Bug Bounty nedir?

ANON1M · 11 Kasım 2020

Bug Bounty ile uğraşan var mı? Birkaç soru sormak istiyorum. Kendimi basitçe ifade etmeye çalıştım.

* Nasıl oluyor size sipariş mi geliyor yoksa siz mi birine talep yolluyorsunuz?

* Hataları bulup bildiriyorsunuz sonraki süreçte sizi ne izliyor?

* Hangi dilleri bilmek gerekiyor?

* Siz hangi dilleri biliyorsunuz?

* Bug Bounty işinden ortalama ne kadar kazanıyorsunuz?

Rashmore · 11 Kasım 2020

1- Bunun aracılığını yapan siteler var, örnek olarak Bugcrowd ve Hackerone'ı verebiliriz. Buralarda herkese açık ve private olarak verilen bug bounty programları mevcut. Eğer belli bir puanın üstüne çıkarsan private programlar gelmeye başlıyor, o sürece kadar herkese açık programlardan ödül topluyorsun.
2- Açığı bulup bir rapor hazırlaman gerekiyor, açığı nerede bulduğun, etkisinin nerelerde olduğu gibi. Sonrasında ise raporlar ile ilgilenen görevli bunu değerlendirip açığın impact (etki) 'sini değerlendirerek ona göre bir ödül veriyor ya da vermiyor.
3- Javascript, HTML/CSS , SQL, Ruby ve Python bilsen çok güzel olur ama herhangi bir dil bilmeden de yapmak mümkün.
4- Ben Javascript temel seviyede, HTML/CSS yeterli seviyede, SQL biraz ve Python orta seviyede biliyorum.
5- Duruma göre değişir, sabit bir kazanç yok. Bunu programlara bakarak anlayabilirsin. 10000 USD alan da var 10 USD alan da.

ANON1M · 11 Kasım 2020

Rashmore dedi:
1- Bunun aracılığını yapan siteler var, örnek olarak Bugcrowd ve Hackerone'ı verebiliriz. Buralarda herkese açık ve private olarak verilen bug bounty programları mevcut. Eğer belli bir puanın üstüne çıkarsan private programlar gelmeye başlıyor, o sürece kadar herkese açık programlardan ödül topluyorsun.
2- Açığı bulup bir rapor hazırlaman gerekiyor, açığı nerede bulduğun, etkisinin nerelerde olduğu gibi. Sonrasında ise raporlar ile ilgilenen görevli bunu değerlendirip açığın impact (etki) 'sini değerlendirerek ona göre bir ödül veriyor ya da vermiyor.
3- Javascript, HTML/CSS , SQL, Ruby ve Python bilsen çok güzel olur ama herhangi bir dil bilmeden de yapmak mümkün.
4- Ben Javascript temel seviyede, HTML/CSS yeterli seviyede, SQL biraz ve Python orta seviyede biliyorum.
5- Duruma göre değişir, sabit bir kazanç yok. Bunu programlara bakarak anlayabilirsin. 10000 USD alan da var 10 USD alan da.

Dil bilmeden yapmak derken? İlk kez sizden duyuyorum.

EKAloji · 11 Kasım 2020

ANON1M dedi:
* Nasıl oluyor size sipariş mi geliyor yoksa siz mi birine talep yolluyorsunuz?

Hazır talepler var hazır sitelerde (Önr: hackerone.com) gidip oradaki kurallar çerçevesinde bug/açık buluyorsunuz.

ANON1M dedi:
* Hataları bulup bildiriyorsunuz sonraki süreçte sizi ne izliyor?

Raporunuz inceleniyor ve hata gerçek ise raporunuzun ve hatanın kalitesine göre ücretlendirme yapılıyor.

ANON1M dedi:
* Hangi dilleri bilmek gerekiyor?

Bazen dil bilmek gerekmiyor, bazen ise hata aradığınız sistemin dilini bilmek gerekiyor. Bu C#'de olabilir JS de.

ANON1M dedi:
* Siz hangi dilleri biliyorsunuz?

HTML/CSS/JS/PHP biliyorum orta-ileri seviye, C# öğreniyorum.

ANON1M dedi:
* Bug Bounty işinden ortalama ne kadar kazanıyorsunuz?

3 Kez hata arama yaptım ortalama 2-8 saat sürüyor bir adet hata bulmak. İlkinde raporun dehşet kötü olduğu için ödeme yapmadılar sadece kitapçık gönderdiler (Kitapçık ~150$) diğerinde hatayı benden önce benden daha detaylı bildiren olduğu için gene ödeme alamadım, 3. de ise bulduğum açık basit ama raporum güzel olduğu için 50$ ödeme aldım.

ANON1M · 11 Kasım 2020

EKAloji dedi:
Hazır talepler var hazır sitelerde (Önr: hackerone.com) gidip oradaki kurallar çerçevesinde bug/açık buluyorsunuz.

Raporunuz inceleniyor ve hata gerçek ise raporunuzun ve hatanın kalitesine göre ücretlendirme yapılıyor.

Bazen dil bilmek gerekmiyor, bazen ise hata aradığınız sistemin dilini bilmek gerekiyor. Bu c# de olabilir js de.

HTML/CSS/JS/PHP biliyorum orta-ileri seviye, c# öğreniyorum.

3 kez hata arama yaptım ortalama 2-8 saat sürüyor bir adet hata bulmak. İlkinde raporun dehşet kötü olduğu için ödeme yapmadılar sadece kitapçık gönderdiler (Kitapçık ~150$) diğerinde hatayı benden önce benden daha detaylı bildiren olduğu için gene ödeme alamadım, 3. de ise bulduğum açık basit ama raporum güzel olduğu için 50$ ödeme aldım.

Dil bilmeden yapmak derken nasıl oluyor?

Syatix · 11 Kasım 2020

1)hackerone diye bir site var orda kendi sistemlerini test etmek isteyen firmalar var.Bu testleri belli şartlara uygun yapıyorsun
2)Hataları rapor şeklinde bildiriyorsun.Raporun inceleniyor.Bu aşamada önemli olan raporu nasıl hazırladığın.
3)PHP,html,JavaScript gibi web dillerini bilirsen senin için iyi olur.Birde dil bilmekten ziyade sistemin nasıl çalıştığını anlaman gerek.
4)Bu tür işlere sürekli başlayıp çeşitli nedenlerden dolayı ara vermek zorunda kalıyorum o yüzden şu dili biliyorum demem doğru olmaz.Zaten dediğim gibi dil bilmekten ziyede dilin o sistemde nasıl çalıştığı neyi etkilediği önemli.
5)Bug bounty de hiç rapor vermedim.Fakat kazanacağın para bulduğun hatanın büyüklüğüne göre değişir.Hiç ödül vermeyede bilirler , büyük ödüllerde verebilirler.Kazanç kısmı tamamen bulduğun hatanın büyüklüğüne bağlı.Bazı firmalar en az şu kadar ,en fazla şu kadar veriyoruz diye sınırlamada yapıyor.Hackerone da zaten en az verecekleri ücretle en fazla verecekleri ücret yazıyor.

Rashmore · 11 Kasım 2020

ANON1M dedi:
Dil bilmeden yapmak derken? İlk kez sizden duyuyorum.

Sitede mantıksal açıklar da bulabiliyorsun, bunun için herhangi bir dil bilmek gerekmiyor. Hatta bir dili sadece okumayı bilsen bile pek çok bug bulabileceğine eminim. Ama tabi ki bir dile hakim olan insan siteyi yazan developer ile özdeşir. Bu nedenle nerelerde daha sık hata yapıldığını daha çok bilir. Bu sayede developer olmak bug bounty açısından çok büyük bir avantajdır.

ANON1M · 11 Kasım 2020

Peki Javascript , Html (Temel biliyorum), SQL , CSS dillerini öğrenmem ne kadarımı alır? Günde ortalama 5 saatimi versem.

EKAloji · 11 Kasım 2020

ANON1M dedi:
Dil bilmeden yapmak derken nasıl oluyor?

Bug ve açık terimleri arasındaki farkı öğrenmeni öneririm. Bug sistemsel hatalardır siteye girince responsive olmaması, favicon olmaması bugdur, siteye girince login bölümüne admin admin -örnek- yazınca seni rastgele bir kullanıcının hesabına atması açıktır. Ya da admin paneline, sistem dosyalarına vb. özel/değerli verilere erişmeni sağlayacak hatalar açıktır. Bug bulmak için dil bilmene gerek yok ama açık bulmak için dil bilmen lazım.

Rashmore · 11 Kasım 2020

ANON1M dedi:
Peki Javascript , Html (Temel biliyorum), SQL , CSS dillerini öğrenmem ne kadarımı alır? Günde ortalama 5 saatimi versem.

Bunu sadece sen bilebilirsin. Sana kimse 1 saatte veya 1 günde öğrenebilirsin şeklinde bir tespit yapamaz. Kendin çalış ve öğren, CSS kolaydır, SQL'de biraz syntax karışık gelebilir ama zor değildir. Javascript'e kendini vermeye çalış çünkü en çok kullanacağın dil olucak kendisi web security alanında.

Bug Bounty nedir?

ANON1M

Kilopat

Rashmore

Kilopat

ANON1M

Kilopat

EKAloji

Hectopat

ANON1M

Kilopat

Syatix

Kilopat

Rashmore

Kilopat

ANON1M

Kilopat

EKAloji

Hectopat

Rashmore

Kilopat