BUG BOUNTY NEDİR
Bug Bounty, firmaların yazılımlarında veya web sitelerinde güvenlik açığı bulunması amacıyla açtığı programların genel adıdır. Şirketler bug bounty programını halka duyurarak yazılımlarında güvenlik testi yapılmasına izin verir ve bu güvenlik açıklarını bildirdikleri taktirde raporlayan kişiye (genellikle) ödül verir.
BUG BOUNTY NASIL YAPILIR
Bug bounty yapabilmek için öncelikle kendimize bir öncelikle bir hedef seçmemiz gerekir. Hedef seçmek için bug bounty platformları seçilebilir. En çok bilinen platformlar ;
[I]Hackerone
Bugcrowd
Safehats
İntigriti
Synack [/I]
Bu platformlardan hedef site seçtikten sonra sitenin açıklamalarına bakmak gereklidir, tarama yapılması yasak olan domain,subdomainler,ne tür açıklar kabul ediyorlar, yapılması yasak olan işlemler bunları inceledikten sonra, sistemde tarama yapılır. Tarama bittikten sonra bulduğumuz açıkları anlaşılır bir şekilde rapor hazırlayıp, program sahibine iletilir.
BUG BOUNTY'DE HANGİ TÜR PROGRAMLAR VARDIR
Bug bounty'de 2 çeşit program vardır. 1. Public (herkese açık) programlar ve Private(özel programlar) vardır.
Public programlar herkese açık ve herkesin test edip bulduğu açıkları bildirebileceği programlardır.
Private programlar ise şirketlerin deneyimli puan kazanmış insanlara özel davetiye ile davet edilmiş programlardır. Private programlar public değildir ve herkes test edemez. Private programlar almak için belli bir seviyeye gelmek gereklidir.
BUG BOUNTYE YENİ BAŞLAYANLAR NELER YAPMASI GEREKLİ
Eğer bug bountye yeni basliyorsaniz ilk önceliğiniz p5 ve p4 ücreti düşük zafiyetler bulup puan kazanmak olmalı, çünkü public programlar da bir çok insan siteyi test ettiği için bulduğunuz zafiyetin daha önce bildirilmiş ihtimali yüksektir,ayrıca p5 ve p4 açıklarını çoğu insan önemsemez. Hedef seçmeden önce düşük seviyeli açıkları kabul etmediğini kontrol etmeniz gereklidir. Böylelikle açıkları bildirip puan kazandıktan sonra private programlar kazanmanız daha kolay olacaktır ve oralardan daha yüksek ücretler alabilirsiniz.
P4 AÇIKLARI NELERDİR ;
İDOR
BROKEN Authentication
Http-Only
Captcha
Ve daha bir çok açık mevcuttur.
P AÇIK SEVİYELERİ
P1
en kritik açıklar bu açıklardır ;
RCE
Server Side İnjection
File İnclusion
Command İnjection
Sensitive Data Exposure
İnsecure Os/Firmware
Ve benzeri birçok daha açıklar kritik açıklar seviyesinde yer alır.
P2
High İmpact Subdomain Takeover
Account Takeover
Sensitive Data Exposure
XSS
CSRF
SSRF
P3
No Spoofing Protection on Domain
Http Response Manipulation
Response Splitting
İframe İnjection
Content Spoofing
Broken Authentication and Session Management
P4
Zone Transfer
Excessivelly Privileged User
Lack of Password Confirmation
No rate limiting on form
SMS Triggering
Session Token
BUG BOUNTYDE KULLANILAN PROGRAMLAR/SiTELER
Burp Suite
The Harvester
Dirbuster
Nmap
BURP SUİTE :
Burp suite web açıklarında kullanılan çok etkili bir araçtır. Burp ile proxy yardımıyla gelen giden istekleri kontrol edebilir,zafiyet varsa bu istekleri değiştirebilir,xss açıklarında csrf açıklarında http only gibi birçok zafiyetlerde burp suite etkin olarak kullanılır. Burp ile ayrıca brute Force, encode ve decode işlemleri de yapılabilir.
