Bug Bounty Nedir?
Bug Bounty de bazı bounty programlarından freelance olarak açık bulabiliyorsunuz. Firmalar hackerone,yeswehack gibi bug bounty programlarında açık bulmanızı istediğiniz binevi ilanları yayınlıyorlar. Açık bulduğunuzda bu açığı düzenli ve anlaşılır bi şekilde raporlarsanız ve karşınızdaki firma temsilcisi hatayı tam olarak anlarsa size ödüllendirme yapılır. Bazı bug bounty ler size belirli bir ücret ödülü verirken bazıları t-shirt kitap vs. verebilir. Sizlere paylaşacağım sitelerden hangi proogramların ne gibi ödüllendirmeleri olduğunu, programları, programları kendinize göre filtreleme gibi eylemleri gerçekleştirebilirsiniz.
Bug Bounty Yasal Mı ?
Bug bounty nin yasallık durumu şu şekildedir. Bug Bounty de firmalar size projelerindeki yazılımsal,mantıksal problemleri ve açıkları firmaya zarar vermeden bulmanız ve sizin iyi raporlamanız halinde size ödüllendirme yapılacak iş modelidir. Bu ödullendirmelerde size para,t-shirt,kitap veya sitede onur listesine almak olabilir. Peki açığı buldunuz o kadar çalıştınız size sadece bi kitap bi tshirt mü verecekler? Bu size bağlı, ödülün önceden belli olduğu bir programa dahil olursanız sonucunda sürprize uğramazsınız. Size vereceğim siteden bunları filtreleyebileceksiniz.
Bug Bounty de Önemli Olan Noktalar Nelerdir?
Bug bounty de size ödüllendirme yapılacak şey sizin açığı bulmanız, sızmanız değildir. Bu sizin raporunuzda en önemli yerlerden biridir fakat yetersizdir. Açığı buldunuz, sızma işlemini gerçekleştirdiniz. Bu eylemlerden sonra önemli olan şey karşınızdaki kişiye bunu anlatabilmenizdir. Sonuçta firmalar bu açıkları fixlemek için bu programlara dahil oluyorlar. Siz onların neyi nasıl fixleyebilecekleri konusunda onlara yol hazırlıyorsunuz. Anlaşılır bir şekilde raporlamanız halinde ödülünüz verilir.
Bug Bounty Programları
En bilindik bug bounty programları hackerone,yeswehack ve intigriti dir. Fakat bunlar dışında birçok program mevcuttur. Aşağıdaki bugcrowd linkinden aktif programları görüp ödüllerini filtreleyebilirsiniz.
Pekiiii Yeni Başlayanlar Nereden Başlamalı
Hacker101 den birçok dökümana ve videolu eğitime erişebilirsiniz. Aynı zamanda tryhackme den cloud makinaların public/premium versiyonlarından webhacking yapıp kendinizi çok ciddi anlamda geliştirebilirsiniz. Bu ikisi de önemli hizmetler ve öğrendiğinizde ve programlarda geliştiğinizde haftalık 500 doları bile rahat bulmaya başlıyorsunuz.
Owasp Açıkları
Owasp yani Open Web Application Security Project web uygulamalarının açıklarının kapatılması, ücretsiz yazılımların yayınlanması vs. için çalışmalar yapan ücretsiz dökümanlar ve çalışmalar sunan bir topluluktur. Bu topluluk birkaç yılda bir en yaygın 10 güvenlik açığının listesini yayınlamaktadır. En güncel sıralama şu şekildedir. Bu açıkları araştırmanız bounty yaparken işinize yarar.
Bug Bounty de bazı bounty programlarından freelance olarak açık bulabiliyorsunuz. Firmalar hackerone,yeswehack gibi bug bounty programlarında açık bulmanızı istediğiniz binevi ilanları yayınlıyorlar. Açık bulduğunuzda bu açığı düzenli ve anlaşılır bi şekilde raporlarsanız ve karşınızdaki firma temsilcisi hatayı tam olarak anlarsa size ödüllendirme yapılır. Bazı bug bounty ler size belirli bir ücret ödülü verirken bazıları t-shirt kitap vs. verebilir. Sizlere paylaşacağım sitelerden hangi proogramların ne gibi ödüllendirmeleri olduğunu, programları, programları kendinize göre filtreleme gibi eylemleri gerçekleştirebilirsiniz.
