Bug Bounty Nedir?

H A

Katılımcı Üye
10 Tem 2019
841
11
KIBRIS
Bir hata ödül programı, birçok web sitesi, kuruluş ve yazılım geliştiricisi tarafından sunulan ve bireylerin raporlama hataları, özellikle de güvenlik açıkları ve güvenlik açıklarıyla ilgili olanlar için tanıma ve tazminat alabilecekleri bir anlaşmadır.
Kısacası bulduğunuz güvenlik açıklarını gerekli yerlere doğru raporlama ile rapor'un kapanması ve ödül almanızdır.Ödüller şöyle olur genelde;
Hall of fame,Bounty(Para),Hediye(Gift)
bug-bounty.png

Bounty Aşamaları;
Triaged (Open):Firmaların raporların çalışıp çalışmadığını inceleyen gönderdiğiniz rapordan yola çıkarak güvenlik açığının onaylandığını göstermektedir.
Needs more info: Rapor çözücülerin gönderdiğiniz raporu anlamadıklarını ve rapor hakkında daha fazla bilgi istediklerini belirtirler.
Duplicate: Daha önce raporunuzun aynısı başka bi araştırmacı tarafından gönderderildiğini belli etmektedir.Yani bulduğunuz güvenlik açığı daha önce farklı bir araştırmacı tarafından bulunmasıdır.
Informative: Raporunuz kapsam dışı ise veyahut geçersiz ise bilgilendirici olarak kapatılır.Rep puanınıza etkilemez ama Signal'iniz düşer.
Resolved: Raporunuzun çözüldüğünü işaret eder.
New: Yeni raporunuz.
Not Applicable:Geçersiz raporlar için kullanılır yani varolmayan açığı bildirmeye çalışırsanız alacağınız cevaplardan biri.
Locked: Rapor kilitlenir ve raporunuza güncelleme yapamazsınız.

Bounty Platformları
Hackerone
hackerone_logo_gray.png

HackerOne, işletmeleri penetrasyon testçileri ve siber güvenlik araştırmacıları ile birleştiren bir güvenlik açığı koordinasyonu ve hata ödülü platformudur.
Bug Crowd
Press-Kit-Transparent-Bugcrowd-Logo.png

Bugcrowd kitle kaynaklı bir güvenlik platformudur. Kalabalık kaynaklı güvenlik ve siber güvenlik araştırmacılarını iş modelinin bağlantı noktaları olarak kucaklayan ve kullanan ilk şirketlerden biriydi.
Ve birçok platform mevcuttur.En ünlüleri bunlardır.

Ayrıca platform'lar ile çalışmayıp kendi ödül programlarını sunan şirketlerde var.
Microsoft
Apple
Nasa
...
 

H A

Katılımcı Üye
10 Tem 2019
841
11
KIBRIS
Merhaba , triaged onaylandı değil incelenecek demektir. Triaged verdikten sonra informative çekebilirler.

Triaged inceleyip onaylanmasıdır zaten.
Bknz: Çoğu firma raporu inceletikten sonra tetikleştirildiği zaman triaged yapıyorlar.Hatta triaged ödülü bile var.Evet informative'ye çektikleri de olabiliyor.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.