Bug Bounty Nedir?
Bug Bounty, firmaların yazılımlarında veya web sitelerinde güvenlik açığı bulunması amacıyla açtığı programların genel adıdır. Şirketler bug bounty programını halka duyurarak yazılımlarında güvenlik testi yapılmasına izin verir ve bu güvenlik açıklarını bildirdikleri taktirde raporlayan kişiye (genellikle) ödül verir.
Bug bounty sayesinde şirketler yazılımlarındaki güvenlik açıklarını düzeltir ve bu açıkların kullanılmasını önler. Hackerlara yararı ise oldukça fazla. Programa ve şirkete bağlı olarak olası ödüller; para, sertifika, Hall of Fame sayfalarında adının yer alması (CV'ler için güzel bir seçenek) veya birbirinden güzel swag paketleridir(t-shirt, kalem, kupa, çanta vs., şirketin cömertliğine ve yaratıcılığına bağlı).
Süreç Nasıl İşler?
1. Hedef Belirlenir.
Örneğin hedef olarak Twitter'ı seçtik. Bug Bounty Program sayfası: https://hackerone.com/twitter
2. Kabul edilen, edilmeyen açık tipleri - araştırmacının yapması ve yapmaması gerekenler - bug bounty program kapsamındaki yazılımlar, domainler belirlenir.
Bu bilgilerin hepsini program sayfasında bulabiliriz. Program sayfasına gidiyoruz: https://hackerone.com/twitter. Bu sayfada ihtiyacımız olan her şeyi görebiliriz. Öncelikle Program Kuralları ile başlıyor, daha sonra Ödüller, Rapor Uygunluğu vs. Son olarak da kabul edilen ve edilmeyen domainler bulunuyor. En önemli noktalardan biridir. Bu kurallara uymanız büyük önem teşkil eder.
3. Kapsam içindeki domainler araştırmacının yaratacılığına ve bilgisine göre araştırılır.
Evet, sanırım en zor bölüm burası. Ne kadar güvenlik açığı türü bilirseniz bilin yaratıcılık ve şans büyük bir faktör. Siteyi isterse 1000 kişi araştırmış olsun, şansınıza ve bilginize bağlı olarak 1000 kişinin bulamamış olduğu şeyi bulabilirsiniz. Dikkat edilmesi gereken şey bulduğunuz açığın kabul edilebilir bir tür olmasıdır. Bunu da önceki adımda zaten kabul edilen türleri görmüştük.
4. Rapor, program sahibine gönderilir.
Evet, bulduğunuz açığı İngilizce olarak program sahibine gönderebilirsiniz. Bir süre iletişim halinde kalarak sizi bekletecekler ve açığı düzelttikleri zaman sizden onay isteyecekler. Son adım olarak da bulduğunuz açığın kritiklik derecesine göre ödülünüzü alacaksınız.
Oath : > $4,000,000
Vimeo: > $200,000
Mail.Ru: > $200,000
Uber: $1,679,594
Twitter: $1,053,800
Slack: $375,566
Ubiquiti Networks: > $600,000
Zomato: > $100,000
Paypal: $595,230
Valve: $494,025
Gitlab: $281,450
Github: $381,030
1. Triaged
Raporunuzun firma tarafından yeniden üretilebildi, yani onaylandı demektir.
2. Needs More Information
Bu güvenlik açığı hakkında daha fazla bilgi gerekmektedir. Hemen telaşlanmayın, bundan sonra durumun triaged olma şansı da vardır.
3. Duplicate
Firma, gönderdiğiniz güvenlik açığını zaten biliyor demektir. Muhtemelen sizden önce bir araştırmacı bu güvenlik açığını bulmuş ve raporunu göndermiştir.
4. Resolved
Güvenlik açığı başarıyla düzeltilmiştir.
1. HackerOne (https://hackerone.com)
En büyük bug bounty platformu diyebilirim. Onlarca public (halka açık) program dışında puan kazanarak davet alabileceğiniz birçok program bulunmaktadır. Bunun yanında bir diğer güzel yönü ise araştırmacılar tarafından bulunan raporların bir kısmı firma isteğine bağlı olarak halka açılabiliyor. Böylece açık türlerini öğrenmek isteyen araştırmacılar buradan kolayca daha önce bulunan güvenlik açıklarını bulabilirler.
2. Intigriti ( https://intigriti.com)
3. Bugcrowd (https://bugcrowd.com)
4. AntiHack.Me (https://antihack.me)
5. Synack Red Team (https://www.synack.com/red-team/)
Synack Red Team, sadece belirli kişilerin katılabildiği bir bug bounty platformudur. Yani herkes kabul edilmez. CV'nizi gönderirsiniz ve kabul edilirseniz bir mail alırsınız.
