THT DUYURU

chat
Gövde Gösterisi Hacklediğiniz siteler için gövde gösterisi alanı (Ücretsiz siteler ve mail hack yasaktır)

ugursuz reklam
takipci
Seçenekler

Bug Bounty Nedir

MyGf - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
07/2016
Nereden:
Hall of Fame
Mesajlar:
3.280
Konular:
319
Teşekkür (Etti):
505
Teşekkür (Aldı):
1321
Ticaret:
(0) %
20
4998
22-01-2019 16:20
#1
Bug Bounty Nedir?
Bug Bounty, firmaların yazılımlarında veya web sitelerinde güvenlik açığı bulunması amacıyla açtığı programların genel adıdır. Şirketler bug bounty programını halka duyurarak yazılımlarında güvenlik testi yapılmasına izin verir ve bu güvenlik açıklarını bildirdikleri taktirde raporlayan kişiye (genellikle) ödül verir.
Bug bounty sayesinde şirketler yazılımlarındaki güvenlik açıklarını düzeltir ve bu açıkların kullanılmasını önler. Hackerlara yararı ise oldukça fazla. Programa ve şirkete bağlı olarak olası ödüller; para, sertifika, Hall of Fame sayfalarında adının yer alması (CV'ler için güzel bir seçenek) veya birbirinden güzel swag paketleridir(t-shirt, kalem, kupa, çanta vs., şirketin cömertliğine ve yaratıcılığına bağlı).


Süreç Nasıl İşler?

1. Hedef Belirlenir.


Örneğin hedef olarak Twitter'ı seçtik. Bug Bounty Program sayfası: https://hackerone.com/twitter

2. Kabul edilen, edilmeyen açık tipleri - araştırmacının yapması ve yapmaması gerekenler - bug bounty program kapsamındaki yazılımlar, domainler belirlenir.


Bu bilgilerin hepsini program sayfasında bulabiliriz. Program sayfasına gidiyoruz: https://hackerone.com/twitter. Bu sayfada ihtiyacımız olan her şeyi görebiliriz. Öncelikle Program Kuralları ile başlıyor, daha sonra Ödüller, Rapor Uygunluğu vs. Son olarak da kabul edilen ve edilmeyen domainler bulunuyor. En önemli noktalardan biridir. Bu kurallara uymanız büyük önem teşkil eder.


3. Kapsam içindeki domainler araştırmacının yaratacılığına ve bilgisine göre araştırılır.

Evet, sanırım en zor bölüm burası. Ne kadar güvenlik açığı türü bilirseniz bilin yaratıcılık ve şans büyük bir faktör. Siteyi isterse 1000 kişi araştırmış olsun, şansınıza ve bilginize bağlı olarak 1000 kişinin bulamamış olduğu şeyi bulabilirsiniz. Dikkat edilmesi gereken şey bulduğunuz açığın kabul edilebilir bir tür olmasıdır. Bunu da önceki adımda zaten kabul edilen türleri görmüştük.

4. Rapor, program sahibine gönderilir.


Evet, bulduğunuz açığı İngilizce olarak program sahibine gönderebilirsiniz. Bir süre iletişim halinde kalarak sizi bekletecekler ve açığı düzelttikleri zaman sizden onay isteyecekler. Son adım olarak da bulduğunuz açığın kritiklik derecesine göre ödülünüzü alacaksınız.

Bazı Şirketlerin Bug Bounty Programları İçin Harcadıkları Miktar:

Oath : > $4,000,000

Vimeo: > $200,000

Mail.Ru: > $200,000

Uber: $1,679,594

Twitter: $1,053,800

Slack: $375,566

Ubiquiti Networks: > $600,000

Zomato: > $100,000

Paypal: $595,230

Valve: $494,025

Gitlab: $281,450

Github: $381,030

...

Raporlarınızda Görebileceğiniz Durumlar

1. Triaged


Raporunuzun firma tarafından yeniden üretilebildi, yani onaylandı demektir.

2. Needs More Information


Bu güvenlik açığı hakkında daha fazla bilgi gerekmektedir. Hemen telaşlanmayın, bundan sonra durumun triaged olma şansı da vardır.

3. Duplicate


Firma, gönderdiğiniz güvenlik açığını zaten biliyor demektir. Muhtemelen sizden önce bir araştırmacı bu güvenlik açığını bulmuş ve raporunu göndermiştir.

4. Resolved


Güvenlik açığı başarıyla düzeltilmiştir.


Bug Bounty Platformları


1. HackerOne (https://hackerone.com)


En büyük bug bounty platformu diyebilirim. Onlarca public (halka açık) program dışında puan kazanarak davet alabileceğiniz birçok program bulunmaktadır. Bunun yanında bir diğer güzel yönü ise araştırmacılar tarafından bulunan raporların bir kısmı firma isteğine bağlı olarak halka açılabiliyor. Böylece açık türlerini öğrenmek isteyen araştırmacılar buradan kolayca daha önce bulunan güvenlik açıklarını bulabilirler.