Bug Bounty Yasal Mı ?
Bug bounty nin yasallık durumu şu şekildedir. Bug Bounty de firmalar size projelerindeki yazılımsal,mantıksal problemleri ve açıkları firmaya zarar vermeden bulmanız ve sizin iyi raporlamanız halinde size ödüllendirme yapılacak iş modelidir. Bu ödullendirmelerde size para,t-shirt,kitap veya sitede onur listesine almak olabilir. Peki açığı buldunuz o kadar çalıştınız size sadece bi kitap bi tshirt mü verecekler? Bu size bağlı, ödülün önceden belli olduğu bir programa dahil olursanız sonucunda sürprize uğramazsınız. Size vereceğim siteden bunları filtreleyebileceksiniz.
Bug Bounty de Önemli Olan Noktalar Nelerdir?
Bug bounty de size ödüllendirme yapılacak şey sizin açığı bulmanız, sızmanız değildir. Bu sizin raporunuzda en önemli yerlerden biridir fakat yetersizdir. Açığı buldunuz, sızma işlemini gerçekleştirdiniz. Bu eylemlerden sonra önemli olan şey karşınızdaki kişiye bunu anlatabilmenizdir. Sonuçta firmalar bu açıkları fixlemek için bu programlara dahil oluyorlar. Siz onların neyi nasıl fixleyebilecekleri konusunda onlara yol hazırlıyorsunuz. Anlaşılır bir şekilde raporlamanız halinde ödülünüz verilir.
Bug Bounty Programları
En bilindik bug bounty programları hackerone,yeswehack ve intigriti dir. Fakat bunlar dışında birçok program mevcuttur. Aşağıdaki bugcrowd linkinden aktif programları görüp ödüllerini filtreleyebilirsiniz.
Pekiiii Yeni Başlayanlar Nereden Başlamalı
Hacker101 den birçok dökümana ve videolu eğitime erişebilirsiniz. Aynı zamanda tryhackme den cloud makinaların public/premium versiyonlarından webhacking yapıp kendinizi çok ciddi anlamda geliştirebilirsiniz. Bu ikisi de önemli hizmetler ve öğrendiğinizde ve programlarda geliştiğinizde haftalık 500 doları bile rahat bulmaya başlıyorsunuz.
Owasp Açıkları
Owasp yani Open Web Application Security Project web uygulamalarının açıklarının kapatılması, ücretsiz yazılımların yayınlanması vs. için çalışmalar yapan ücretsiz dökümanlar ve çalışmalar sunan bir topluluktur. Bu topluluk birkaç yılda bir en yaygın 10 güvenlik açığının listesini yayınlamaktadır. En güncel sıralama şu şekildedir. Bu açıkları araştırmanız bounty yaparken işinize yarar.
- Injection
- Broken Authentication
- Sensitive Data Exposure
- XML External Entities (XXE)
- Broken Access control
- Security misconfigurations
- Cross Site Scripting (XSS)
- Insecure Deserialization
- Using Components with known vulnerabilities
- Insufficient logging and monitoring
hackerone - https://www.google.com.tr/url?sa=t&...FjABegQIEBAC&usg=AOvVaw2Uv6PIGYWX1rUmCd_XFhAt
Bugcrowd - https://www.google.com.tr/url?sa=t&...AwBHoECA4QDA&usg=AOvVaw3Vv5ibYUX3LdbgHhUuEdxz
İntigrti - https://www.google.com.tr/url?sa=t&...FjAAegQIChAC&usg=AOvVaw2lKBpD-YFjcri8QTuCi21Y
yeswehack -https://www.google.com.tr/url?sa=t&source=web&rct=j&url=https://www.yeswehack.com/&ved=2ahU...FjAAegQIChAC&usg=AOvVaw066i7morqn5X12mgCc1qEk
tryhackme - https://www.google.com.tr/url?sa=t&...FjAAegQIChAC&usg=AOvVaw2gvAQndb0wWgMfXtgVVb0c
hacker101 - https://www.google.com.tr/url?sa=t&...FjABegQICRAC&usg=AOvVaw0P-pn3fPqwMHQ25VfL85GF
