- 1 Haz 2023
- 181
- 14
gerçekten bu işle uğraşıp para kazananlar varmı bazıları bana senin karşındaki çok güçlü olan rakipler varmış bazıları o yüzden bug bountyi boş ver sal diyor siz tecrübeli hocalar bu konu hakkında ne düşünüyor ?
bug bountyde halen para varmı
- Konbuyu başlatan Hammurabi1
- Başlangıç tarihi
Bug bounty devri sanal alem var olduğu sürece devam edecektir , evet karşında güçlü rakipler olacak azmeden insanlar olucak onların senden tek farkı istediklerini alma iç güdüsü ve çabalamaktan geliyor . Bunu sende başarabilirsin sonuçta insan oğlu aklına koydumu çabaladımı yapar o yüzden bug bounty e boş demek çok saçma olur. Belki bulduğun 1 açık tüm hayatını değiştirecek nerden bilebilirsin 
Son düzenleme:
- 1 Haz 2023
- 181
- 14
çok güzel bahsetmişsinizde hocam bazı buradaki öncesinden açılmış başlıklara baktımda bazıları gerçekten kritik seviyede açık bulup şirkete ileti yapmışlar herifler ne geri dönüş yapmış ne açığı kapatmışlar böyle olaylarda oluyormuş yani adam açığı bulduğu halde eline geçen sıfır olmuş.Bug bounty devri sanal alem var olduğu sürece devam edecektir , evet karşında güçlü rakipler olacak azmeden insanlar olucak onların senden tek farkı istediklerini alma iç güdüsü ve çabalamaktan geliyor . Bunu sende başarabilirsin sonuçta insan oğlu aklına koydumu çabaladımı yapar o yüzden bug bounty e boş demek çok saçma olur. Belki bulduğun 1 açık tüm hayatını değiştirecek nerden bilebilirsin
Yani tabi bu durumu da göze almak lazım , her bulduğun açık için para vermezler bazıları teşekkür eder geçer bazıları para verir bazıları ise mesajını / raporunu bile takmaz . Rapordan sonrası tamamen senin şansına ve şirketin değerine bağlı olarak değişir bunda kimsenin yapacağı birşey yok şirket sahibine zorla para ver diyemeyiz
- 15 Ocak 2019
- 302
- 71
Kardeşim öncelikle bug bounty programlarını öğren, intrigti / hackerone da rapor verebilirsin kyc onayı istemiyor. Yeswehack de kyc var ve avrupa birliğine ait olmayan ülke vatandaşlarının raporlarını almıyorlar. Kendini eğitip paso rapor at ki priv programlara geçin, kolay gelsin.
- 1 Haz 2023
- 181
- 14
vallahi hocam eğer ben sitedeki açığı iletip herifler teşekkür ederse o siteye daha kötü şeyler yaparım misal benim stratejim diyelim sitede 4 veya 5 tane açıkmı buldum 2 tane orta veya hafif seviyeli açıkları iletirim eğer para verirlerse diğer kritik açıklarıda iletip parasını isterim eğer sadece teşekkür ederlerse kendilerinin bileceği iş.Yani tabi bu durumu da göze almak lazım , her bulduğun açık için para vermezler bazıları teşekkür eder geçer bazıları para verir bazıları ise mesajını / raporunu bile takmaz . Rapordan sonrası tamamen senin şansına ve şirketin değerine bağlı olarak değişir bunda kimsenin yapacağı birşey yok şirket sahibine zorla para ver diyemeyiz
Şöyle düşün kritik açığı sen buldun senin mantığına göre söylemedin en sona sakladın buraya kadar sıkıntı yok ,peki senden sonra o kritik açığı bulup direk raporlayan kişi ne olucak ödülün sahibi olucak ne gerek varki böyle maceraya
- 29 Eki 2018
- 2,738
- 611
Bir tane kripto para sitesinde subdomain takeover açığı bulmuştum.
Subdomain de "shop" idi. Bir kripto para sitesinde "shop" subdomaini, hmm. Subdomaini aldıktan sonra o shop kelimesiyle birçok insanı dolandırabilirdim.
Ama dolandırmak bana göre değil. Kendilerinin bug bounty programı yoktu. Bulduğum açığı maille tanıtmıştım. Mailin en sonuna bunu 'bug bounty' olarak değerlendirmelerini istedim. Açığı gördüler, kanıtladım, çözümünü anlattım falan işte. İşin sonunda bug bounty programı olmayan bir kripto para sitesinden iyi bir miktar elde ettim.
Yani demem o ki, açığın çözüm yollarını paylaşmadan önce bu durumu bug bounty olarak değerlendirmelerini iste. Onları bi' yokla. Değerlendirmezlerse kendi bilecekleri iş. Dediğin gibi kritik bir açıksa yapmaları gerekir. Ben bu durumla onların bug bounty programı oluşturmalarına vesile oldum.
Son düzenleme:
Nitelikli eleman her zaman niteliği olduğu işten para kazanabilir. Eğer rekabet edebilecek nitelikte değilsen para yoktur. Eğer rekabet edebilir seviyede bir niteliğin varsa para vardır.
- 1 Haz 2023
- 181
- 14
hocam bu hackeronedaki sitelerde açık bulursan oradaki siteler gerçekten para veriyorlarmı yoksa orada da geçiştirenler oluyormu ?
Öncelikle şurada anlaşalım bug bounty sadece zafiyete verilmez. Bir bug bounty programından ödül alabilmek için 4 şeye sahip olmanız gerekiyor.
1) Zafiyetin kendisine
2) Yayınlanan bug bounty programının kurallarına
2) PoC
3) Rapor
Eğer zafiyeti bulup, programın isteklerini karşılamıyorsanız veya out of scope yani hedef dışındaki zafiyetlere yöneldiyseniz zafiyet alamazsınız. Hatta, programda belirtilen kuralların dışına çıkarsanız, cezalandırılabilirsiniz.
Eğer zafiyeti bulup, PoC yapamıyorsanız ödül alamazsınız.
Eğer zafiyeti bulup, doğru bilgi ve anlaşılabilir bir rapor yazamıyorsanız ödül alamazsınız veya vaat edilenden az ödül alırsınız.
Örnek senaryolar:
Eğer bir bug bounty programında kullanıcılarımıza zarar vermeyin, bilgilerini ifşa etmeyin deniliyorsa ve siz bir zafiyet aracılığıyla kullanıcıların kişisel bilgilerini alırsanız cezalandırılırsınız. Bunun için programa uygun bir şekilde test hesabı açıp, onun üzerinde işlem yapmalısınız.
Eğer bir bug bounty programında biz xss zafiyetleriyle veya xx zafiyetleriyle ilgilenmiyoruz deniliyorsa bulduğunuz zafiyetten ödül alamazsınız.
Eğer bir websitesinde örneğin xss zafiyeti olduğundan eminsiniz fakat bunun PoC'sini yani kanıtını yapamıyorsunuz. Örneğin waf'a takılıyorsunuz veya farklı engellerle karşılaşıyorsunuz. Ama o zafiyet orda var biliyorsunuz. PoC yapamadığınız için ödül alamazsınız.
Eğer bir websitesinde bir sayfada zafiyet buldunuz fakat bunu doğru bir şekilde rapora dökemediniz, etkilerini anlatamadınız veya yanlış anlattınız ödül alamazsınız. Örneğin, bir raporda x açığıyla websiteye zararlı dosya yükleyebileceğinizi kanıtladınız fakat emin bir şekilde kullanıcıların hesaplarına giriş yapabileceğinizden de bahsettiniz. Bu durumda raporu inceleyen kişiler sizden bunun için ek bilgiler isteyecektir.
Bir websitesinde x açığı ile y açığı var bu açıklar birbiriyle birleştirildiğinde yani exploit chaining yapıldığında dünyayı yok edebileceğinizi biliyorsunuz. Fakat, siz exploit chaining yapmadan bir raporda her ikisine ayrı ayrı değindiğinizde 2 açığın kategorisinden birisinde değerlendirilir ve ona göre düşük bir ücret alırsınız.
Hackerone en büyük rekabetin döndüğü ve en güvenilir platformlardan birisidir. Yani her şeyi doğru yaptığınızda ödülü alırsınız.
Bundan dolayı olay sadece zafiyetin kendisinde bitmiyor.