Turkhackteam.net/org - Turkish Hacking & Security Platform  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform >
Turkhackteam Under Ground
> THT Gövde Gösterisi

THT Gövde Gösterisi BugBounty & Exploit Çalışmalarınızı Sergileyebileceğiniz Bölüm


Bug Bounty Nedir

THT Gövde Gösterisi

Yeni Konu aç Cevapla
 
Seçenekler
Alt 22-01-2019 16:20   #1
  • Researcher
  • Üye Bilgileri
Üyelik tarihi
07/2016
Nereden
Hall of Fame
Mesajlar
Konular

Teşekkür (Etti): 509
Teşekkür (Aldı): 1254


Bug Bounty Nedir



Bug Bounty Nedir?
Bug Bounty, firmaların yazılımlarında veya web sitelerinde güvenlik açığı bulunması amacıyla açtığı programların genel adıdır. Şirketler bug bounty programını halka duyurarak yazılımlarında güvenlik testi yapılmasına izin verir ve bu güvenlik açıklarını bildirdikleri taktirde raporlayan kişiye (genellikle) ödül verir.
Bug bounty sayesinde şirketler yazılımlarındaki güvenlik açıklarını düzeltir ve bu açıkların kullanılmasını önler. Hackerlara yararı ise oldukça fazla. Programa ve şirkete bağlı olarak olası ödüller; para, sertifika, Hall of Fame sayfalarında adının yer alması (CV'ler için güzel bir seçenek) veya birbirinden güzel swag paketleridir(t-shirt, kalem, kupa, çanta vs., şirketin cömertliğine ve yaratıcılığına bağlı).


Süreç Nasıl İşler?

1. Hedef Belirlenir.


Örneğin hedef olarak Twitter'ı seçtik. Bug Bounty Program sayfası: https://hackerone.com/twitter

2. Kabul edilen, edilmeyen açık tipleri - araştırmacının yapması ve yapmaması gerekenler - bug bounty program kapsamındaki yazılımlar, domainler belirlenir.


Bu bilgilerin hepsini program sayfasında bulabiliriz. Program sayfasına gidiyoruz: https://hackerone.com/twitter. Bu sayfada ihtiyacımız olan her şeyi görebiliriz. Öncelikle Program Kuralları ile başlıyor, daha sonra Ödüller, Rapor Uygunluğu vs. Son olarak da kabul edilen ve edilmeyen domainler bulunuyor. En önemli noktalardan biridir. Bu kurallara uymanız büyük önem teşkil eder.


3. Kapsam içindeki domainler araştırmacının yaratacılığına ve bilgisine göre araştırılır.

Evet, sanırım en zor bölüm burası. Ne kadar güvenlik açığı türü bilirseniz bilin yaratıcılık ve şans büyük bir faktör. Siteyi isterse 1000 kişi araştırmış olsun, şansınıza ve bilginize bağlı olarak 1000 kişinin bulamamış olduğu şeyi bulabilirsiniz. Dikkat edilmesi gereken şey bulduğunuz açığın kabul edilebilir bir tür olmasıdır. Bunu da önceki adımda zaten kabul edilen türleri görmüştük.

4. Rapor, program sahibine gönderilir.


Evet, bulduğunuz açığı İngilizce olarak program sahibine gönderebilirsiniz. Bir süre iletişim halinde kalarak sizi bekletecekler ve açığı düzelttikleri zaman sizden onay isteyecekler. Son adım olarak da bulduğunuz açığın kritiklik derecesine göre ödülünüzü alacaksınız.

Bazı Şirketlerin Bug Bounty Programları İçin Harcadıkları Miktar:

Oath : > $4,000,000

Vimeo: > $200,000

Mail.Ru: > $200,000

Uber: $1,679,594

Twitter: $1,053,800

Slack: $375,566

Ubiquiti Networks: > $600,000

Zomato: > $100,000

Paypal: $595,230

Valve: $494,025

Gitlab: $281,450

Github: $381,030

...

Raporlarınızda Görebileceğiniz Durumlar

1. Triaged


Raporunuzun firma tarafından yeniden üretilebildi, yani onaylandı demektir.

2. Needs More Information


Bu güvenlik açığı hakkında daha fazla bilgi gerekmektedir. Hemen telaşlanmayın, bundan sonra durumun triaged olma şansı da vardır.

3. Duplicate


Firma, gönderdiğiniz güvenlik açığını zaten biliyor demektir. Muhtemelen sizden önce bir araştırmacı bu güvenlik açığını bulmuş ve raporunu göndermiştir.

4. Resolved


Güvenlik açığı başarıyla düzeltilmiştir.


Bug Bounty Platformları


1. HackerOne (https://hackerone.com)


En büyük bug bounty platformu diyebilirim. Onlarca public (halka açık) program dışında puan kazanarak davet alabileceğiniz birçok program bulunmaktadır. Bunun yanında bir diğer güzel yönü ise araştırmacılar tarafından bulunan raporların bir kısmı firma isteğine bağlı olarak halka açılabiliyor. Böylece açık türlerini öğrenmek isteyen araştırmacılar buradan kolayca daha önce bulunan güvenlik açıklarını bulabilirler.








2. Intigriti (https://intigriti.com)


3. Bugcrowd (https://bugcrowd.com)








4. AntiHack.Me (https://antihack.me)








5. Synack Red Team (https://www.synack.com/red-team/)


Synack Red Team, sadece belirli kişilerin katılabildiği bir bug bounty platformudur. Yani herkes kabul edilmez. CV'nizi gönderirsiniz ve kabul edilirseniz bir mail alırsınız.