The Harvester :
The Harvester aracı ise site üzerinde bilgi toplamaya yarayan bir araçtır. Harvester ile dns alanlari,alt etki adresleri kullanıcı profilleri, e posta bilgileri,host bilgileri gibi birçok bilgiye daha ulaşılabilir.
Dirbuster :
Dirbuster aracı web sitelerde dizin bulmak için kullanılan basit ama kullanışlı bir araçtır.
Nmap :
Nmap her ne kadar network taraması gibi gözükse de web tarafında da oldukça faydalıdır. Nmap ile hangi servislerin çalıştığı,firewall tespiti,hangi versiyon kullandığı gibi daha birçok bilgi toplanabilir. Ayrıca nmap in nse modülleri de bilgi toplamak için kullanılabilir.(nmap search engine)
ZAFİYETLER HAKKINDA BİLGİLER: İDOR zafiyeti yanlış yetkilendirme sonucu bir kullanıcının başka bir kullanıcı gibi işlemler yapmasına sebep olan bir zafiyetdir. İdor zafiyeti id ile işlem yapan web sitelerinde id nin değiştirilmesi sonucu başka kullanıcının yetkileri elde etmesine sebep olur. Örnek olarak başka kullanıcı hesabini görüntülüyebilme, başka kullanıcı gibi mail atma veya başka kullanıcı gibi dosya indirme gibi şeyler yapılabilir.İdor zafiyeti aranırken o sayfanın kullanıcıya özel olan web sayfalarında aranmalı örnek profile.php olabilir contact.php vs gibi dosyalar olabilir.
COMMAND İNJECTİON: Command injection zafiyeti adından da anlaşılacağı gibi komut enjekte etme zafiyetidir. Daha da açarsak command injection zafiyeti bizim yazdığımız kodun herhangi bir sistemde çalışıp bizi sonuç döndüğü sistemlerde gerçekleşir. Örnek olarak online bir port taraması yapan bir website olsun bu site eğer ki port taraması herhangi bir makine üzerinden deneyip bize sonuç döndürüyorsa, gerekli önlemler alınmamış ise burada zafiyet olabilir. Linux bilenler için | pipe işareti bir komuttan sonra başka bir komutu yazmak için kullanılır. Örnek olarak 153...7.87... ip si olsun bu ip den sonra | cat ... Karşı sistemde dosya okumaya çalışabiliriz.
SENSİTİVE DATA EXPOSURE: Bu zafiyet sistemde önemli verilen gizliliği sağlanmadığı için oluşur. Örnek olarak güçsüz şifreleme algoritmaları kullanılması artık çok kalmasada https kullanılmaması. Gizli dosyaların kullanıcıların görmesi örnek olarak robots.txt de buna dahil olabilir. Sistemlerdeki kullanılan şifrelerin sürekli değiştirilmesi örnek olarak internete sızan datalar da şirket verileri de yer alıyorsa bir saldırgan o datadaki şifreleri deneyip sisteme girmeyi deneyebilir. Bu tür zafiyetlere Sensitive Data Exposure denmektedir.
SECURİTY MİSCONFİGURATİON: security misconfiguration zafiyeti sistemde kullanılmayan yada default olarak gelen özelliklerin eklentilerin kapatılmaması degistirilmemesinden kaynaklanır. Security Misconfiguration zafiyetleri wordpress sitelerde çokça bulunmaktadır. Zafiyetli bir çok eklentinin kaldırılması değiştirilmemesi sonucu saldırganlar bunları kullanıp sistemlere sizmaktadir.
EXCESSİVELLY PRİVİLEGED USER:
Bu zafiyet kullanıcılara aşırı yetki verilmesinden kaynaklanmaktadir. Eğer bir şirkette birçok kullanıcıya gereğinden fazla yetki verilirse saldırgan herhangi bir kullanıcının hesabına girdiğinde rahatlıkla işlemler yapabilecektir fakat eğer en düşük yetki ile ayarlanirsa saldırganın yetki yükseltmesi gerekecektir. Bu yüzden şirketler gerek duyulmadikca yetkileri en düşük tutmalıdır. Hatta günümüzde NİST vb birçok kuruluş zero trust modelini ortaya çıkarmıştır. Bu model de sıfır güven yaklaşımını benimsemiş için oluşturulmuştur.
Bug Bounty, firmaların yazılımlarında veya web sitelerinde güvenlik açığı bulunması amacıyla açtığı programların genel adıdır. Şirketler bug bounty programını halka duyurarak yazılımlarında güvenlik testi yapılmasına izin verir ve bu güvenlik açıklarını bildirdikleri taktirde raporlayan kişiye (genellikle) ödül verir.
BUG BOUNTY NASIL YAPILIR
Bug bounty yapabilmek için öncelikle kendimize bir öncelikle bir hedef seçmemiz gerekir. Hedef seçmek için bug bounty platformları seçilebilir. En çok bilinen platformlar ;
[I]Hackerone
Bugcrowd
Safehats
İntigriti
Synack [/I]
Bu platformlardan hedef site seçtikten sonra sitenin açıklamalarına bakmak gereklidir, tarama yapılması yasak olan domain,subdomainler,ne tür açıklar kabul ediyorlar, yapılması yasak olan işlemler bunları inceledikten sonra, sistemde tarama yapılır. Tarama bittikten sonra bulduğumuz açıkları anlaşılır bir şekilde rapor hazırlayıp, program sahibine iletilir.
BUG BOUNTY'DE HANGİ TÜR PROGRAMLAR VARDIR
Bug bounty'de 2 çeşit program vardır. 1. Public (herkese açık) programlar ve Private(özel programlar) vardır.
Public programlar herkese açık ve herkesin test edip bulduğu açıkları bildirebileceği programlardır.
Private programlar ise şirketlerin deneyimli puan kazanmış insanlara özel davetiye ile davet edilmiş programlardır. Private programlar public değildir ve herkes test edemez. Private programlar almak için belli bir seviyeye gelmek gereklidir.
BUG BOUNTYE YENİ BAŞLAYANLAR NELER YAPMASI GEREKLİ
Eğer bug bountye yeni basliyorsaniz ilk önceliğiniz p5 ve p4 ücreti düşük zafiyetler bulup puan kazanmak olmalı, çünkü public programlar da bir çok insan siteyi test ettiği için bulduğunuz zafiyetin daha önce bildirilmiş ihtimali yüksektir,ayrıca p5 ve p4 açıklarını çoğu insan önemsemez. Hedef seçmeden önce düşük seviyeli açıkları kabul etmediğini kontrol etmeniz gereklidir. Böylelikle açıkları bildirip puan kazandıktan sonra private programlar kazanmanız daha kolay olacaktır ve oralardan daha yüksek ücretler alabilirsiniz.
P4 AÇIKLARI NELERDİR ;
İDOR
BROKEN Authentication
Http-Only
Captcha
Ve daha bir çok açık mevcuttur.
P AÇIK SEVİYELERİ
P1
en kritik açıklar bu açıklardır ;
RCE
Server Side İnjection
File İnclusion
Command İnjection
Sensitive Data Exposure
İnsecure Os/Firmware
Ve benzeri birçok daha açıklar kritik açıklar seviyesinde yer alır.
P2
High İmpact Subdomain Takeover
Account Takeover
Sensitive Data Exposure
XSS
CSRF
SSRF
P3
No Spoofing Protection on Domain
Http Response Manipulation
Response Splitting
İframe İnjection
Content Spoofing
Broken Authentication and Session Management
P4
Zone Transfer
Excessivelly Privileged User
Lack of Password Confirmation
No rate limiting on form
SMS Triggering
Session Token
BUG BOUNTYDE KULLANILAN PROGRAMLAR/SiTELER
Burp Suite
The Harvester
Dirbuster
Nmap
BURP SUİTE :
Burp suite web açıklarında kullanılan çok etkili bir araçtır. Burp ile proxy yardımıyla gelen giden istekleri kontrol edebilir,zafiyet varsa bu istekleri değiştirebilir,xss açıklarında csrf açıklarında http only gibi birçok zafiyetlerde burp suite etkin olarak kullanılır. Burp ile ayrıca brute Force, encode ve decode işlemleri de yapılabilir.
The Harvester :
The Harvester aracı ise site üzerinde bilgi toplamaya yarayan bir araçtır. Harvester ile dns alanlari,alt etki adresleri kullanıcı profilleri, e posta bilgileri,host bilgileri gibi birçok bilgiye daha ulaşılabilir.
Dirbuster :
Dirbuster aracı web sitelerde dizin bulmak için kullanılan basit ama kullanışlı bir araçtır.
Nmap :
Nmap her ne kadar network taraması gibi gözükse de web tarafında da oldukça faydalıdır. Nmap ile hangi servislerin çalıştığı,firewall tespiti,hangi versiyon kullandığı gibi daha birçok bilgi toplanabilir. Ayrıca nmap in nse modülleri de bilgi toplamak için kullanılabilir.(nmap search engine)
ZAFİYETLER HAKKINDA BİLGİLER: İDOR zafiyeti yanlış yetkilendirme sonucu bir kullanıcının başka bir kullanıcı gibi işlemler yapmasına sebep olan bir zafiyetdir. İdor zafiyeti id ile işlem yapan web sitelerinde id nin değiştirilmesi sonucu başka kullanıcının yetkileri elde etmesine sebep olur. Örnek olarak başka kullanıcı hesabini görüntülüyebilme, başka kullanıcı gibi mail atma veya başka kullanıcı gibi dosya indirme gibi şeyler yapılabilir.İdor zafiyeti aranırken o sayfanın kullanıcıya özel olan web sayfalarında aranmalı örnek profile.php olabilir contact.php vs gibi dosyalar olabilir.
COMMAND İNJECTİON: Command injection zafiyeti adından da anlaşılacağı gibi komut enjekte etme zafiyetidir. Daha da açarsak command injection zafiyeti bizim yazdığımız kodun herhangi bir sistemde çalışıp bizi sonuç döndüğü sistemlerde gerçekleşir. Örnek olarak online bir port taraması yapan bir website olsun bu site eğer ki port taraması herhangi bir makine üzerinden deneyip bize sonuç döndürüyorsa, gerekli önlemler alınmamış ise burada zafiyet olabilir. Linux bilenler için | pipe işareti bir komuttan sonra başka bir komutu yazmak için kullanılır. Örnek olarak 153...7.87... ip si olsun bu ip den sonra | cat ... Karşı sistemde dosya okumaya çalışabiliriz.
SENSİTİVE DATA EXPOSURE: Bu zafiyet sistemde önemli verilen gizliliği sağlanmadığı için oluşur. Örnek olarak güçsüz şifreleme algoritmaları kullanılması artık çok kalmasada https kullanılmaması. Gizli dosyaların kullanıcıların görmesi örnek olarak robots.txt de buna dahil olabilir. Sistemlerdeki kullanılan şifrelerin sürekli değiştirilmesi örnek olarak internete sızan datalar da şirket verileri de yer alıyorsa bir saldırgan o datadaki şifreleri deneyip sisteme girmeyi deneyebilir. Bu tür zafiyetlere Sensitive Data Exposure denmektedir.
SECURİTY MİSCONFİGURATİON: security misconfiguration zafiyeti sistemde kullanılmayan yada default olarak gelen özelliklerin eklentilerin kapatılmaması degistirilmemesinden kaynaklanır. Security Misconfiguration zafiyetleri wordpress sitelerde çokça bulunmaktadır. Zafiyetli bir çok eklentinin kaldırılması değiştirilmemesi sonucu saldırganlar bunları kullanıp sistemlere sizmaktadir.
EXCESSİVELLY PRİVİLEGED USER:
Bu zafiyet kullanıcılara aşırı yetki verilmesinden kaynaklanmaktadir. Eğer bir şirkette birçok kullanıcıya gereğinden fazla yetki verilirse saldırgan herhangi bir kullanıcının hesabına girdiğinde rahatlıkla işlemler yapabilecektir fakat eğer en düşük yetki ile ayarlanirsa saldırganın yetki yükseltmesi gerekecektir. Bu yüzden şirketler gerek duyulmadikca yetkileri en düşük tutmalıdır. Hatta günümüzde NİST vb birçok kuruluş zero trust modelini ortaya çıkarmıştır. Bu model de sıfır güven yaklaşımını benimsemiş için oluşturulmuştur.
Son düzenleme:
