İPUCU

THT Gövde Gösterisi BugBounty & Exploit Çalışmalarınızı Sergileyebileceğiniz Bölüm

Seçenekler

Bug Bounty Nedir

22-01-2019 16:20
#1
MyGf - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
07/2016
Nereden:
Hall of Fame
Mesajlar:
3.271
Teşekkür (Etti):
510
Teşekkür (Aldı):
1257
Konular:
312
Bug Bounty Nedir?
Bug Bounty, firmaların yazılımlarında veya web sitelerinde güvenlik açığı bulunması amacıyla açtığı programların genel adıdır. Şirketler bug bounty programını halka duyurarak yazılımlarında güvenlik testi yapılmasına izin verir ve bu güvenlik açıklarını bildirdikleri taktirde raporlayan kişiye (genellikle) ödül verir.
Bug bounty sayesinde şirketler yazılımlarındaki güvenlik açıklarını düzeltir ve bu açıkların kullanılmasını önler. Hackerlara yararı ise oldukça fazla. Programa ve şirkete bağlı olarak olası ödüller; para, sertifika, Hall of Fame sayfalarında adının yer alması (CV'ler için güzel bir seçenek) veya birbirinden güzel swag paketleridir(t-shirt, kalem, kupa, çanta vs., şirketin cömertliğine ve yaratıcılığına bağlı).


Süreç Nasıl İşler?

1. Hedef Belirlenir.


Örneğin hedef olarak Twitter'ı seçtik. Bug Bounty Program sayfası: https://hackerone.com/twitter

2. Kabul edilen, edilmeyen açık tipleri - araştırmacının yapması ve yapmaması gerekenler - bug bounty program kapsamındaki yazılımlar, domainler belirlenir.


Bu bilgilerin hepsini program sayfasında bulabiliriz. Program sayfasına gidiyoruz: https://hackerone.com/twitter. Bu sayfada ihtiyacımız olan her şeyi görebiliriz. Öncelikle Program Kuralları ile başlıyor, daha sonra Ödüller, Rapor Uygunluğu vs. Son olarak da kabul edilen ve edilmeyen domainler bulunuyor. En önemli noktalardan biridir. Bu kurallara uymanız büyük önem teşkil eder.


3. Kapsam içindeki domainler araştırmacının yaratacılığına ve bilgisine göre araştırılır.

Evet, sanırım en zor bölüm burası. Ne kadar güvenlik açığı türü bilirseniz bilin yaratıcılık ve şans büyük bir faktör. Siteyi isterse 1000 kişi araştırmış olsun, şansınıza ve bilginize bağlı olarak 1000 kişinin bulamamış olduğu şeyi bulabilirsiniz. Dikkat edilmesi gereken şey bulduğunuz açığın kabul edilebilir bir tür olmasıdır. Bunu da önceki adımda zaten kabul edilen türleri görmüştük.

4. Rapor, program sahibine gönderilir.


Evet, bulduğunuz açığı İngilizce olarak program sahibine gönderebilirsiniz. Bir süre iletişim halinde kalarak sizi bekletecekler ve açığı düzelttikleri zaman sizden onay isteyecekler. Son adım olarak da bulduğunuz açığın kritiklik derecesine göre ödülünüzü alacaksınız.

Bazı Şirketlerin Bug Bounty Programları İçin Harcadıkları Miktar:

Oath : > $4,000,000

Vimeo: > $200,000

Mail.Ru: > $200,000

Uber: $1,679,594

Twitter: $1,053,800

Slack: $375,566

Ubiquiti Networks: > $600,000

Zomato: > $100,000

Paypal: $595,230

Valve: $494,025

Gitlab: $281,450

Github: $381,030

...

Raporlarınızda Görebileceğiniz Durumlar

1. Triaged


Raporunuzun firma tarafından yeniden üretilebildi, yani onaylandı demektir.

2. Needs More Information


Bu güvenlik açığı hakkında daha fazla bilgi gerekmektedir. Hemen telaşlanmayın, bundan sonra durumun triaged olma şansı da vardır.

3. Duplicate


Firma, gönderdiğiniz güvenlik açığını zaten biliyor demektir. Muhtemelen sizden önce bir araştırmacı bu güvenlik açığını bulmuş ve raporunu göndermiştir.

4. Resolved


Güvenlik açığı başarıyla düzeltilmiştir.


Bug Bounty Platformları


1. HackerOne (https://hackerone.com)


En büyük bug bounty platformu diyebilirim. Onlarca public (halka açık) program dışında puan kazanarak davet alabileceğiniz birçok program bulunmaktadır. Bunun yanında bir diğer güzel yönü ise araştırmacılar tarafından bulunan raporların bir kısmı firma isteğine bağlı olarak halka açılabiliyor. Böylece açık türlerini öğrenmek isteyen araştırmacılar buradan kolayca daha önce bulunan güvenlik açıklarını bulabilirler.








