Bug Bounty, Türkçe ismiyle ödül avcılığı olarak adlandırılan, kurum ve kuruluşlar ya da çeşitli ürünler üzerinde yer alan güvenlik açıkları(bugs)/zafiyet/sömürüleri bularak para kazandıran ödül programlarıdır. Bug Bounty isteyen herkes yapabilmektedir. Bunun için bir Siber Güvenlik firmasında çalışmanıza veya pentester olmanıza gerek yoktur. Bu alana ilgisi olan herkes Bug Bounty yapabilmektedir. Bug Bonty programları özel (private) ya da herkese açık (public) programlar olarak ikiye ayrılmaktadır. Herkese açık programlardan ziyade özel programlara davet aldığınızda zafiyet bulma ihtimalinizde artmaktadır.
Bug Bounty programları kapsamında firmalar scope başlığı altında test yapılmasını istedikleri ve istemedikleri sınırları belirlemektedirler. Örneğin bir domain kapsamda ise hangi alt alanların (subdomain) kapsam içinde veya dışında olduğunu belirtmektedirler. Daha sonrasında programın diğer kurallarını belirtmektedirler. Katılmış olduğunuz ödül programında kapsam dışında bir zafiyeti raporlarsanız herhangi bir ödül alamayacaksınız ve bazı platformlarda puan kaybetmenize sebep olacaktır. Kapsam içinde bir zafiyet raporladığınızda bu güvenlik açığını sizden önce başka bir kişi raporlamışsa bundan da ödül alamayacaksınız fakat bazı durumlarda aynı zafiyeti raporlamanıza rağmen motivasyon amaçlı ufak ödüller verilebilmektedir.
Herhangi bir Bug Bounty programına katılıp bir zafiyet keşfettiğinizde ödülünüz zafiyetin kritikliğine göre değişmektedir. Bu bazen para bazen bir şapka-tişört-sweat veya hall of fame listesine alınmak gibi ödüllerden oluşabilmektedir.
Bug Bounty Nasıl Yapılır?
Bug Bounty yapabilmeniz için çeşitli platformlar yer almaktadır. Bunlardan bazıları HackerOne, Bugcrowd, YesWeHack, İntigriti, Synack gibi bir çok platform bulunmaktadır. Bu platformlar dışında bazı kuruluşlar kendi web sitelerinde bug bounty başlığı altında ödül programlarını yayınlamaktadırlar. Bu programlardan herhangi birini seçerek ilk adımı atabilirsiniz.
Bug Bounty yapmaya başlamadan önce bu platformlar üzerinde yayınlanan raporları okuyarak kendinizi geliştirebilirsiniz. Özellikle Hackerone üzerinde yayınlanan bug bounty raporlarını okuyarak zafiyetler nerelerde bulunmuş nasıl bir yol izlenmiş bunları takip ederek kendinizi geliştirebilirsiniz.
Bug bounty yaparken otomatize araçlar (Bug Bounty Tools) ile kapsam daraltabilirsiniz ya da derinlemesine araştırma yaparak gizli alanlar tespit edebilirsiniz. Ancak bu toollar yanında manuel olarak tespit etmek için kendinizi geliştirmeniz sizin için daha iyi sonuçlar elde etmenize olanak sağlayacaktır. Çeşitli bug bounty rapoları okuyarak veya youtube üzerinden live bug bounty videoları izleyerek nasıl yollar izlendiğini ve hangi bug bounty programlarının kullanıldığını öğrenebilirsiniz. Bu alanda ödüller kazanmak için bol bol okuyarak ve pratikler yaparak kendinizi geliştirmelisiniz.
Daha sonraki yazımda en sık kullanılan bug bounty toolarını ele alacağım. Başka yazılarda görüşmek üzere.
