Notes

[CENTER][SIZE="5"][COLOR="Yellow"]Bug Bounty Nedir?[/COLOR][/SIZE]

[IMG]https://resmim.net/f/zw4Y2i.png[/IMG]

[SIZE="4"][COLOR="Cyan"]Bug Bounty ya da Türkçesi ile ödül avcılığı bir web sitesinin ya da yazılımın sahibinin ürününde (varsa) hataların bulunması için düzenlediği ödüllü yarışmalardır. Katılan hackerlara beyaz şapkalı hacker diyebiliriz. Nasıl olsa onlar siber güvenlikçidirler.
Google, Facebook gibi ünlü firmalarda genellikle bug bounty ile açıkları var mı baktırmayı sever. Ama bug bulmaya başlamadan önce yapılacak iş şartnameyi okumaktır.[/COLOR][/SIZE]

[COLOR="cyan"][SIZE="3"]Facebook Bug Bounty Sayfası:[/SIZE][/COLOR] [SIZE="3"] [url]https://www.facebook.com/whitehat[/url][/SIZE]
[COLOR="cyan"][SIZE="3"]Dikkatini çektimi bilmem ama Facebook linkinin son kısmı White Hat (Beyaz şapka).[/SIZE][/COLOR]

[COLOR="cyan"][SIZE="3"]Google Bug Bounty Sayfası: [/SIZE][/COLOR][SIZE="3"] [url]https://bughunter.withgoogle.com/[/url][/SIZE]

[SIZE="3"][COLOR="cyan"]Github Bug Bounty Sayfası:[/COLOR][/SIZE] [SIZE="3"][url]https://bounty.github.com/[/url][/SIZE]

[SIZE="3"][COLOR="Blue"]Bug bounty yani ödül avcılığı, ödüllüdür anlaması zor olmasa gerek. Ama ödülü verecekler mi, yarışması açtılar mı vb. gibi durumları takip etmek için bug bounty sayfaları vardır. Firmaların bug bounty yarışmalarını listelerler.Üyelip açıp bug’ı sayfası ve kanıtı ile iletmek yeterli olacaktır.[/COLOR][/SIZE]

[SIZE="3"][COLOR="Magenta"]Ünlü Bug Bounty Sayfaları :[/COLOR][/SIZE]

[IMG]https://resmim.net/f/3qPdSj.png[/IMG]

[SIZE="3"][url]https://firebounty.com/[/url][/SIZE]

[COLOR="magenta"][SIZE="3"]Fire bounty ünlü bir bug bounty sayfasıdır. Bug bounty yapacaksanız listenizin başında olmalıdır.[/SIZE][/COLOR]

[IMG]https://resmim.net/f/KkGB5Y.png[/IMG]

[SIZE="3"][url]https://hackerone.com/bug-bounty-programs[/url][/SIZE]

[COLOR="magenta"][SIZE="3"]Yine listenin başında forumumuzda bug bounty yapan @MyGf ‘in tercih ettiği site.[/SIZE][/COLOR]

[IMG]https://resmim.net/f/l2yxDY.png[/IMG]

[SIZE="3"][url]https://www.vulnerability-lab.com/list-of-bug-bounty-programs.php[/url][/SIZE]

[COLOR="magenta"][SIZE="3"]Yine Bug Bounty yapan hackerların tercih ettiği bir site.[/SIZE][/COLOR]

[IMG]https://resmim.net/f/XowMq2.png[/IMG]

[SIZE="3"][url]https://www.bugcrowd.com/bug-bounty-list/[/url][/SIZE]

[COLOR="magenta"][SIZE="3"]Arayüz olarak çok hoşuma gitti. Ve hackerlarında kullanıdğı bir site.[/SIZE][/COLOR]

[COLOR="Red"][SIZE="5"]Türkiye de Bug Bounty Durumu Nedir?[/SIZE][/COLOR]

[COLOR="Orange"][SIZE="3"]Türkiye de Bug Bounty yapacak onlarca kişi varken bu sistem hiç gelişmemiş, gelişememiştir. Sanırım ünlü firmalar güvenlik uzmanlarına milyonlar ödemeyi seviyor. Neyse; Bug Bounty Türkiye’de bazı kişiler tarafından yabancı sitelere yapılır. Türk siteleri kendi sitelerine bug bounty yapmaz. [/SIZE][/COLOR]

[COLOR="orange"][SIZE="3"]Bırakın bug bounty yi @DeneyimsizDenek liderimiz, Yalova Üniversitenin web sitesinde açık bulmuş güzel bir dil ile izah etmiş, ama bırakın teşekkürü yanıt vermeden açığı kapatmışlar.BBP (Büyük Birlik Partisi) web sitesinde yine @DeneyimsizDenek açık bulmuş iletmiş yardım edebileceğini demiş, cevap gelmemiş sonra açık yine kapatılmış.
Türkiye’de Gais gibi security firmalarına destek vererek Bug Bounty işlemine başlanılacağını düşünüyorum. Nasıl olsa Bug Bounty güvenlik için yapılır.[/SIZE][/COLOR]

[COLOR="Silver"][SIZE="3"]@DeneyimsizDenek ‘e Yalova üniversitesinden cevap verimemişdi ama eskidendi.Bende Karabük Üniversitesinin Robots.txt dosyasını buldum ve Xss açığı olduğunu farkettim.Ve onlara bu şekilde mail attım.Merak ediyorum acaba yanıt gelecek mi yoksa bu işlemler yanıtsız uygulanacak mı ?
(Cevabını 1 Hafta içinde konuya eklerim.)[/SIZE][/COLOR]