___________________________________________

Legendary

Konu MyGf tarafından (23-01-2019 00:12 Saat 00:12 ) değiştirilmiştir..
 Offline  
 
Alıntı ile Cevapla
Alt 22-01-2019 22:12   #2
  • Yarbay
  • Üye Bilgileri
Üyelik tarihi
07/2016
Nereden
Antalya
Yaş
20
Mesajlar
Konular

Teşekkür (Etti): 678
Teşekkür (Aldı): 1936




Emeğine sağlık maycifi .
 Offline  
 
Alıntı ile Cevapla
Teşekkür

M3m0ry Teşekkür etti.
Alt 22-01-2019 22:12   #3
  • Binbaşı
  • Üye Bilgileri
Üyelik tarihi
01/2018
Nereden
Dergi Timi
Mesajlar
Konular

Teşekkür (Etti): 1317
Teşekkür (Aldı): 490




Hep duyduğum, fakat araştırmaya üşendiğim konudur kendisi . Sağolasın üstad, güzelce özetlemişsin.
 Offline  
 
Alıntı ile Cevapla
Teşekkür

M3m0ry Teşekkür etti.
Alt 22-01-2019 22:17   #4
  • Binbaşı
  • Üye Bilgileri
Üyelik tarihi
08/2018
Nereden
-
Mesajlar
Konular

Teşekkür (Etti): 413
Teşekkür (Aldı): 259




Elinize Sağlık Hocam,Nasıl Yapıldığınıda Anlatsaydınız Daha İyi Olurdu
 Offline  
 
Alıntı ile Cevapla
Alt 22-01-2019 22:43   #5
  • Researcher
  • Üye Bilgileri
Üyelik tarihi
07/2016
Nereden
Hall of Fame
Mesajlar
Konular

Teşekkür (Etti): 509
Teşekkür (Aldı): 1254




Alıntı:
RooTGHoST´isimli üyeden Alıntı Mesajı göster
Elinize Sağlık Hocam,Nasıl Yapıldığınıda Anlatsaydınız Daha İyi Olurdu
Dostum zaten neyin ne olduğunu anlattım. Bu süreçten sonra tapman gerek açık türlerini öğrenmek ve araştırmak (:

Teşekkürler.



___________________________________________

Legendary
 Offline  
 
Alıntı ile Cevapla
Teşekkür

RooTGHoST Teşekkür etti.
Alt 22-01-2019 22:56   #6
  • Siber Güvenlik Ekibi
  • Üye Bilgileri
Üyelik tarihi
04/2012
Nereden
İzmir
Mesajlar
Konular

Teşekkür (Etti): 75
Teşekkür (Aldı): 407




Elinize, emeğinize sağlık komutanım.



___________________________________________

A hacker does for love what others would not do for money.
 Offline  
 
Alıntı ile Cevapla
Alt 22-01-2019 23:06   #7
  • Yarbay
  • Üye Bilgileri
Üyelik tarihi
07/2014
Nereden
aquu.php
Mesajlar
Konular

Teşekkür (Etti): 817
Teşekkür (Aldı): 2274




Emeğine sağlık Mygf.Biraz daha açıklar hakkında da bir konu oluşturup bir çok arkadaşımızı bu yöne yöneltebilirsin.



___________________________________________


WWW.TÜRKHACKTEAM.ORG/TV
- AquieLL -
2014-2017
 Offline  
 
Alıntı ile Cevapla
Alt 22-01-2019 23:08   #8
  • Üsteğmen
  • Üye Bilgileri
Üyelik tarihi
03/2018
Nereden
Frankfurt
Yaş
18
Mesajlar
Konular

Teşekkür (Etti): 37
Teşekkür (Aldı): 143




Emeğine sağlık maycifi teşekkürler.
 Offline  
 
Alıntı ile Cevapla
Alt 22-01-2019 23:15   #9
  • Yarbay
  • Üye Bilgileri
Üyelik tarihi
05/2016
Nereden
Nereye !
Yaş
4
Mesajlar
Konular

Teşekkür (Etti): 333
Teşekkür (Aldı): 1583




He is a famous xss hunter xD



___________________________________________

- Zincire Vurulmuş Küfürlerimin Kilidi ile Oynama -
 Offline  
 
Alıntı ile Cevapla
Teşekkür

'Flash Teşekkür etti.
Alt 22-01-2019 23:31   #10
  • Teğmen
  • Üye Bilgileri
Üyelik tarihi
12/2018
Nereden
Hackcity
Mesajlar
Konular

Teşekkür (Etti): 49
Teşekkür (Aldı): 20




İşime çok yaradı komutanım eyw



___________________________________________

bir gün bakarsın h4ckers seni hacklemiş

 Offline  
 
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından paylaşılmaktadır.
Bu konular yasalara uygunluk ve telif hakkı konusunda yönetimimiz tarafından kontrol edilse de, gözden kaçabilen içerikler yer alabilmektedir.
Bu tür konuları turkhackteamiletisim [at] gmail.com mail adresimize bildirebilirsiniz, konular hakkında en kısa sürede gerekli işlemler yapılacaktır.
Please Report Abuse, DMCA, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim [at] gmail.com

Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz.
Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.



         

Powered by vBulletin® Copyright ©2000 - 2019

TSK Mehmetçik Vakfı

Türk Polis Teşkilatını Güçlendirme Vakfı

Google+
Pomeranian Boo
instagram takipci hilesi

wau