İyi günler Türk Hack Team ailesi.
Bugün bug bounty hakkında konuşucağız. Umarım okurken bir şeyler öğrenirsiniz.
Bug Bounty nedir?
Bug bounty, Türkçe anlamı ile hata avcılığı. Bug bounty dediğimiz olay belirli bug bounty programları yardımı ile belirli sistemlerde açık tarayıp bu açıkları sistemin sahibine veya bir yöneticisine bildirmeye denmektedir. Size ya para ödülü verirler ya da kiyafet kupa gibi ödüller verirler. Genel olarak kullanılan bug bounty programları ise HackerOne ve Bug Crowdur.
Bug Bounty Programları nelerdir.
Bug bounty programları sizin güvenli ve planlı bir şekilde bug bounty yapmanızı amaçlamaktadır. Hem sizin hakkınızı hemde sizin pentest yaptığınız firmanın hakkını korur. Simdi güvenli bir şekilde Bug bounty yapabileceğiniz belirli platformlar bulunmaktadır. Benim size temel olarak 2 adet önerim bulunuyor. Birincisi HackerOne ikincisi Bug Crowdur. Ben kendim gelir kazanmak istediğimde sahsen HackerOne'a bakıp bug bounty programı bulluyorum. Bu programların belirli kuralları bulunmaktadır. Örnek olarak hangi açıklara ödül verdiklerini veya hangi açıkları kabul etmediklerini detaylı bir şekilde yazıyorlar.
Bug Bounty nasıl yapılır?
Bug bounty yaparken dikkat etmeniz gereken belirli önemli noktalar vardır. Simdi onlara değinelim isterseniz. İlk başta bug bounty programlarının kurallarına dikkat etmeye özen gösterin. Örnek olarak çoğu programda geçerli olan bir kuralla değinelim. Self XSS'i kabul etmemeleri. Self XSS sadece sizin browserınızda çalışan bir XSS açığı. Sunucuya bir zararı olmadığından Self XSS kabul etmiyorlar. Simdi bu kuralları nasıl öğrenebilliriz ona bakalım.
Simdi Epic Games'in programına girdim ve programın kapsadığı açıkları incelemek istiyorum. Epic Games yazısına tıkladığımız zaman çoğu kurallın ne olduğunu öğrenebilliyoruz.
ve ayrıca hangi açıkların ödüle laiyık olduklarınıda yazıyorlar. Simdi örnek olarak bir açık bulduk bulduğumuz açık sql injection olsun. Bu açığı bildirken en önemli kural düzgün bir şekilde rapor yazmaktan geçiyor. Adım adım bu açığa nasıl ulaşıcaklarından tutunda nasıl kapatacaklarına eğer kapatmazlarsa karşılasabilecekleri sorunlara daği birçok konuya değinmemiz gerekiyor. Rapor yazma işi uzun ve yoru bir iş diyebilirim. Eğer örnek görmek istiyorsanız HackerOne bu adresten insanların nasıl rapor yazdığına bakabillirsiniz. İyi günler dilerim sağlıcakla kalın.
Bugün bug bounty hakkında konuşucağız. Umarım okurken bir şeyler öğrenirsiniz.
Bug Bounty nedir?
Bug bounty, Türkçe anlamı ile hata avcılığı. Bug bounty dediğimiz olay belirli bug bounty programları yardımı ile belirli sistemlerde açık tarayıp bu açıkları sistemin sahibine veya bir yöneticisine bildirmeye denmektedir. Size ya para ödülü verirler ya da kiyafet kupa gibi ödüller verirler. Genel olarak kullanılan bug bounty programları ise HackerOne ve Bug Crowdur.
Bug Bounty Programları nelerdir.
Bug bounty programları sizin güvenli ve planlı bir şekilde bug bounty yapmanızı amaçlamaktadır. Hem sizin hakkınızı hemde sizin pentest yaptığınız firmanın hakkını korur. Simdi güvenli bir şekilde Bug bounty yapabileceğiniz belirli platformlar bulunmaktadır. Benim size temel olarak 2 adet önerim bulunuyor. Birincisi HackerOne ikincisi Bug Crowdur. Ben kendim gelir kazanmak istediğimde sahsen HackerOne'a bakıp bug bounty programı bulluyorum. Bu programların belirli kuralları bulunmaktadır. Örnek olarak hangi açıklara ödül verdiklerini veya hangi açıkları kabul etmediklerini detaylı bir şekilde yazıyorlar.
Bug Bounty nasıl yapılır?
Bug bounty yaparken dikkat etmeniz gereken belirli önemli noktalar vardır. Simdi onlara değinelim isterseniz. İlk başta bug bounty programlarının kurallarına dikkat etmeye özen gösterin. Örnek olarak çoğu programda geçerli olan bir kuralla değinelim. Self XSS'i kabul etmemeleri. Self XSS sadece sizin browserınızda çalışan bir XSS açığı. Sunucuya bir zararı olmadığından Self XSS kabul etmiyorlar. Simdi bu kuralları nasıl öğrenebilliriz ona bakalım.
Simdi Epic Games'in programına girdim ve programın kapsadığı açıkları incelemek istiyorum. Epic Games yazısına tıkladığımız zaman çoğu kurallın ne olduğunu öğrenebilliyoruz.
ve ayrıca hangi açıkların ödüle laiyık olduklarınıda yazıyorlar. Simdi örnek olarak bir açık bulduk bulduğumuz açık sql injection olsun. Bu açığı bildirken en önemli kural düzgün bir şekilde rapor yazmaktan geçiyor. Adım adım bu açığa nasıl ulaşıcaklarından tutunda nasıl kapatacaklarına eğer kapatmazlarsa karşılasabilecekleri sorunlara daği birçok konuya değinmemiz gerekiyor. Rapor yazma işi uzun ve yoru bir iş diyebilirim. Eğer örnek görmek istiyorsanız HackerOne bu adresten insanların nasıl rapor yazdığına bakabillirsiniz. İyi günler dilerim sağlıcakla kalın.