2. Intigriti (https://intigriti.com)


3. Bugcrowd (https://bugcrowd.com)








4. AntiHack.Me (https://antihack.me)








5. Synack Red Team (https://www.synack.com/red-team/)


Synack Red Team, sadece belirli kişilerin katılabildiği bir bug bounty platformudur. Yani herkes kabul edilmez. CV'nizi gönderirsiniz ve kabul edilirseniz bir mail alırsınız.
Konu MyGf tarafından (23-01-2019 00:12 Saat 00:12 ) değiştirilmiştir.

22-01-2019 22:12
#2
R4V3N - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2016
Nereden:
Antalya
Yaş:
21
Mesajlar:
5.810
Teşekkür (Etti):
681
Teşekkür (Aldı):
1992
Konular:
318
Emeğine sağlık maycifi .
M3m0ry Teşekkür etti.
22-01-2019 22:12
#3
"Aqu3LReX - ait Kullanıcı Resmi (Avatar)
Sosyal Medya Timi Asistanı
Üyelik tarihi:
01/2018
Nereden:
Dergi Timi
Mesajlar:
1.495
Teşekkür (Etti):
1338
Teşekkür (Aldı):
499
Konular:
121
Hep duyduğum, fakat araştırmaya üşendiğim konudur kendisi . Sağolasın üstad, güzelce özetlemişsin.
Kullanıcı İmzası
CxFor
M3m0ry Teşekkür etti.
22-01-2019 22:17
#4
RooTGHoST - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2018
Nereden:
:)
Mesajlar:
1.447
Teşekkür (Etti):
425
Teşekkür (Aldı):
263
Konular:
38
Elinize Sağlık Hocam,Nasıl Yapıldığınıda Anlatsaydınız Daha İyi Olurdu
22-01-2019 22:43
#5
MyGf - ait Kullanıcı Resmi (Avatar)
Researcher
Üyelik tarihi:
07/2016
Nereden:
Hall of Fame
Mesajlar:
3.271
Teşekkür (Etti):
510
Teşekkür (Aldı):
1257
Konular:
312
Alıntı:
RooTGHoST´isimli üyeden Alıntı Mesajı göster
Elinize Sağlık Hocam,Nasıl Yapıldığınıda Anlatsaydınız Daha İyi Olurdu
Dostum zaten neyin ne olduğunu anlattım. Bu süreçten sonra tapman gerek açık türlerini öğrenmek ve araştırmak (:

Teşekkürler.
RooTGHoST Teşekkür etti.
22-01-2019 22:56
#6
Qwx - ait Kullanıcı Resmi (Avatar)
Qwx
Siber Güvenlik Ekibi
Üyelik tarihi:
04/2012
Nereden:
İzmir
Mesajlar:
2.505
Teşekkür (Etti):
77
Teşekkür (Aldı):
462
Konular:
52
Elinize, emeğinize sağlık komutanım.
Kullanıcı İmzası
A hacker does for love what others would not do for money.
22-01-2019 23:06
#7
AquieLL - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2014
Nereden:
aquu.php
Mesajlar:
3.988
Teşekkür (Etti):
817
Teşekkür (Aldı):
2279
Konular:
625
Emeğine sağlık Mygf.Biraz daha açıklar hakkında da bir konu oluşturup bir çok arkadaşımızı bu yöne yöneltebilirsin.
Kullanıcı İmzası

WWW.TÜRKHACKTEAM.ORG/TV
- AquieLL -
2014-2017
22-01-2019 23:08
#8
SURHANLI - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Nereden:
Frankfurt
Yaş:
18
Mesajlar:
662
Teşekkür (Etti):
39
Teşekkür (Aldı):
145
Konular:
34
Emeğine sağlık maycifi teşekkürler.
22-01-2019 23:15
#9
MwTugi - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2016
Nereden:
Nereye !
Yaş:
4
Mesajlar:
4.880
Teşekkür (Etti):
334
Teşekkür (Aldı):
1611
Konular:
375
He is a famous xss hunter xD
Kullanıcı İmzası
Düşme!
Düşersen, bağımsızlığını ilan eder dostların,
Düşünce, bütün düşüncelerin değişir hayata dair.
Yılanın ne kadar masum, kurdun suçsuz, çakalın çakal olmadığını anlarsın iki yüzlü insanları görünce
,
Düşme!

10'uncu Köyden!
'Flash Teşekkür etti.
22-01-2019 23:31
#10
H4ckers04 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2018
Nereden:
The『K
Mesajlar:
286
Teşekkür (Etti):
55
Teşekkür (Aldı):
21
Konular:
13
İşime çok yaradı komutanım eyw
Kullanıcı İmzası
bir gün bakarsın h4ckers seni hacklemiş

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var
Sizin Konu Yanıtlama Yetkiniz var
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı