Siber Güvenlik

Bug Bounty Nedir ? Nasıl Para Kazanılır ? Nasıl Ödül Alınır ?

Bug Bounty Nedir ?

Ünlü firmaların ve şirketlerin kendi yazılım veya web sitelerindeki açıklarını kendine bildirilmesidir. Şirketler Bug Bounty programını halka açık şekilde bildirerek herkesin katılmasını ister çünkü 1 kişinin bulamadığını diğer başkabir kişi bulabilir. Ve bulunan açığın kritikliğine göre ödül (para, çanta, kalem, t-shirt, laptop, forma) verir. Bu sayede şirketler kendi açığını kapatır ve açığı bulan kişi ödüllendirilmiş olur. Hackerlar için bu durum bir para makinesidir. Çünkü sızamayacakları site ve yazılım yoktur. Bunlar genellikle Hall Of Fame (Onur Listesi) gibi listelere veya CV‘niz için önemli bir durumdur.

Hedefte Açık Bulma Süreci Nasıl İşler ?

1.Adım : Örnek olarak kendimize bir hedef seçelim.

Hedefimiz : https://hackerone.com/twitter

2. Adım : Hemen kapsam içindeki domainlere, para verilen açıklara ve kapsam dışındaki açık türüne ve domainlere bakılır.

Bu bölümde kapsam içindeki açıklara ve domainlere uymak büyük bir önceliktir. Uymama dışında ödülünüzü almayabilirsiniz yada rapor kaptılabilir.

3.Adım : Hedef domaini seçtik ve sırada açık bulma kısmına geldik bu tamamen sizin bilginize ve yeteneğinize bağlıdır. Aynı sayfaya 10000 kişi bakar fakat 1 kişi açığı görebilir bu sizin yeteneğinize bağlıdır.

4.Adım : Sırada bulduğunuz açığı şirkete bildirmekte raporu ingilizce olarak şirkete gönderin rapora 1 gün içinde cevap gelecektir. Açık kapatıldıktan sonra sizden kapandığına dair onay istiyecekler ve siz açığın hala aktif olup olmadığına bakacaksınız ve ardından ödülünüzü alacaksınız.

Rapor Başlıkları

1. Triaged

Açık firma tarafından onaylandı demektir. Ve size kısa zamanda geri dönüş sağlanacaktır.

2. Needs More Information

Bu açık hakkında sizden daha fazla bilgi istenmektedir.

3. Duplicate

Bu açık daha önceden başka bir kişi tarafından bildirilmiş demektir.

4. Resolved

Güvenlik açığı kapatılmış demektir.

Bug Bounty Platformları



1. HackerOne (https://hackerone.com)

En büyük bug bounty platformudur. Yüzlerce halka açık şirket ve halka açık raporlar var. Kişinin gelişmesi için idael bir platformdur.

2. Intigriti ( https://intigriti.com)

3. Bugcrowd (https://bugcrowd.com)


4. AntiHack.Me (https://antihack.me)



5. Synack Red Team (https://www.synack.com/red-team/)

Etiketler

İlgili Makaleler

2 Yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu