Bug Bounty Nedir?

Bug Bounty Nedir?

Bug Bounty Nedir?

Bug Bounty, farklı kurum ve kuruluşların, yazılımlarında bulunan zafiyetlerin tespitini, testini yaptırmak ve bunların sonucunda ortaya çıkan zafiyetlerin giderilmesi amacı ile başlattığı ödüllü siber güvenlik programlarıdır. Bug Bounty programlarına katılıp yazılımsal zafiyetleri test edip bunları raporlayan kişilere ise Bug Hunter(Ödül Avcısı) denir. Ülkemizde pek yaygın olmasada aslında bir çok yabancı ülkede, bir çok kurum ve kuruluşun Bug Bounty programı bulunmaktadır. Bu programlardan bir kısmı public(herkese açık) programlarken bir kısmı ise private(özel davet gerektiren) programlardır.

Neden Bug Bounty?

– İlk olarak bu soruya firmalar olarak cevap verelim. Firmaların Bug Bounty programları başlatmasının en temel sebeplerinden birisi, “çok iş, az maliyet” politikasıdır. Bug bounty programları sayesinde firmalar yüzlerce kişiye test yaptırarak hem sistemin farklı bakış açılarıyla test edilmesine olanak sağlıyor, hem de bir güvenlik fırmasına vereceği ücretten çok daha az bir ücret ödüyor.

– Şimdi ise bu soruya Siber Güvenlik Araştırmacıları olarak cevap verelim. Dünyada binlerce kişi Bug Bounty programlarına katılıyor ve yazılımlarda zafiyet bularak bunları firmalara raporluyor. Bunun sonucunda da çoğunlukla para ödülü alırken bazen ise T-shirt, sticker, çanta vb şeylerle ödüllendiriliyor. Bug Bounty programları, hem araştırmacının para kazanmasını sağlarken hem de aynı doğrultuda araştırmacının kendini yasal olarak geliştirmesini sağlıyor. Yasal olarak dememin sebebi, internet üzerinde herhangi bir web sitesinde zafiyet aramak dünya çapında suç kabul ediliyor. Fakat Bug Bounty programı olan firmaların sitelerinde veya uygulamalarında test yapmanız herhangi bir suç teşkil etmiyor. Bu sebepten ötürü araştırmacılar kendi yeteneklerini gerçek dünyada test ederek gerçek dünyaya göre şekillendirebilme imkanı buluyor.

En Çok Tercih Edilen Bug Bounty Platformları Nelerdir?

– HackerOne

– BugCrowd

– Intigriti

– Cobalt

– Synack

Bug Bounty Rapor Durumları Nelerdir?

– Pre-Submission: Yazdığınız rapor potansiyel olarak geçersiz işaretlendiğinde, raporunuz “pre-submission” olarak gözükür ve yazdığınız rapor programı oluşturan firmaya gönderilmeden önce bugbounty platformunun çalışanı tarafından kontrolden geçer.

– New: Yazdığınız rapor henüz okunmamış durumda ise “New” olarak gözükür.

– Triaged: Yazdığınız rapor okunmuş ve değerlendirilmiş fakat sorun henüz çözülmemiş anlamına gelir.

– Re-Testing: Yazdığınız rapordaki zafiyet giderildiği takdirde firma sizden yeniden test etmenizi isteyebilir. Bu durumda raporunuz “re-testing” olarak gözükür.

– Needs More Info: Yazdığınız rapor yetersiz olduğu zaman raporunuz “need more info” olarak gözükür. Eksik olan kısımlar güvenlik uzmanları tarafından belirtilmelidir.

– Resolved: Raporunuz anlaşılırdır ve sorun çözülmüştür.

– Informative: Yazdığınız rapor yararlı bilgiler içerir fakat raporunuzda belirttiğiniz bilgiler bir risk oluşturmuyorsa, raporunuz “informative olarak gözükür”.

– Duplicate: Bu durumda yazdığınız rapordaki zafiyet, zaten daha önce başka bir kişi tarafından bildirildi anlamına geliyor.

– Not-Applicable: Yazdığınız rapordaki zafiyet varolan bir zafiyet olmadığında, hiçbir risk oluşturmadığında veya programdaki scope’un dışında bulunduğunda raporunuz “not-applicable” olarak gözükür.

Takip Edilmesi Tavsiye Edilen Bug Hunterlar:

– @fransrosen

– @avlidienbrunn

– @thedawgyg

– @smiegles

– @jobertabma

– @stokfredrik

– @gerben_javado

– @NahamSec

– @emgeekboy

– @EdOverFlow

– @NathOnSecurity

Related Posts

Facebook Comments