Bug Bounty nedir?

ANON1M

ANON1M

Hectopat
Katılım
14 Aralık 2019
Mesajlar
2.851
Çözümler
12
Bug Bounty ile uğraşan var mı? Birkaç soru sormak istiyorum. Kendimi basitçe ifade etmeye çalıştım.

* Nasıl oluyor size sipariş mi geliyor yoksa siz mi birine talep yolluyorsunuz?

* Hataları bulup bildiriyorsunuz sonraki süreçte sizi ne izliyor?

* Hangi dilleri bilmek gerekiyor?

* Siz hangi dilleri biliyorsunuz?

* Bug Bounty işinden ortalama ne kadar kazanıyorsunuz?
 
1- Bunun aracılığını yapan siteler var, örnek olarak Bugcrowd ve Hackerone'ı verebiliriz. Buralarda herkese açık ve private olarak verilen bug bounty programları mevcut. Eğer belli bir puanın üstüne çıkarsan private programlar gelmeye başlıyor, o sürece kadar herkese açık programlardan ödül topluyorsun.
2- Açığı bulup bir rapor hazırlaman gerekiyor, açığı nerede bulduğun, etkisinin nerelerde olduğu gibi. Sonrasında ise raporlar ile ilgilenen görevli bunu değerlendirip açığın impact (etki) 'sini değerlendirerek ona göre bir ödül veriyor ya da vermiyor.
3- Javascript, HTML/CSS , SQL, Ruby ve Python bilsen çok güzel olur ama herhangi bir dil bilmeden de yapmak mümkün.
4- Ben Javascript temel seviyede, HTML/CSS yeterli seviyede, SQL biraz ve Python orta seviyede biliyorum.
5- Duruma göre değişir, sabit bir kazanç yok. Bunu programlara bakarak anlayabilirsin. 10000 USD alan da var 10 USD alan da.
 
Rashmore dedi:
1- Bunun aracılığını yapan siteler var, örnek olarak Bugcrowd ve Hackerone'ı verebiliriz. Buralarda herkese açık ve private olarak verilen bug bounty programları mevcut. Eğer belli bir puanın üstüne çıkarsan private programlar gelmeye başlıyor, o sürece kadar herkese açık programlardan ödül topluyorsun.
2- Açığı bulup bir rapor hazırlaman gerekiyor, açığı nerede bulduğun, etkisinin nerelerde olduğu gibi. Sonrasında ise raporlar ile ilgilenen görevli bunu değerlendirip açığın impact (etki) 'sini değerlendirerek ona göre bir ödül veriyor ya da vermiyor.
3- Javascript, HTML/CSS , SQL, Ruby ve Python bilsen çok güzel olur ama herhangi bir dil bilmeden de yapmak mümkün.
4- Ben Javascript temel seviyede, HTML/CSS yeterli seviyede, SQL biraz ve Python orta seviyede biliyorum.
5- Duruma göre değişir, sabit bir kazanç yok. Bunu programlara bakarak anlayabilirsin. 10000 USD alan da var 10 USD alan da.
Genişletmek için tıkla...
Dil bilmeden yapmak derken? İlk kez sizden duyuyorum.
 
ANON1M dedi:
* Nasıl oluyor size sipariş mi geliyor yoksa siz mi birine talep yolluyorsunuz?
Genişletmek için tıkla...

Hazır talepler var hazır sitelerde (Önr: hackerone.com) gidip oradaki kurallar çerçevesinde bug/açık buluyorsunuz.

ANON1M dedi:
* Hataları bulup bildiriyorsunuz sonraki süreçte sizi ne izliyor?
Genişletmek için tıkla...

Raporunuz inceleniyor ve hata gerçek ise raporunuzun ve hatanın kalitesine göre ücretlendirme yapılıyor.

ANON1M dedi:
* Hangi dilleri bilmek gerekiyor?
Genişletmek için tıkla...

Bazen dil bilmek gerekmiyor, bazen ise hata aradığınız sistemin dilini bilmek gerekiyor. Bu C#'de olabilir JS de.

ANON1M dedi:
* Siz hangi dilleri biliyorsunuz?
Genişletmek için tıkla...

HTML/CSS/JS/PHP biliyorum orta-ileri seviye, C# öğreniyorum.

ANON1M dedi:
* Bug Bounty işinden ortalama ne kadar kazanıyorsunuz?
Genişletmek için tıkla...

3 Kez hata arama yaptım ortalama 2-8 saat sürüyor bir adet hata bulmak. İlkinde raporun dehşet kötü olduğu için ödeme yapmadılar sadece kitapçık gönderdiler :D (Kitapçık ~150$) diğerinde hatayı benden önce benden daha detaylı bildiren olduğu için gene ödeme alamadım, 3. de ise bulduğum açık basit ama raporum güzel olduğu için 50$ ödeme aldım.
 
Son düzenleme:
EKAloji dedi:
Hazır talepler var hazır sitelerde (Önr: hackerone.com) gidip oradaki kurallar çerçevesinde bug/açık buluyorsunuz.

