BUG BOUNTY NEDİR?
BUG BOUNTY NEDİR?
Bug Bounty , Bug hata Bounty ise ödül anlamına gelir . Türkçe karşılığı Ödül Avcısı , hata ödülü anlamlarına da gelir.
Bu program yardımıyla geliştirilen uygulama ile ilgili güvenlik açığını başarılı bir şekilde tespit edip uygulamanın geliştiricisine bildirdiği için etik hackerlara verilen bir ödüldür. Bu Hackerlara aynı zamanda Beyaz Şapkalı Hacker denir . Bu ödül bulunan açıklığın kriterine göre nakit para , laptop ,Çanta veya firmanın kendi uygulamalarını ücretsiz veya indirimli şekilde kullanma hakkı ya da Hall Of Fame (onur listesine) alınabiliyor buda CV için güzel bir artıdır.
Bug Bounty programları, şirketlerin zaman içinde kendilerini sürekli olarak sistemlerinin güvenliğini iyileştirmek ve geliştirmek için hacker topluluklarından faydalanmalarına sağlar .
Dünyanın çeşitli bölgelerinden hackerlar, hata açıklıklarını bulup ve bazı durumlarda da bundan tam zamanlı bir iş gibi gelir elde edebilirler . Bug Bounty programları, çeşitli becerilere ve uzmanlığa sahip çok çeşitli hackerların ilgisini çeker ve işletmelerin güvenlik açıklarını belirlemek için birden çok hackerdan destek alacağı için güvenlik açıklıklarını bulmaları kolaylaşır . Bazı ünlü firmaların Bug Bounty programları :
Facebook Bug Bounty programı : https://www.facebook.com/whitehat
Google Bug Bounty Programı: https://bughunter.withgoogle.com/
Bug Bounty Örnekleri
SHOPİFY
Shopify, dünya çapında binlerce işletmeye e-ticaret hizmetleri vermektedir , Shopify’ın işletmelerinin başarısı için güvenliğe çok önem veriyor . Shopify bugüne kadar hackerlara 1.580.000 dolardan fazla ödül dağıttı ve kritik güvenlik açıklıklarını bildirenler içinde 30.000 dolara kadar teklif vereceğini açıkladı.
YELP
Yelp, işletmeler hakkında bilgi paylaşan bir platformdur .Bug Bounty programını yönetmek için 2014’ten beri HackerOne’la beraber çalışıyorlar. Yelp bugüne kadar Bug Bounty programı sayesinde 300’den fazla güvenlik açığını giderdi.
MAİL.RU GRoup
2014’ten bu zamana kadar , Mail.ru Group Bug Bounty programı sayesinde 4.200’den fazla güvenlik açığını giderdi. Son zamanlarda, Mail.ru Group , Mail.ru’nun e-posta saklama ve koruma güvenliğindeki zafiyetleri bulmalarına yardımcı olan hackerlar için 1 Milyon Dolardan fazla ödül dağıttı .
Bug Bounty Platformları
- HackerOne
- Bugcrowd
- Me
- Intigriti
- Synack Red Team
Bug Bounty Yarışmalarında Bulunan Rapor Anlamları
Pre-Submisson : Hazırlamış olduğunuz raporun potansiyel olarak geçersiz olduğu anlamına gelir. Bu kısımda raporunuz firmaya gönderilmeden önce BugBounty platformunun çalışanları tarafından gözden geçirilir.
New: Hazırlamış olduğunuz raporun henüz okunmadığını gösterir.
Triaged: Hazırlamış olduğunuz raporun okunmuş ve değerlendirilmiş ama bulduğunuz sorun henüz çözülmemiştir.
Re-Testing: Hazırlamış olduğunuz rapordaki zafiyet giderildiği zaman firma sizden tekrardan bulduğunuz açıklığın var olup olmadığını kontrol etmenizi ister.
Needs More Info: Hazırlamış olduğunuz raporun yetersiz olduğu anlamına gelir. Bunun için sizden daha detaylı ve anlaşılır bilgi vermenizi talep ederler.
Resolved: Hazırlamış olduğunuz rapor anlaşılır ve bulduğunuz açıklık giderilmiştir.
Informative: Hazırlamış olduğunuz rapordaki açıklıklar faydalıdır ama herhangi bir tehdit oluşturmadığı gösterir.
Duplicate: Hazırlamış olduğunuz rapordaki zafiyet sizden önce başka biri tarafından tespit edildiği anlamına gelir.
Not-Aplicable: Hazırlamış olduğunuz rapordaki güvenlik açığı var olmadığında, herhangi tehdit unsuru barındırmadığında veya firmanın belirttiği kurallar dahilinde olmadığı gösterir.
Süreç Nasıl İşlemektedir?
1.aşama : Hedef belirlenir.
2.aşama : Programda belirtilen kurallara, istenilen açıklıklara ve domain adreslerine bakılır.
Bu bölüm önemlidir çünkü firmalar belirttikleri domain ve kurallar dışındaki açıklıkları bulsanız bile kabul etmeyebilir ve ödülden mahrum kalabilirsiniz.
3.aşama : Hedef ve domaini belirledik bu aşamada açık bulma kısmıdır . Burada aşamada ne kadar bilgili ,becerikli ve tecrübeli iseniz sizin için daha kolay geçer çünkü herkes açığı bulamayabilir.
4.aşama : Bu son aşamadır . Burada bulduğunuz açıklığı detaylı bir şekilde raporlayıp firmaya gönderirsiniz , unutmayın rapor İngilizce olacaktır . Bulduğunuz açıklık ortadan kaldırılınca sizinle iletişime geçip tekrardan kontrol etmeniz istenir var olup olmadığına baktıktan sonra ödülünüze sahip olacaksınız.
Bu konuyla ilgili detaylı bilgi için Can Değerin hazırladığı videodan da yararlanabilirsiniz :