Bug Bounty, firmaların yazılımlarında veya web sitelerinde güvenlik açığı bulunması amacıyla açtığı programların genel adıdır. Şirketler bug bounty programını halka duyurarak yazılımlarında güvenlik testi yapılmasına izin verir ve bu güvenlik açıklarını bildirdikleri taktirde raporlayan kişiye (genellikle) ödül verir.
Bug bounty sayesinde şirketler yazılımlarındaki güvenlik açıklarını düzeltir ve bu açıkların kullanılmasını önler. Hackerlara yararı ise oldukça fazla. Programa ve şirkete bağlı olarak olası ödüller; para, sertifika, Hall of Fame sayfalarında adının yer alması (CV'ler için güzel bir seçenek) veya birbirinden güzel swag paketleridir(t-shirt, kalem, kupa, çanta vs., şirketin cömertliğine ve yaratıcılığına bağlı).
Süreç Nasıl İşler?
1. Hedef Belirlenir.
Örneğin hedef olarak Twitter'ı seçtik. Bug Bounty Program sayfası: https://hackerone.com/twitter
2. Kabul edilen, edilmeyen açık tipleri - araştırmacının yapması ve yapmaması gerekenler - bug bounty program kapsamındaki yazılımlar, domainler belirlenir.
Bu bilgilerin hepsini program sayfasında bulabiliriz. Program sayfasına gidiyoruz: https://hackerone.com/twitter. Bu sayfada ihtiyacımız olan her şeyi görebiliriz. Öncelikle Program Kuralları ile başlıyor, daha sonra Ödüller, Rapor Uygunluğu vs. Son olarak da kabul edilen ve edilmeyen domainler bulunuyor. En önemli noktalardan biridir. Bu kurallara uymanız büyük önem teşkil eder.
3. Kapsam içindeki domainler araştırmacının yaratacılığına ve bilgisine göre araştırılır.
Evet, sanırım en zor bölüm burası. Ne kadar güvenlik açığı türü bilirseniz bilin yaratıcılık ve şans büyük bir faktör. Siteyi isterse 1000 kişi araştırmış olsun, şansınıza ve bilginize bağlı olarak 1000 kişinin bulamamış olduğu şeyi bulabilirsiniz. Dikkat edilmesi gereken şey bulduğunuz açığın kabul edilebilir bir tür olmasıdır. Bunu da önceki adımda zaten kabul edilen türleri görmüştük.
4. Rapor, program sahibine gönderilir.
Evet, bulduğunuz açığı İngilizce olarak program sahibine gönderebilirsiniz. Bir süre iletişim halinde kalarak sizi bekletecekler ve açığı düzelttikleri zaman sizden onay isteyecekler. Son adım olarak da bulduğunuz açığın kritiklik derecesine göre ödülünüzü alacaksınız.
Bazı Şirketlerin Bug Bounty Programları İçin Harcadıkları Miktar:
Oath : > $4,000,000
Vimeo: > $200,000
Mail.Ru: > $200,000
Uber: $1,679,594
Twitter: $1,053,800
Slack: $375,566
Ubiquiti Networks: > $600,000
Zomato: > $100,000
Paypal: $595,230
Valve: $494,025
Gitlab: $281,450
Github: $381,030
...
Raporlarınızda Görebileceğiniz Durumlar
1. Triaged
Raporunuzun firma tarafından yeniden üretilebildi, yani onaylandı demektir.
2. Needs More Information
Bu güvenlik açığı hakkında daha fazla bilgi gerekmektedir. Hemen telaşlanmayın, bundan sonra durumun triaged olma şansı da vardır.
3. Duplicate
Firma, gönderdiğiniz güvenlik açığını zaten biliyor demektir. Muhtemelen sizden önce bir araştırmacı bu güvenlik açığını bulmuş ve raporunu göndermiştir.
4. Resolved
Güvenlik açığı başarıyla düzeltilmiştir.
Bug Bounty Platformları
1. HackerOne (https://hackerone.com)
En büyük bug bounty platformu diyebilirim. Onlarca public (halka açık) program dışında puan kazanarak davet alabileceğiniz birçok program bulunmaktadır. Bunun yanında bir diğer güzel yönü ise araştırmacılar tarafından bulunan raporların bir kısmı firma isteğine bağlı olarak halka açılabiliyor. Böylece açık türlerini öğrenmek isteyen araştırmacılar buradan kolayca daha önce bulunan güvenlik açıklarını bulabilirler.
2. Intigriti ( https://intigriti.com)
3. Bugcrowd (https://bugcrowd.com)
4. AntiHack.Me (https://antihack.me)
5. Synack Red Team (https://www.synack.com/red-team/)
Synack Red Team, sadece belirli kişilerin katılabildiği bir bug bounty platformudur. Yani herkes kabul edilmez. CV'nizi gönderirsiniz ve kabul edilirseniz bir mail alırsınız.
Son düzenleme: