bug bountyde halen para varmı

Hammurabi1

Üye
1 Haz 2023
181
14
gerçekten bu işle uğraşıp para kazananlar varmı bazıları bana senin karşındaki çok güçlü olan rakipler varmış bazıları o yüzden bug bountyi boş ver sal diyor siz tecrübeli hocalar bu konu hakkında ne düşünüyor ?
 

RW

Haftanın Moderatörü
26 Kas 2020
2,434
1,925
Konum
Bug bounty devri sanal alem var olduğu sürece devam edecektir , evet karşında güçlü rakipler olacak azmeden insanlar olucak onların senden tek farkı istediklerini alma iç güdüsü ve çabalamaktan geliyor . Bunu sende başarabilirsin sonuçta insan oğlu aklına koydumu çabaladımı yapar o yüzden bug bounty e boş demek çok saçma olur. Belki bulduğun 1 açık tüm hayatını değiştirecek nerden bilebilirsin :)
 
Son düzenleme:

Hammurabi1

Üye
1 Haz 2023
181
14
Bug bounty devri sanal alem var olduğu sürece devam edecektir , evet karşında güçlü rakipler olacak azmeden insanlar olucak onların senden tek farkı istediklerini alma iç güdüsü ve çabalamaktan geliyor . Bunu sende başarabilirsin sonuçta insan oğlu aklına koydumu çabaladımı yapar o yüzden bug bounty e boş demek çok saçma olur. Belki bulduğun 1 açık tüm hayatını değiştirecek nerden bilebilirsin :)
çok güzel bahsetmişsinizde hocam bazı buradaki öncesinden açılmış başlıklara baktımda bazıları gerçekten kritik seviyede açık bulup şirkete ileti yapmışlar herifler ne geri dönüş yapmış ne açığı kapatmışlar böyle olaylarda oluyormuş yani adam açığı bulduğu halde eline geçen sıfır olmuş.
 

RW

Haftanın Moderatörü
26 Kas 2020
2,434
1,925
Konum
çok güzel bahsetmişsinizde hocam bazı buradaki öncesinden açılmış başlıklara baktımda bazıları gerçekten kritik seviyede açık bulup şirkete ileti yapmışlar herifler ne geri dönüş yapmış ne açığı kapatmışlar böyle olaylarda oluyormuş yani adam açığı bulduğu halde eline geçen sıfır olmuş.
Yani tabi bu durumu da göze almak lazım , her bulduğun açık için para vermezler bazıları teşekkür eder geçer bazıları para verir bazıları ise mesajını / raporunu bile takmaz . Rapordan sonrası tamamen senin şansına ve şirketin değerine bağlı olarak değişir bunda kimsenin yapacağı birşey yok şirket sahibine zorla para ver diyemeyiz :D
 

lyxG

Anka Team Junior
15 Ocak 2019
302
71
Kardeşim öncelikle bug bounty programlarını öğren, intrigti / hackerone da rapor verebilirsin kyc onayı istemiyor. Yeswehack de kyc var ve avrupa birliğine ait olmayan ülke vatandaşlarının raporlarını almıyorlar. Kendini eğitip paso rapor at ki priv programlara geçin, kolay gelsin.
 

Hammurabi1

Üye
1 Haz 2023
181
14
Yani tabi bu durumu da göze almak lazım , her bulduğun açık için para vermezler bazıları teşekkür eder geçer bazıları para verir bazıları ise mesajını / raporunu bile takmaz . Rapordan sonrası tamamen senin şansına ve şirketin değerine bağlı olarak değişir bunda kimsenin yapacağı birşey yok şirket sahibine zorla para ver diyemeyiz :D
vallahi hocam eğer ben sitedeki açığı iletip herifler teşekkür ederse o siteye daha kötü şeyler yaparım misal benim stratejim diyelim sitede 4 veya 5 tane açıkmı buldum 2 tane orta veya hafif seviyeli açıkları iletirim eğer para verirlerse diğer kritik açıklarıda iletip parasını isterim eğer sadece teşekkür ederlerse kendilerinin bileceği iş.
 

RW

Haftanın Moderatörü
26 Kas 2020
2,434
1,925
Konum
vallahi hocam eğer ben sitedeki açığı iletip herifler teşekkür ederse o siteye daha kötü şeyler yaparım misal benim stratejim diyelim sitede 4 veya 5 tane açıkmı buldum 2 tane orta veya hafif seviyeli açıkları iletirim eğer para verirlerse diğer kritik açıklarıda iletip parasını isterim eğer sadece teşekkür ederlerse kendilerinin bileceği iş.
Şöyle düşün kritik açığı sen buldun senin mantığına göre söylemedin en sona sakladın buraya kadar sıkıntı yok ,peki senden sonra o kritik açığı bulup direk raporlayan kişi ne olucak ödülün sahibi olucak ne gerek varki böyle maceraya :)
 

SP

Deneyimli Moderatör
29 Eki 2018
2,738
611
vallahi hocam eğer ben sitedeki açığı iletip herifler teşekkür ederse o siteye daha kötü şeyler yaparım misal benim stratejim diyelim sitede 4 veya 5 tane açıkmı buldum 2 tane orta veya hafif seviyeli açıkları iletirim eğer para verirlerse diğer kritik açıklarıda iletip parasını isterim eğer sadece teşekkür ederlerse kendilerinin bileceği iş.
Bir tane kripto para sitesinde subdomain takeover açığı bulmuştum.