Raporunuz inceleniyor ve hata gerçek ise raporunuzun ve hatanın kalitesine göre ücretlendirme yapılıyor.

Bazen dil bilmek gerekmiyor, bazen ise hata aradığınız sistemin dilini bilmek gerekiyor. Bu c# de olabilir js de.

HTML/CSS/JS/PHP biliyorum orta-ileri seviye, c# öğreniyorum.

3 kez hata arama yaptım ortalama 2-8 saat sürüyor bir adet hata bulmak. İlkinde raporun dehşet kötü olduğu için ödeme yapmadılar sadece kitapçık gönderdiler :D (Kitapçık ~150$) diğerinde hatayı benden önce benden daha detaylı bildiren olduğu için gene ödeme alamadım, 3. de ise bulduğum açık basit ama raporum güzel olduğu için 50$ ödeme aldım.
Genişletmek için tıkla...
Dil bilmeden yapmak derken nasıl oluyor?
 
1)hackerone diye bir site var orda kendi sistemlerini test etmek isteyen firmalar var.Bu testleri belli şartlara uygun yapıyorsun
2)Hataları rapor şeklinde bildiriyorsun.Raporun inceleniyor.Bu aşamada önemli olan raporu nasıl hazırladığın.
3)PHP,html,JavaScript gibi web dillerini bilirsen senin için iyi olur.Birde dil bilmekten ziyade sistemin nasıl çalıştığını anlaman gerek.
4)Bu tür işlere sürekli başlayıp çeşitli nedenlerden dolayı ara vermek zorunda kalıyorum o yüzden şu dili biliyorum demem doğru olmaz.Zaten dediğim gibi dil bilmekten ziyede dilin o sistemde nasıl çalıştığı neyi etkilediği önemli.
5)Bug bounty de hiç rapor vermedim.Fakat kazanacağın para bulduğun hatanın büyüklüğüne göre değişir.Hiç ödül vermeyede bilirler , büyük ödüllerde verebilirler.Kazanç kısmı tamamen bulduğun hatanın büyüklüğüne bağlı.Bazı firmalar en az şu kadar ,en fazla şu kadar veriyoruz diye sınırlamada yapıyor.Hackerone da zaten en az verecekleri ücretle en fazla verecekleri ücret yazıyor.
 
ANON1M dedi:
Dil bilmeden yapmak derken? İlk kez sizden duyuyorum.
Genişletmek için tıkla...
Sitede mantıksal açıklar da bulabiliyorsun, bunun için herhangi bir dil bilmek gerekmiyor. Hatta bir dili sadece okumayı bilsen bile pek çok bug bulabileceğine eminim. Ama tabi ki bir dile hakim olan insan siteyi yazan developer ile özdeşir. Bu nedenle nerelerde daha sık hata yapıldığını daha çok bilir. Bu sayede developer olmak bug bounty açısından çok büyük bir avantajdır.
 
Peki Javascript , Html (Temel biliyorum), SQL , CSS dillerini öğrenmem ne kadarımı alır? Günde ortalama 5 saatimi versem.
 
ANON1M dedi:
Dil bilmeden yapmak derken nasıl oluyor?
Genişletmek için tıkla...

Bug ve açık terimleri arasındaki farkı öğrenmeni öneririm. Bug sistemsel hatalardır siteye girince responsive olmaması, favicon olmaması bugdur, siteye girince login bölümüne admin admin -örnek- yazınca seni rastgele bir kullanıcının hesabına atması açıktır. Ya da admin paneline, sistem dosyalarına vb. özel/değerli verilere erişmeni sağlayacak hatalar açıktır. Bug bulmak için dil bilmene gerek yok ama açık bulmak için dil bilmen lazım.
 
Son düzenleme:
ANON1M dedi:
Peki Javascript , Html (Temel biliyorum), SQL , CSS dillerini öğrenmem ne kadarımı alır? Günde ortalama 5 saatimi versem.
Genişletmek için tıkla...
Bunu sadece sen bilebilirsin. Sana kimse 1 saatte veya 1 günde öğrenebilirsin şeklinde bir tespit yapamaz. Kendin çalış ve öğren, CSS kolaydır, SQL'de biraz syntax karışık gelebilir ama zor değildir. Javascript'e kendini vermeye çalış çünkü en çok kullanacağın dil olucak kendisi web security alanında.
 

Benzer konular

bifteq
Bug Bounty zor mu?
Mesaj
1
Görüntüleme
1B
mertcangokgoz
mertcangokgoz
Gewer
Bug bounty nasıl görüntülenir?
Mesaj
2
Görüntüleme
641
420645
4
3
Bug bounty nasıl yapılır?
Mesaj
6
Görüntüleme
3B
391039
3
P
Bug Bounty ile gelir elde etmek
Mesaj
0
Görüntüleme
491
pcdev3090
P
The Lord
Bug bounty programı olmayan bir sitede açık bulmak
Mesaj
4
Görüntüleme
531
Wilfaelor
Wilfaelor

Yeni konular

Yeni mesajlar

Geri
Yukarı