Siber Güvenlik

BUG BOUNTY NEDİR?

Photo of İbrahim Soysal İbrahim Soysal Ocak 25, 2022
0 944 2 dakika okuma süresi

BUG BOUNTY NEDİR?

Bug Bounty , Bug hata  Bounty ise ödül anlamına gelir . Türkçe karşılığı Ödül Avcısı , hata ödülü  anlamlarına da gelir.

Bu program  yardımıyla geliştirilen uygulama ile ilgili güvenlik açığını başarılı bir şekilde tespit edip  uygulamanın geliştiricisine bildirdiği için etik hackerlara  verilen bir ödüldür. Bu Hackerlara aynı zamanda Beyaz Şapkalı Hacker  denir . Bu ödül bulunan açıklığın kriterine göre nakit para , laptop ,Çanta  veya firmanın kendi uygulamalarını ücretsiz veya indirimli şekilde kullanma hakkı  ya da Hall Of Fame (onur listesine) alınabiliyor buda CV için güzel bir artıdır.

Bug Bounty  programları, şirketlerin zaman içinde kendilerini sürekli olarak sistemlerinin güvenliğini iyileştirmek ve geliştirmek için hacker topluluklarından faydalanmalarına sağlar .

Dünyanın çeşitli bölgelerinden hackerlar, hata açıklıklarını  bulup ve bazı durumlarda da bundan tam zamanlı bir iş gibi gelir elde edebilirler . Bug Bounty programları, çeşitli becerilere ve uzmanlığa sahip çok çeşitli hackerların ilgisini çeker  ve işletmelerin güvenlik açıklarını belirlemek için birden çok hackerdan  destek alacağı için güvenlik açıklıklarını bulmaları kolaylaşır . Bazı ünlü firmaların Bug Bounty programları :

Facebook Bug Bounty programı : https://www.facebook.com/whitehat

Google Bug Bounty Programı: https://bughunter.withgoogle.com/

 

Bug Bounty Örnekleri

SHOPİFY

Shopify, dünya çapında binlerce işletmeye e-ticaret hizmetleri vermektedir , Shopify’ın işletmelerinin başarısı için güvenliğe çok önem veriyor . Shopify bugüne kadar hackerlara 1.580.000 dolardan fazla ödül dağıttı ve kritik güvenlik açıklıklarını bildirenler içinde 30.000 dolara kadar teklif vereceğini açıkladı.

YELP

Yelp, işletmeler hakkında bilgi paylaşan bir platformdur .Bug Bounty programını  yönetmek için 2014’ten beri HackerOne’la beraber çalışıyorlar. Yelp bugüne kadar Bug Bounty programı sayesinde  300’den fazla güvenlik açığını giderdi.

MAİL.RU GRoup

2014’ten bu zamana kadar , Mail.ru Group Bug Bounty programı  sayesinde 4.200’den fazla güvenlik açığını giderdi. Son zamanlarda, Mail.ru Group , Mail.ru’nun e-posta saklama ve koruma güvenliğindeki zafiyetleri bulmalarına yardımcı olan hackerlar için 1 Milyon Dolardan fazla ödül dağıttı .

Bug Bounty Platformları

  • HackerOne
  • Bugcrowd
  • Me
  • Intigriti
  • Synack Red Team

 

Bug Bounty Yarışmalarında Bulunan Rapor Anlamları

Pre-Submisson : Hazırlamış olduğunuz raporun potansiyel olarak geçersiz olduğu anlamına     gelir. Bu kısımda raporunuz firmaya gönderilmeden önce BugBounty platformunun çalışanları tarafından gözden geçirilir.

New:  Hazırlamış olduğunuz raporun henüz okunmadığını gösterir.

Triaged: Hazırlamış olduğunuz raporun okunmuş ve değerlendirilmiş ama bulduğunuz sorun henüz çözülmemiştir.

Re-Testing: Hazırlamış olduğunuz rapordaki zafiyet giderildiği zaman firma sizden tekrardan bulduğunuz açıklığın var olup olmadığını kontrol etmenizi ister.

Needs More Info: Hazırlamış olduğunuz raporun yetersiz olduğu anlamına gelir. Bunun için sizden daha detaylı ve anlaşılır bilgi vermenizi talep ederler.

Resolved: Hazırlamış olduğunuz rapor anlaşılır ve bulduğunuz açıklık giderilmiştir.

Informative: Hazırlamış olduğunuz rapordaki açıklıklar faydalıdır ama herhangi bir tehdit oluşturmadığı gösterir.

Duplicate: Hazırlamış olduğunuz rapordaki zafiyet sizden önce başka biri tarafından tespit edildiği anlamına gelir.

Not-Aplicable: Hazırlamış olduğunuz rapordaki güvenlik açığı var olmadığında, herhangi tehdit unsuru barındırmadığında veya firmanın belirttiği kurallar dahilinde olmadığı gösterir.

 

Süreç Nasıl İşlemektedir?

 

1.aşama : Hedef belirlenir.

2.aşama : Programda belirtilen kurallara, istenilen açıklıklara ve domain adreslerine bakılır.

Bu bölüm önemlidir çünkü firmalar belirttikleri domain ve kurallar dışındaki açıklıkları bulsanız bile kabul etmeyebilir ve ödülden mahrum kalabilirsiniz.

3.aşama : Hedef ve domaini belirledik bu aşamada açık bulma kısmıdır . Burada aşamada ne kadar bilgili ,becerikli ve tecrübeli iseniz sizin için daha kolay geçer çünkü herkes açığı bulamayabilir.

4.aşama : Bu son aşamadır . Burada bulduğunuz açıklığı detaylı bir şekilde raporlayıp firmaya gönderirsiniz , unutmayın rapor İngilizce olacaktır .  Bulduğunuz açıklık ortadan kaldırılınca sizinle iletişime geçip tekrardan kontrol etmeniz istenir var olup olmadığına baktıktan sonra ödülünüze sahip olacaksınız.

 

Bu konuyla ilgili detaylı bilgi için Can Değerin hazırladığı videodan da yararlanabilirsiniz :

Etiketler
Photo of İbrahim Soysal

İbrahim Soysal

İlgili Makaleler

Photo of Trojan( truva atı) nedir?

Trojan( truva atı) nedir?

Nisan 7, 2021
Photo of Whonix: En Güvenli İşletim Sistemi Olabilir Mi?

Whonix: En Güvenli İşletim Sistemi Olabilir Mi?

Şubat 8, 2022
Photo of HTTP ve HTTPS Arasındaki Farklar ?

HTTP ve HTTPS Arasındaki Farklar ?

Mart 28, 2021
Photo of Snort Nedir?

Snort Nedir?

Ekim 21, 2021

Bir yanıt yazın

© Telif Hakkı 2024, Tüm Hakları Saklıdır  |   Siber Eğitmen
Başa dön tuşu
Kapalı