Subdomain de "shop" idi. Bir kripto para sitesinde "shop" subdomaini, hmm. Subdomaini aldıktan sonra o shop kelimesiyle birçok insanı dolandırabilirdim.

Ama dolandırmak bana göre değil. Kendilerinin bug bounty programı yoktu. Bulduğum açığı maille tanıtmıştım. Mailin en sonuna bunu 'bug bounty' olarak değerlendirmelerini istedim. Açığı gördüler, kanıtladım, çözümünü anlattım falan işte. İşin sonunda bug bounty programı olmayan bir kripto para sitesinden iyi bir miktar elde ettim.

Yani demem o ki, açığın çözüm yollarını paylaşmadan önce bu durumu bug bounty olarak değerlendirmelerini iste. Onları bi' yokla. Değerlendirmezlerse kendi bilecekleri iş. Dediğin gibi kritik bir açıksa yapmaları gerekir. Ben bu durumla onların bug bounty programı oluşturmalarına vesile oldum.
 
Son düzenleme:

Hammurabi1

Üye
1 Haz 2023
181
14
Nitelikli eleman her zaman niteliği olduğu işten para kazanabilir. Eğer rekabet edebilecek nitelikte değilsen para yoktur. Eğer rekabet edebilir seviyede bir niteliğin varsa para vardır.
hocam bu hackeronedaki sitelerde açık bulursan oradaki siteler gerçekten para veriyorlarmı yoksa orada da geçiştirenler oluyormu ?
 

Enistein

Kıdemli Üye
16 Eyl 2012
2,233
1,263
Amsterdam
hocam bu hackeronedaki sitelerde açık bulursan oradaki siteler gerçekten para veriyorlarmı yoksa orada da geçiştirenler oluyormu ?
Öncelikle şurada anlaşalım bug bounty sadece zafiyete verilmez. Bir bug bounty programından ödül alabilmek için 4 şeye sahip olmanız gerekiyor.

1) Zafiyetin kendisine
2) Yayınlanan bug bounty programının kurallarına
2) PoC
3) Rapor

Eğer zafiyeti bulup, programın isteklerini karşılamıyorsanız veya out of scope yani hedef dışındaki zafiyetlere yöneldiyseniz zafiyet alamazsınız. Hatta, programda belirtilen kuralların dışına çıkarsanız, cezalandırılabilirsiniz.
Eğer zafiyeti bulup, PoC yapamıyorsanız ödül alamazsınız.
Eğer zafiyeti bulup, doğru bilgi ve anlaşılabilir bir rapor yazamıyorsanız ödül alamazsınız veya vaat edilenden az ödül alırsınız.


Örnek senaryolar:

Eğer bir bug bounty programında kullanıcılarımıza zarar vermeyin, bilgilerini ifşa etmeyin deniliyorsa ve siz bir zafiyet aracılığıyla kullanıcıların kişisel bilgilerini alırsanız cezalandırılırsınız. Bunun için programa uygun bir şekilde test hesabı açıp, onun üzerinde işlem yapmalısınız.
Eğer bir bug bounty programında biz xss zafiyetleriyle veya xx zafiyetleriyle ilgilenmiyoruz deniliyorsa bulduğunuz zafiyetten ödül alamazsınız.

Eğer bir websitesinde örneğin xss zafiyeti olduğundan eminsiniz fakat bunun PoC'sini yani kanıtını yapamıyorsunuz. Örneğin waf'a takılıyorsunuz veya farklı engellerle karşılaşıyorsunuz. Ama o zafiyet orda var biliyorsunuz. PoC yapamadığınız için ödül alamazsınız.

Eğer bir websitesinde bir sayfada zafiyet buldunuz fakat bunu doğru bir şekilde rapora dökemediniz, etkilerini anlatamadınız veya yanlış anlattınız ödül alamazsınız. Örneğin, bir raporda x açığıyla websiteye zararlı dosya yükleyebileceğinizi kanıtladınız fakat emin bir şekilde kullanıcıların hesaplarına giriş yapabileceğinizden de bahsettiniz. Bu durumda raporu inceleyen kişiler sizden bunun için ek bilgiler isteyecektir.

Bir websitesinde x açığı ile y açığı var bu açıklar birbiriyle birleştirildiğinde yani exploit chaining yapıldığında dünyayı yok edebileceğinizi biliyorsunuz. Fakat, siz exploit chaining yapmadan bir raporda her ikisine ayrı ayrı değindiğinizde 2 açığın kategorisinden birisinde değerlendirilir ve ona göre düşük bir ücret alırsınız.

Hackerone en büyük rekabetin döndüğü ve en güvenilir platformlardan birisidir. Yani her şeyi doğru yaptığınızda ödülü alırsınız.

Bundan dolayı olay sadece zafiyetin kendisinde bitmiyor.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.