2. Intigriti ( https://intigriti.com)


3. Bugcrowd (https://bugcrowd.com)








4. AntiHack.Me (https://antihack.me)








5. Synack Red Team (https://www.synack.com/red-team/)


Synack Red Team, sadece belirli kişilerin katılabildiği bir bug bounty platformudur. Yani herkes kabul edilmez. CV'nizi gönderirsiniz ve kabul edilirseniz bir mail alırsınız.
Konu MyGf tarafından (23-01-2019 00:12 Saat 00:12 ) değiştirilmiştir.
R4V3N - ait Kullanıcı Resmi (Avatar)
Dil Takımı Lider Yrd.
Üyelik tarihi:
07/2016
Yaş:
22
Mesajlar:
6.329
Konular:
394
Teşekkür (Etti):
864
Teşekkür (Aldı):
2427
Ticaret:
(0) %
22-01-2019 22:12
#2
Emeğine sağlık maycifi .
M3m0ry Teşekkür etti.
Teodoro - ait Kullanıcı Resmi (Avatar)
Tamamen Askıya Alındı
Üyelik tarihi:
01/2018
Nereden:
Dergi Timi
Mesajlar:
1.503
Konular:
122
Ticaret:
(0) %
22-01-2019 22:12
#3
Hep duyduğum, fakat araştırmaya üşendiğim konudur kendisi . Sağolasın üstad, güzelce özetlemişsin.
M3m0ry Teşekkür etti.
RooTGHoST - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2018
Nereden:
38
Mesajlar:
1.444
Konular:
38
Teşekkür (Etti):
444
Teşekkür (Aldı):
264
Ticaret:
(0) %
22-01-2019 22:17
#4
Elinize Sağlık Hocam,Nasıl Yapıldığınıda Anlatsaydınız Daha İyi Olurdu
MyGf - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
07/2016
Nereden:
Hall of Fame
Mesajlar:
3.280
Konular:
319
Teşekkür (Etti):
505
Teşekkür (Aldı):
1321
Ticaret:
(0) %
22-01-2019 22:43
#5
Alıntı:
RooTGHoST´isimli üyeden Alıntı Mesajı göster
Elinize Sağlık Hocam,Nasıl Yapıldığınıda Anlatsaydınız Daha İyi Olurdu
Dostum zaten neyin ne olduğunu anlattım. Bu süreçten sonra tapman gerek açık türlerini öğrenmek ve araştırmak (:

Teşekkürler.
RooTGHoST Teşekkür etti.
Qwx
Qwx - ait Kullanıcı Resmi (Avatar)
Yardımsever
Üyelik tarihi:
04/2012
Mesajlar:
2.730
Konular:
116
Teşekkür (Etti):
96
Teşekkür (Aldı):
617
Ticaret:
(0) %
22-01-2019 22:56
#6
Elinize, emeğinize sağlık komutanım.
---------------------
A hacker does for love what others would not do for money.
AquieLL - ait Kullanıcı Resmi (Avatar)
Hevesli Üye
Üyelik tarihi:
07/2014
Nereden:
aquu.php
Mesajlar:
4.004
Konular:
629
Teşekkür (Etti):
815
Teşekkür (Aldı):
2309
Ticaret:
(0) %
22-01-2019 23:06
#7
Emeğine sağlık Mygf.Biraz daha açıklar hakkında da bir konu oluşturup bir çok arkadaşımızı bu yöne yöneltebilirsin.
---------------------

WWW.TÜRKHACKTEAM.ORG/TV
- AquieLL -
Siber Güvenlik


SURHANLI - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
03/2018
Nereden:
Frankfurt
Yaş:
20
Mesajlar:
666
Konular:
36
Teşekkür (Etti):
38
Teşekkür (Aldı):
145
Ticaret:
(0) %
22-01-2019 23:08
#8
Emeğine sağlık maycifi teşekkürler.
MwTugi - ait Kullanıcı Resmi (Avatar)
İstihbaratçı
Üyelik tarihi:
05/2016
Nereden:
Nereye !
Yaş:
5
Mesajlar:
4.875
Konular:
376
Teşekkür (Etti):
330
Teşekkür (Aldı):
1607
Ticaret:
(0) %
22-01-2019 23:15
#9
He is a famous xss hunter xD
---------------------
Düşme!
Düşersen, bağımsızlığını ilan eder dostların,
Düşünce, bütün düşüncelerin değişir hayata dair.
Yılanın ne kadar masum, kurdun suçsuz, çakalın çakal olmadığını anlarsın iki yüzlü insanları görünce
,
Düşme!

10'uncu Köyden!
'Flash Teşekkür etti.
H4ckers04 - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
12/2018
Nereden:
The『K
Mesajlar:
298
Konular:
17
Teşekkür (Etti):
57
Teşekkür (Aldı):
23
Ticaret:
(0) %
22-01-2019 23:31
#10
İşime çok yaradı komutanım eyw
--------------------- bir gün bakarsın h4ckers seni hacklemiş

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler