Uygulama Güvenliği

Bug Bounty Nedir?

Bug bounty programları organizasyonların ürünlerindeki bozuklukların (bugs) tespiti ve güvenlik seviyelerini arttırmak için bağımsız güvenlik araştırmacılarının katıldığı özel ya da açık programlardır. Güvenlik araştırmacıları tespit ettikleri açıklık/zafiyet/sömürüleri (bugs) bu program kapsamında raporlayarak ücret ve ödüller kazanabilir. Bu programlarda genellikle güvenlik zafiyetleri raporlanır ama bazen donanım kusurları, süreçsel problemler ve benzeri problemleri de içerebilir.

Talha ŞEN |

22.02.2021

Bug bounty programları organizasyonların ürünlerindeki bozuklukların (bugs) tespiti ve güvenlik seviyelerini arttırmak için bağımsız güvenlik araştırmacılarının katıldığı özel ya da açık programlardır. Güvenlik araştırmacıları tespit ettikleri açıklık/zafiyet/sömürüleri (bugs) bu program kapsamında raporlayarak ücret ve ödüller kazanabilir. Bu programlarda genellikle güvenlik zafiyetleri raporlanır ama bazen donanım kusurları, süreçsel problemler ve benzeri problemleri de içerebilir.

 

Bug bounty programları davet ile özelleşmiş(private) ya da herkesin kayıt olup katılabileceği açık (public) programlardır. Bazı programlar belirli zaman çerçevesinde gerçekleştirilirken, çoğunluğunun bitiş tarihi olmaz.

 

Birçok büyük organizasyon güvenlik programlarının bir parçası olarak bug bounty programlarını kullanır. AOL, FacebookAndroid, Apple, Digital Ocean firmaları bunlara birer örnektir. 

 

Bugcrowd ve HackerOne gibi bug bounty programı sağlayıcıları da bulunmaktadır. Bu platformlar üzerinden firmalar kendi ürünleri için bug bounty programları açarak dünya üzerindeki birçok güvenlik araştırmacısının güvenlik testine sunabilmektedir. Bugcrowd ve HackerOne platformlarında açık bulunan bug bounty programlarını görebilirsiniz.

 

Bu programların detayından bahsedecek olursak. Firmalar bu program kapsamında (scope) olan hedef sistem ya da ürünleri açıkça belirtirler. Kapsam dışında olan hedef ve sistemleri de belirtebilirler. Ayrıca programın kurallarını da açıklarlar. Zaman geçtikçe bu kapsam bilgileri ve program kuralları değişebilir. Bu değişiklikleri bug bounty programının bildirim kanallarından takip etmek gerekir. Örnek vermek gerekirse program sahibi firmanın kapsam dışı olan bir sisteminde ya da web sitesinde açık tespit ettiniz ve bunu ilettiğinizde herhangi bir ödül alamayacaksınız. Bildirimleri takip ederseniz açık tespit ettiğiniz sistem ya da web sitesi kapsama dahil olabilir ve bulduğunuz açıklığı ilk siz iletirsiniz. Yeri gelmişken ödüllerden de bahsetmek gerekir. Aynı açıklık/zafiyeti/sömürüyü iki farklı kişi tespit ederse ilk gönderen ödülü alır. İkinci gönderen kişi genellikle ödüllendirilmez. Ama bazen motivasyon amaçlı küçük ödüller gönderilir. Bu açıdan bildirimleri takip etmek önemlidir.

 

Her bug bounty programı için ödüller de farklı olabilmektedir. Bazı firmalar para ödülü verirken bazıları da sadece t-shirt, şapka, çanta gibi üzerinde firma logosu ya da sloganı olan promosyon ürünleri (swag) ödül olarak verebilir. Bazı firmalar da sadece güvenlik araştırmacılarının isimlerini onur listesinde (hall of fame) yayınlamaktadır. Bunların birkaçını bir arada yapan firmalar da bulunmaktadır.

 

 

Talha ŞEN |

22.02.2021

Yorumlar

Mehmet Baran Munar
02.05.2021 - 05:13

Açık tespiti için hangi programlama dilleri kullanılıyor?

Talha ŞEN
13.10.2021 - 12:53

@Mehmet Baran Munar

Açık tespiti için programlama dili kullanılması şart değil. Ama programlama dili ile otomatik bazı zafiyetlerin bulunması mümkündür.

"Sızma testi nasıl yapılır", "Bug Bounty Zafiyet keşfi nasıl yapılır?" gibi soruları arama motorlarında aradığınızda bir çok makale, video ve eğitim bulabilirsiniz.

Ayşe ÖZBEY
25.11.2022 - 11:11

Merhaba 

Bir sistemdeki açıkları tespit edebilmek için yazılımda tam olarak nerede olmamız gerekiyor? Yani neleri bilmemiz ve ne kadar gelişmiş olmamız gerekiyor ?

Muhammed Kılıç
02.12.2022 - 03:12

@Ayşe ÖZBEY 

Siber Güvenlik Temel eğitim paketlei,gibi bir çok eğitimlerden bilgi toplayıp kendine bir not çıkartabilirsin:)