Herkese yeniden merhaba arkadaşlar. Bugün sizlere 5 maddede tüm bug bounty yani ödül avcılığı programını anlatmaya çalışacağım. Öncelikle bug bounty (ödül avcılığı) nedir onu açıklayim. Bug bounty, türkçe anlamıyla ödül avcılığı sistemi şöyle işler; Bir platform vardır bunlar örnek olarak bugcrowd hackerone veya bugbounter gibi siteler yani platformların iki kayıt yöntemi olur. Birsii hacker girişi ve bir diğeri company girişi yani şirket girişi. İki türlü kayıt olabiliyorsunuz bu platformlara. Şirketler kendi sitelerini, android uygulamalarını ve kodlarını paylaşırlar. ve kayıt olurlar. Hackerlar ise bu kaynak kodları, android ve ios uygulamalarını veya web sitelerini görür ve bunlarda açık bulmaya çalışırlar.
Verilen programlar yani şirketler çok fazla görülebilir. Ama sizin gibi avcı çok fazla olduğu için bu sistemler yetmez bile. Hackerone çok fazla popüler olduğu için diğer sitelere yönelmenizi tavsiye ediyorum. bugcrowd üyeliği kullanabilirsiniz. Bunun yanı sıra sadece ücret veren şirketlere bakmamanızı tavsiye ediyorum. Çünkü bu aşamada önemli olan şeyler private yani gizli programlar. Bug bounty dünyasinda private davet alabilmek önemli bunun için de herhangi bir şirkete rapor göndermeli ve valid rapor almalısınız. Yani duplicate bile olabilir. Zamanla bu kavramları öğrenceksiniz ama ben size şimdiden aşinalık katayim. Duplicate raporlar şöyledir, eğer siz bir açık buldunuz ve raporladınız sevindiniz ama hemen sevinmeyin. sizden önce raporlayan birisi varsa bu duplicate rapor olarak geçer ve herhangi bir ödül alamazsınız. (çoğunlukla) Ve ineligate programlar yani ödül vermeyen programlar ise sizlere hediyekodu tşört ve çeşitli hediyeler verebilir. Bana bir keresinde google kupa göndermişti ve ödül vermeyen bir programa çalışmalar yaptım ve kaynak kodunda bir hata yani açık bulmuştum. Bu açık information disclosure olarak geçiyordu. Şifre sıfırlama yerinde kullanıcı adını yazıyordum ve şuraya mail gönderildi diyordu html yani kaynak kodunda ise bu mail gözüküyordu ve bunu da 1000 tl lik hepsi burada kupon kodu ile ödüllendirildim. Çünkü ineligable bir programdı yani para vermediklerini söylediler. Normalde tabi legable olsa dolarla alacaktım.
Türkiye sınırları içinde yaşıyorsanız vergilendirme şart. Eğer siz bu işi full time yapmayı düşünüyorsanız vergi ödemeli ve şahıs şirketi kurmalısınız. Şöyle bir durum daha var. Eşik ödeme var eğer devlet diyor ki 6 ayda bir falan ödeme alrısanız siz bu işi sürekli yapmıyorsunuz ve vergi ödememek için bir hakkınız var ama yaşınız genç ise tabii. 26 yaşında değilseniz. Böyle bir kanun da var.Size önerim eşik ödeme yani minimum ödeme tutarını yükseltin
Web sitelerinde açıklar için çok fazla seçenek var bug bounty alanında owasp top 10 diye bir şey var bu web pentest bölümünde de var. Zaten aynı şeyler gibi ama biri freelancer biri iş yani böyle düşünebilirsiniz. Eğer açık bulamazsanız bug bounty de ödül alamazsınız ama web pentest yani siber güvenlik uzmanlığı alanında bir iş bulursanız ve site açık tararsanız açık bulamazsanız da paranızı alcaksınız. böyle bir farkları var. Ama çok fazla açık türü var. SQL,XSS, IDOR, CSRF,SSRF, SSTI, Bypass yöntemleri bunlar, arttırabilir tabii ben popüler olanları söyledim sizlere. Bunları sizlere bu blogta öğreticem. Beraber pratiklerle ve gerçek raporla anlayacağız.
Raporlama kısmı çok önemli mala anlatır gibi anlatmalısınız ve çok detaylı da olmalı öyle bir rapor yazmalısınız işte. yapay zeka kullanabilirsiniz. Benim tercihim ise google gemini. s.
Ödemeleri bir çok yöntemle alabilirsiniz ama ulusal şirketlere üye oluyorsunuz ve transferler öyle gerçekleşiyor. Uption gibi markalar bu konuda yardımcı oluyor ama btc yoluyla talep de ebiliyorsunuz. Bazı firmalarda geçerli ama bu. ve daha güvenli, basit oluyor bana göre.
Bug bounty konusunda umarım sorularınıza cevap bulabilmişsinizdir. Başka sorularınız var ise yorumlar kısmında belirtebilirsiniz gördüğüm gibi cevaplayacağım. Şimdiden okduuğunuz için teşekkür ederim herkese bol şanslar ve iyi günler dilerim Esen kalın.
2 Comments
Leave a Comment