Bug Bounty Nedir ? Nasıl Para Kazanılır ? Nasıl İlerlenir ?

Abone Ol 

Bugbounty , türkce olarak ifade edildiğinde ödül acvılığı demektir. Bir firma ya da kişisel siteler üstünde hataların bulunması için düzenlenen ödül avcısı yarışmalarıdır.

Katılan hackerler beyaz sapkalı hackerler olarak tanımlayabiliriz. Genellikle siyah şapkalı hackerler pek ilgilenmemektedir.

İnstagram , google , facebook ve daha pek çok ünlü firmalar bugbounty üstünde program sunmaktadır. Bulan kişilere belirli seviyelerdeki açıklara göre maddi para vermektedirler.

Bugbounty programları belirli sitelerde listelenirler. Üyelik açarak bugbounty yapmaya başlayabilirsiniz. Fakat yeni başlayanlar için hiç kolay olmayacaktır.

En çok kullanılacak olan Bugbounty programları olarak hackerone , bugcrowd , firebounty kullanılıyor. Tabiki daha pek çok programlar var.

Türkiyede bugbounty yabancı siteler tarafına yapılır. Türk siteleri genelde kendi sitelerine bugbounty yaptırmak istemez. Bu da ülkemizde bek gelişmediğini göstermektedir. Fakat ben gelişeceğini düşünüyorum. Gelecek nesilde ilgi görecektir illahaki.

Bugbounty Aşamaları !

Triaged : Firmaların raporların çalışıp çalışmadığını kontrol ederek gönderdiğiniz rapordan güvenlik açığının onaylandığını göstermektedir.

Needs more info : Gönderdiğiniz raporların eskik veya daha detaylı olması için daha fazla bilgi vermenizi ister.

Duplicate : Raporunuzun daha önce başka biri tarafından gönderildiğini açıklamaktadır.

Informative : Raporunuz geçersiz veya kapsam dışı ise bilgilendirilerek kapatılır.

Resolved : Raporunuzun onaylandığını ifade etmektedir.

Not Applicable : Bulduğunuz açığın olmadığını veya varolmayan bir açığı belirttiğiniz zaman verilen cevaptır.

Locked : Rapor kilitlenir ve değiştirlemez hale gelmektedir.

Süreç Nasıl İşlemektedir ?

İlk aşama olarak hedef belirlenmektedir. Ardından programın açıklama kısmındaki kurallar ve istenen zaafiyetlere odaklanılır. Aynı zamanda belirtilen domain adreslerine.

Kabul edilen ve edilmeyen açıklar tespit edilip ona göre işlem yapılır. Ondan dolayı programlardaki bilgileri dikkatli okumak gerekiyor. Kapsam alanı içerisindeki domainler üzerinden kişinin kendi araştırmasına ve uygulamasına göre özgürlerdir. Önemli olan bulduğunuz açığın kabul edilebilir olmasıdır. Son adım olarak elde tuttuğumuz ve bulduğumuz açıklar rapor halinde gönderilir. Raporlar program sahibine iletilmelidir. Bir süre sizi bekletip açığı kapatıcaklardır. Ondan sonra ise raporounuzu onaylayıp açığın kategorisine göre ücret vermektedirler.

Bugbounty Üzerinde Nasıl Uzmanlaşabilirim ?

Bugbounty üstünde en çok web güvenliği ele alınmaktadır. Daha önce siber güvenlik alanına hiç girmediyseniz bir temel atmanız gerekiyor. Ondan sonra ise açıkları öğrenmelisiniz.

Yukardaki github üstünde bulunan owasp Top10 açıkları oldukca çok karşılaşıcaksınız. Web açıkları üstünde yoğunlaşmanız gelişmeniz gerekiyor. Youtube üstünden yapılan ropörtaj ve konferans videolarını izleyerek işin temel mantığını kavramanız sizin ilerlemenizi daha da hızlandıracaktır.

Ayrıca ingilizce bilgisi olması oldukca önemlidir. Çünkü web açıklarında ilerledikce türkce içerik bulamamaya başlayacaksınız. Medium.Com üzerinden ingilizce olarak farklı ve yeni web zaafiyetlerini öğrenebilirsiniz. İyi bir yere gelmek istiyorsanız araştırma ruhunuzun gerçekten de fazla olması gerekiyor.

İnsanlara sormak ve onları yormak yerine kendi imkanlarınızı kullanarak gitmeniz sizi daha nitelikli ve istikrarcı yapar. Çünkü sorduğunuz kişiler de kendi kendine öğrenmedi. Başarıya giden yol herzaman zorludur.

Bilgi toplamak da en kilit noktalardan birisidir. Bir sistemin nasıl ve ne mantığıyla çalıştığını anlamak size bir gidiş yolu açar. Ne yapıcağınıza karar verir. Eğer iyi bir bilgi sahibi olmayı istiyorsanız alanınıza göre pek çok makale okumanız gelişmenize etkisi oldukca artıcaktır. Eğer bu alanda herhangi bir ön bilginiz yok ise ilk olarakağ teknolojilerine hakim olmanız gerekiyor.

Zorunlu olmasa da gerçekden iyi bir yere gelmek için es geçmemeniz gerekiyor. Yazılım dilleri de önemli tabiki. Web alanında çalışıyorsak php,js gibi web dillerine hakim olmamız tabiki de önemlidir. Bu diller üstünde meydana gelebilecek açıkları kavrayıp falliyet göstermeniz gerekir.

Bunun yanında ilave olarak linux bilgisi de işlemlerinizi hızlandıracaktır. Özellikle de shell scripting. Mesela elinizde 200 ya da daha fazla subdomain var. Keşif aşamasında buldunuz varsayılarak bu subdomainlerin hangineri ayakta hangileri değil birer birer kavramanız oldukca sıkıcı ve vaktinizi bolca alıcaktır.

Onun için linux üstündeki toolar ile taramanız daha mantıklı olucak ve zaman kazanmış olucaksınız. Sosyal medya üstünden bu alan ile alakalı bireyleri takip edip nasıl yaptıklarına bakın. Gidiş yollarını ve taktiklerini izleyin. Bu sayede sizler de açık bulmaya başlayacaksınız. Twitter üstünde bunu yapan pek çok insan var. Bu şekilde ağır ağır para kazanabilirsiniz ama önceliğiniz para olmasın. Başarmak olsun. Aşşağıda sizlere güzel kaynaklar vericeğim. Umarım kestirip atmazsınız.

5 Yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.