdaki kaynakları kullanarak sürekli olarak aktif olan yarışmalara erişebileceğinizi unutmayın.
Bug Bounty, belli bir yazılımın açıklarının bulunması (bug) amacıyla yazılımın sahibi şirket tarafından herkesin katılımına açık olarak gerçekleştirilen güvenlik yarışmalarıdır.
Türkçede Ödül Avcılığı olarak da kullanılan Bug Bounty yarışmalarının amacı, şirketlerin yazılımlarının güvenliklerini sınaması ve bu doğrultuda ortaya çıkan açıkların giderilerek daha gelişmiş, güvenli bir yazılımın ortaya çıkarılmasıdır.
Bug Bounty yarışmaları sayesinde şirketler güvenlik şirketlerinin yanı sıra tüm son kullanıcılara ve geliştiricilerle yazılımları sınama şansı elde eder. Rapor edilen bugların giderilmesiyle de Bug Bounty programı başarıyla tamamlanarak ödüller dağıtılır.
Bug Bounty Programları
Sayısız yazılım geliştiricisi veya internet sitesi Bug Bounty yarışmaları gerçekleştirerek sistemleri üzerindeki açıkları keşfetmesi için hackerlarla çalışma şansı elde eder. Çoğu zaman beyaz şapkalı hacker olarak adlandırılan White Hat Hacker grubuna dahil bilgisayar korsanları bu programlara katılarak hem kendi yeteneklerini dener hem de yazılımın güvenlik sınırının öğrenilmesine yardımcı olur.
Bu tarz yarışmaların tümü mutlaka ödül üzerine gerçekleştirilir. Ödül bazen nakit olurken bazen firmanın sunduğu servislerle ya da diğer fırsatlarla ilişkili olabilir. Misal, Mozilla gerçekleştirdiği bir yarışmanın kazananına 3,000 dolar para ödülü sunarken; Facebook tek bir açığı kendilerine bildiren bir internet korsanına 20,000 dolar ödeme gerçekleştirmiştir.
Bug Bounty programlarında, programın sahibinin büyüklüğü ve yazılımın ciddiyeti de her zaman ödülün daha yüksek olması anlamına gelir. Örneğin; 2012 Yılında Google, Chrome işletim sistemi üzerinde keşfedilen açıklara karşılık 700,000 dolar ödül dağıtmıştır. Microsoft ise Windows 8.1’deki ölümcül bir açığı fark eden geliştiriciye 100.000 dolar ödül vermiştir.
Her şirket kendi Bug Bounty yarışmasını düzenlerken farklı kurallar belirleyip, bu kurallara uyulmasını bekleme hakkına sahiptir. Bu nedenle Bug Bounty programlarına katılmayı düşünen bilişimcilerin sistemi incelemeden önce şartları okuması ve yarışmanın detaylarına hakim olması önemlidir.
Bug Bounty Yarışmalarında Rapor Anlamları
Triaged : Firmaların raporlarının çalışıp çalışmadığını kontrol ederek gönderdiğiniz rapordan güvenlik açığının onaylandığını göstermektedir.
Daha fazla bilgi gerekiyor : Gönderdiğiniz raporların eksik veya daha detaylı olması için daha fazla bilgi vermenizi ister.
Duplicate : Raporunuz daha önce başka biri tarafından gönderildi anlamına gelir.
Bilgilendirici : Raporunuz altında veya kapsam dışı bilgilendirilerek kapatılır.
Çözüldü : Raporunuzun onaylandığını ifade etmektedir.
Uygulanamaz : Var olmayan bir açık tespiti verdiğiniz zaman verilen cevaptır.
Kilitli : Rapor kilitlenir ve değiştirilemez hale gelmektedir.
Süreç Nasıl İşlemektedir?
İlk aşama olarak hedef belirlenmektedir. Sonrasında programın açıklama kısmındaki kuralları ve istenilen zafiyetlere odaklanılır. Aynı zamanda belirtilen alan adreslerine. Kabul edilen ve edilmeyen açıklar tespit edilip ona göre işlem yapılır. Ondan dan programlardaki çok okumak. Kapsam alanı içinde etki alanı kendi araştırmasına ve uygulamasına göre özgürlerdir. Önemli olan bulduğunuz açığın kabul edilebilirdir. Son adım olarak elde tuttuğumuz ve bulduğumuz açıklar rapor halinde gönderilir. Raporlar programı sahibine iletilmelidir. Bir süre sizi bekletip açığı kapatacaklardır. Ondan sonra ise raporunuzu onaylayıp açığın derecesine göre ücret vermektedirler.
Bug Bounty Üzerinde Nasıl Uzmanlaşabilirim?
Bug Bounty yarışmalarında en çok ele alınan konu web güvenliğidir. Web güvenliği alanında daha fazla bilgi edinmeli, sonrasında ise açıkları öğrenmelisiniz.
GitHub - OWASP/Top10: Official OWASP Top 10 Document Repository
Yukardaki github üzerinde bulunan owasp Top10 açıkları ile oldukça çok karşılaşacaksınız. Bu alanda ilerlemek istiyorsanız web açıkları üzerinde yoğunlaşmanız gerekiyor. Youtube üzerinden röportaj ve konferans videolarını izleyerek işin temel mantığını kavramanız ilerlemenizi daha da hızlandıracaktır.
Ayrıca İngilizce bilgisi önemlidir. Çünkü web açıklarında ilerledikçe Türkçe içerik bulamamaya başlayacaksınız. İnsanlara sormak ve onları yormak yerine kendi imkanlarınızı kullanarak gitmeniz sizi daha kaliteli ve istikrarcı yapar.
Bilgi toplamak da kilit noktalardan biridir. Bir sistem nasıl ve ne mantığı ile çalıştığını anlamak size bir gidiş yolu açar. Ne yapacağınıza karar verir. Bu alanda herhangi bir ön bilginiz yok ise ilk olarak ağ teknolojisi bilgine sahip olmanız gerekir.
Yazılım dillerine hakim olmanızda son derece önemli tabi ki. Php ve Jawa Script gibi web dillerine hakim olmamız önemlidir. Bu diller üzerinde oluşabilecek açıkları kavrayıp faaliyet göstermeniz gerekir.
Bunun yanında ek olarak Linux işletim sistemi hakkında bilgi sahibi olmanız da ilerlemenizi hızlandıracaktır.
Düzenlenen Bug Bounty Yarışmalarını Bulmak
Yarışmaları bulmak ve katılmak için güvenlik ve teknoloji sektörüyle ilgili internet sitelerini sürekli mercek altında tutmanız gerekir. Takip edeceğiniz kaynaklar aracılığıyla hangi yazılım şirketi veya internet sitelerinin yarışma düzenlediğinden haberdar olabilir ve katılabilirsiniz.
Türkçe dilinde teknoloji sitelerini takip etmeniz Bug bounty programlarından haberdar olmanız için yeterli olacaktır. Yine de aşağıdaki kaynakları kullanarak sürekli olarak aktif olan yarışmalara erişebileceğinizi unutmayın.