[IMG]https://resmim.net/f/kkTN6K.png[/IMG]

[COLOR="Red"][SIZE="5"]Bug Bounty’nin Yararları Nelerdir?[/SIZE][/COLOR]

[COLOR="LemonChiffon"][SIZE="4"]1- Mesela web sitenizde ticaret var diyelim ve ben 500 TL yatırdım bir hack işleminde benim ve paramın güvenliğinin sağlanması gerek. Bug bounty sayesinde hack riski azalır.
2- İşimizde uzmanız diyen güvenlik uzmanlarına yıl boyunca yüksek Mevlalar ödemek yerine küçük bir miktar ile web sitemizi koruyabiliriz.
3- Google gibi dev firmalar bile ara sıra hacklenir ama güvenlik uzmanları vardı hani. Farklı gözlerin bakması her zaman güvenlik için daha iyidir.
4- Hep güvenliyiz fikri güvensiz ortam yaratır. Yeni çıkan açıklarda vb. durumlarda hack riski oluşur. Durumu takip eden kişiler olması çok daha iyi olur.[/SIZE][/COLOR]

[COLOR="Red"][SIZE="5"]Bazı firmaların Bug Bounty İçin Ayırdıkları Mevlalar :[/SIZE][/COLOR]
[COLOR="YellowGreen"][SIZE="4"]

Microsoft:[/SIZE][/COLOR]

[IMG]https://resmim.net/f/ZKiIQ0.png[/IMG]

[COLOR="yellowgreen"][SIZE="4"]Twitter:[/SIZE][/COLOR]

[IMG]https://resmim.net/f/KmWfpc.png[/IMG]

[COLOR="yellowgreen"][SIZE="4"]Google:[/SIZE][/COLOR]

[IMG]https://resmim.net/f/q3pihR.png[/IMG]

[COLOR="YellowGreen"][SIZE="3"]Facebook, Apple, Mozilla gibi diğer firmaların bounty miktarlarını da aradım ama gizli tutuyorlar.[/SIZE][/COLOR]



[SIZE="5"][COLOR="Red"]Bug Bounty Teşekkürler Listesi Nedir ?[/COLOR][/SIZE]

[SIZE="3"][COLOR="Yellow"]Çok büyük ve hemen kapatılması gerekecek kadar önemli açıkları bildirenler ya da çoğu zaman açık bildirenler firmaların gözünde yükselir teşekkür listesi(onur listesine girerler). Bu kişiler bir firmaya girecekken işine gelir çünkü deneyimi olduklarını kanıtlamış olurlar.[/COLOR][/SIZE]

[SIZE="4"][COLOR="Orange"]Google Teşekkür Listesi:[/COLOR] [/SIZE]

[IMG]https://resmim.net/f/NX1s3p.png[/IMG]

[COLOR="Orange"][SIZE="4"]Twitter Teşekkür Listesi :[/SIZE][/COLOR]

[IMG]https://resmim.net/f/Zyyn9g.png[/IMG]

[COLOR="Orange"][SIZE="4"]Github Teşekkür Listesi :[/SIZE][/COLOR]

[IMG]https://resmim.net/f/eaQfGR.png[/IMG]

[COLOR="orange"][SIZE="4"]Valve Teşekkür Listesi:[/SIZE][/COLOR]

[IMG]https://resmim.net/f/yW5a30.png[/IMG]





[SIZE="5"][COLOR="Red"]Bug Bounty İle Düzeltilen Hata Listesi ?[/COLOR][/SIZE]
[SIZE="3"][COLOR="Lime"]
Bug bounty ile web sitelerinin açıkları bulunuyordu, ve gideriliyordu.Bazı firmalar giderilen açıkların listesini gizlemez bende bazılarını topladım.[/COLOR][/SIZE]

[COLOR="yellow"][SIZE="4"]Valve :[/SIZE][/COLOR] [COLOR="cyan"][SIZE="3"]408 Bug halledildi.[/SIZE]

[/COLOR][COLOR="yellow"][SIZE="4"]Twitter : [/SIZE][/COLOR] [COLOR="cyan"][SIZE="3"]949 Bug halledildi[/SIZE][/COLOR].

[COLOR="Yellow"][SIZE="4"]Github :[/SIZE][/COLOR] [COLOR="Cyan"][SIZE="3"]278 Bug Halledildi.[/SIZE][/COLOR]


[COLOR="Lime"][SIZE="4"]Bu istatistiklere bakarakda Bug Bounty'nin firmalara çok yardımcı olduğunu görmüş bulunmaktayız.Demek ki Yıl boyunca güvenlik uzmanlarına para vermektense Az miktarla güvenliği de sağlayabiliyormuşuz.[/SIZE][/COLOR]

[COLOR="Red"][SIZE="5"]Köşeyi Dönenler:[/SIZE][/COLOR]

[COLOR="Orange"][SIZE="3"]@MyGf arkadaşımız Bug Bounty işinden 945 $ Kazanmıştır.
Diğer arkadaşlarımızında bu işle ilgilenmesini tavsiye ederim.Yani sanırım 3. konu bug bounty olmayabilir.[/SIZE][/COLOR]

[SIZE="4"]
[url]https://www.turkhackteam.org/tht-govde-gosterisi/1765677-facebook-bug-bounty-permission-bug.html[/url]

[url]https://www.turkhackteam.org/tht-govde-gosterisi/1801407-0day-dom-xss-exploit-writeup.html[/url]

[url]https://www.turkhackteam.org/tht-govde-gosterisi/1799815-microsoft-account-takeover-via-csrf-vulnerability.html[/url][/SIZE]


[/CENTER]