Güvenlik açığı tespit edilen site geliştiricisine bildirilmeli mi?

W

white.hat

Yoctopat
Katılım
20 Ocak 2026
Mesajlar
2
Daha fazla  
Cinsiyet
Erkek
Arkadaşlar merhaba. Sadece merak ettiğim ve kendim de bu otomasyonları yaptığım için restoran otomasyonları yapıp satan bir yazılım sitesinin güvenlik zaafiyetini test etmek istedim. Zaafiyet testleri yaparak bu yazılımı kullanan tüm restoranların bilgisine, POS cihazı dokümanlarına (kritik API’lere), masalara, ödeme sistemlerine ve birçok bilginin erişilebildiğini gördüm. Sizce bunu yazılımı yapan şahsa ulaşıp bildirmeli miyim? Herhangi bir talebim yok bu işi de zaten iyi niyetli bir şekilde yapıyorum. Fakat suistimal edilip şikayet edilmekle de uğraşmak istemiyorum. Teşekkür ederim.
 
Evet , iyi niyetli bir zaafiyet testleri yaptığını site sahibine gerçekten dürüst bir dille belirtirsen bir problem çıkmaz. Fakat bunları açıklarken çok dikkatli olmalısın. Siber tehditin şakası olmaz çünkü.

Şöyle anlatıma geçeyim;
Yazılım sahibine ulaşıp, herhangi bir veri indirmediğini veya sistemi etkilemediğini özellikle belirtip, sadece genel seviyede bir güvenlik açığı olduğunu söylemen yeterli. Teknik detayları herkese açık ortamda değil, doğrudan ve özel olarak paylaşmalısın. Ayrıca kesinlikle bir talepte bulunmamalı, tehditkâr veya “bak kapatmazsanız…” gibi ifadeler kullanmamalısın. Bu şekilde yapılan bildirimler genelde sorun çıkarmaz, bildiğin üzere tam tersine ciddiye alınır.

Gerçekten iyi bir mesaj yazarak ve gerçekten iyi biri olduğunu ispatlayarak çıkardığın sonuçların ekran görüntülerini minimum şekilde kullanmalısın. Sonuçta iznin olmayan bir sitenin zaafiyetini araştırmışsın fakat bunu diğer insanlar yanlış anlayabilirler.
 
H A Y I R. Responsible disclosure yapmaya çalışırken dava yiyen insanlar oldu bu ülkede. Siteyi test etmek için onlardan izin almadıysan bir şey paylaşma, bence suç itirafı olur.
Hatta yapabiliyorsan sat birine gitsin elindeki zaafiyeti.
 
white.hat dedi:
Arkadaşlar merhaba. Sadece merak ettiğim ve kendim de bu otomasyonları yaptığım için restoran otomasyonları yapıp satan bir yazılım sitesinin güvenlik zaafiyetini test etmek istedim. Zaafiyet testleri yaparak bu yazılımı kullanan tüm restoranların bilgisine, POS cihazı dokümanlarına (kritik API'lere), masalara, ödeme sistemlerine ve birçok bilginin erişilebildiğini gördüm. Sizce bunu yazılımı yapan şahsa ulaşıp bildirmeli miyim? Herhangi bir talebim yok bu işi de zaten iyi niyetli bir şekilde yapıyorum. Fakat suistimal edilip şikayet edilmekle de uğraşmak istemiyorum. Teşekkür ederim.
Genişletmek için tıkla...

Sorunu bildirdiğim kişiler başını dert olabilir üslup vs önemli ama karşındaki insanın karakterini bilemesin senin terciğini bilmem ama ben olsam unutup giderdim.
 
mcf dedi:
H A Y I R. Responsible disclosure yapmaya çalışırken dava yiyen insanlar oldu bu ülkede. Siteyi test etmek için onlardan izin almadıysan bir şey paylaşma, bence suç itirafı olur.
Hatta yapabiliyorsan sat birine gitsin elindeki zaafiyeti.
Genişletmek için tıkla...
Biraz da karakter meselesi hocam ya. bazı site sahipleri bir şey demiyor ama rezil birine denk gelirseniz bu tarz durumlar doğabilir. Bu mesajlardan sonra bende fikrimi değiştirdim. Konu sahibi arkadaş sadece kendi içinde test et kazanım olsun maksat.
 
Eğer yapabiliyorsan hiçbir şey olmamış gibi iletişime geçip bir zaafiyet testi isteyip istemedikleri sorulabilir. Eğer bir anlaşmaya varabilirseniz elindekini kullanabilirsin.
mcf dedi:
H A Y I R. Responsible disclosure yapmaya çalışırken dava yiyen insanlar oldu bu ülkede. Siteyi test etmek için onlardan izin almadıysan bir şey paylaşma, bence suç itirafı olur.
Hatta yapabiliyorsan sat birine gitsin elindeki zaafiyeti.
Genişletmek için tıkla...
 
Arkadaşlar kafa ağrıtmaya çok da gerek yok gibi, haklısınız yani. Şimdi bildirip sadece iyiniyetle yaklaştığım bi olayda dava edilmekle de uğraşmak istemiyorum saldım gitti :)
 

Benzer konular

BATTLEFIELD ENGİN47
WannaCry güvenlik açığı tespit etme
2
Mesaj
11
Görüntüleme
2.357
BATTLEFIELD ENGİN47
BATTLEFIELD ENGİN47
yigithan.karabel1
PowerShell SMB Hatası (ESET güvenlik açığı tespit hatası)
Mesaj
1
Görüntüleme
1.442
Murat5038
Murat5038
Scream_00
Windows 10 Çekirdek İşlem Yöneticisi’nde güvenlik açığı tespit edildi
Mesaj
4
Görüntüleme
561
Murat5038
Murat5038
4
Discord'daki güvenlik açığı
2 3 4
Mesaj
39
Görüntüleme
5.064
henry1337
H
Chole
E-ticaret sitelerinde XSS güvenlik açığı
Mesaj
4
Görüntüleme
986
24099
2

Bu konuyu görüntüleyen kullanıcılar

Toplam: 2 (üye: 0, misafir: 2)

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı