Bu yazımda hobi olarak ilgilendiğim bug bounty'i anlatmaya çalışacağım. Daha sonra bu konu üzerinde kendimizi geliştirmek için neler yapabileceğimize bakacağız.
Bir şirketinizin olduğunu varsayın. Ürünlerinizin ve kullanıcılarınızın güvenliği hakkında tedirginsiniz. Bir bug bounty programı başlatıyorsunuz ve diyorsunuz ki, ürünlerimizde herhangi bir açık tespit eden kişileri ödüllendiriyoruz. Ödüle dahil olan ürün ve açık türlerini belirtiyorsunuz. Daha sonra hacker'lar sistemlerinizi taramaya başlıyorlar ve bir açık bulduklarında sizlere bir rapor ile bildiriyorlar. Verilen raporun seviyesi ve doğruluğu onaylandıktan sonra açığı bulan kişi şirket tarafından ödüllendiriliyor. Bu ödül şirket tarafından belirleniyor ve açığın oluşturacağı tehlike büyüdükçe ödülün miktarı da aynı seviyede büyüyor. Tabi bazı şirketlerin programları ödül vermiyor onun yerine sizi hall of fame diye adlandırdıkları listelerine dahil ediyorlar. Bu olay örgüsünün gerçekleştiği ortamlar mevcut. Örneğin en çok kullanılan
hackerone ve
bugcrowd gibi. Yine bu platformlar dışında bulunan şirketlerin kendi kendilerine açtıkları bug bounty programları da mevcut. Hackerone üzerinde bir programın ve raporun görüntüsü aşağıdaki gibidir.
Peki bu işe nasıl başlanır. Öncelikle acemi olduğumu belirtmek isterim. Bilgisayar mühendiliği mezunu olduğum için temel konulara hakimim. Ben bu işe
bu kitabı okuyarak başladım. Daha sonra web güvenliği alanına yöneldim ve
buradaki açıklar üzerine yoğunlaşmaya başladım. Youtube üzerinden yayınlanan
bu konferansları takip etmeye çalıştım ve daha sonra yavaştan açık aramaya başladım. Bugünlerde medium.com üzerinden okuyabildiğim kadar blog yazısı okuyorum. Bu alışkanlığı yeni yeni kazanıyorum. Her blog yazısında farklı taktikler öğreniyorum. Blogları ingilizce olarak okuyor bilmediğim kalıpları ve kelimeleri not alıyorum. Böylece hem dilimi geliştiriyorum hem de bir sürü şey öğreniyorum. Eğer ingilizce bilmiyorsanız(okuduğunuz ve duyduğunuzu anlamanız yeterli) en az 1-2 senenizi ingilizceye ayırın derim. Neyse devam edelim.
Bilgi toplama (Recon) bu işin kilit noktalarındandır. Örneğin bilgi toplarken gözüme kibana.xyz.com diye bir subdomain çıktı yapacağım ilk iş önce kibana'nın ne iş yaptığını, nasıl çalıştığını öğrenmek daha sonra
buradan belgelenmiş açıklarına göz atamak olacaktır.
Son aşama ise bilgi manyaklığı. Alanınızda yazılmış, gördüğünüz her blog yazısını okuyun, videolar izleyin özellikle de konferansları şiddetle tavsiye ederim çünkü konferansı veren kişi o işin ustasıdır.(Çok büyük ihtimal) Not alın, uygulayın, tekrar edin, deneyin ve başkalarına öğretin ki bilginiz kalıcı olsun.
Eğer bu alanda herhangi bir bilginiz yoksa ilk önce ağ teknolojilerine hakim olmanız şart. Her nerede çalışıyor olursanız olun çalışma ortamınızı çok iyi tanımanız gerekir. Örneğin web siteleri üzerinde açık arıyorsanız bu alanda kullanılan programlama dillerini(php, javascript, jsp, aspnet, django vb.) çok iyi tanımanız gerekir. Bu dillerin hangi yanlış kullanımda hangi güvenlik açığına neden olacağını bilmeniz sizi bir adım öne atacaktır. Daha sonra işinizde daha hızlı olmak için çok iyi seviyede linux(özellikle shell scripting) bilginizin olmasını tavsiye ederim. Örneğin elinizde 3000 tane subdomain var ve bunların arasından ayakta olanları (isteğe olumlu yanıt veren, açık aranacak potansiyele mevcut) tespit etmek istiyorsunuz. Bunu manuel olarak yaparsanız en azından 1-2 saatiniz gidecek, otomatik olarak yaparsanız (istekte(request) bulunup cevabı(response) ekran görüntüsü alan bir araç gibi
örn) çok daha hızlı hareket edebilirsiniz. Sosyal medyayı kullanmayı öğrenin. Örneğin twitter'da bu işi çok çok iyi yapan insanlar var onları takip edin. Etraf harika kaynaklar ile dolu, açın okuyun. Direkt açık aramaya başlamayın (ilk heyecan ile normaldir fakat sabır şart). Bu adımları uyguladıktan sonra açık arayarak güzel paralar kazanabilirsiniz fakat öncelikli hedefinizin para olmamasını öneririm. Sizlere faydası dokunabilecek kişi ve platform linklerini aşağıya bırakıyorum. Bu listeyi sürekli güncelleyeceğim.
Kullandığım araçlar:
Tomnomnom'un neredeyse her aracı kullanıyorum. Eğer sizlerinde bu tarz favori araçlarınız varsa ve imkanınız varsa lütfen yazılımcılara destek(sponsor) olalım.
Full manuel arıyorum..
-------------------------
Daha fazla tool için: