Bug Bounty nedir ? Nasıl çalışabilirim ?

Bu yazımda hobi olarak ilgilendiğim bug bounty'i anlatmaya çalışacağım. Daha sonra bu konu üzerinde kendimizi geliştirmek için neler yapabileceğimize bakacağız.



Bir şirketinizin olduğunu varsayın. Ürünlerinizin ve kullanıcılarınızın güvenliği hakkında tedirginsiniz. Bir bug bounty programı başlatıyorsunuz ve diyorsunuz ki, ürünlerimizde herhangi bir açık tespit eden kişileri ödüllendiriyoruz. Ödüle dahil olan ürün ve açık türlerini belirtiyorsunuz. Daha sonra hacker'lar sistemlerinizi taramaya başlıyorlar ve bir açık bulduklarında sizlere bir rapor ile bildiriyorlar. Verilen raporun seviyesi ve doğruluğu onaylandıktan sonra açığı bulan kişi şirket tarafından ödüllendiriliyor. Bu ödül şirket tarafından belirleniyor ve açığın oluşturacağı tehlike büyüdükçe ödülün miktarı da aynı seviyede büyüyor. Tabi bazı şirketlerin programları ödül vermiyor onun yerine sizi hall of fame diye adlandırdıkları listelerine dahil ediyorlar. Bu olay örgüsünün gerçekleştiği ortamlar mevcut. Örneğin en çok kullanılan hackerone ve bugcrowd gibi. Yine bu platformlar dışında bulunan şirketlerin kendi kendilerine açtıkları bug bounty programları da mevcut. Hackerone üzerinde bir programın ve raporun görüntüsü aşağıdaki gibidir.





       Peki bu işe nasıl başlanır. Öncelikle acemi olduğumu belirtmek isterim. Bilgisayar mühendiliği mezunu olduğum için temel konulara hakimim. Ben bu işe bu kitabı  okuyarak başladım. Daha sonra web güvenliği alanına yöneldim ve buradaki açıklar üzerine yoğunlaşmaya başladım. Youtube üzerinden yayınlanan bu konferansları takip etmeye çalıştım ve daha sonra yavaştan açık aramaya başladım. Bugünlerde medium.com üzerinden okuyabildiğim kadar blog yazısı okuyorum. Bu alışkanlığı yeni yeni kazanıyorum. Her blog yazısında farklı taktikler öğreniyorum. Blogları ingilizce olarak okuyor bilmediğim kalıpları ve kelimeleri not alıyorum. Böylece hem dilimi geliştiriyorum hem de bir sürü şey öğreniyorum. Eğer ingilizce bilmiyorsanız(okuduğunuz ve duyduğunuzu anlamanız yeterli) en az 1-2 senenizi ingilizceye ayırın derim. Neyse devam edelim.

    Bilgi toplama (Recon) bu işin kilit noktalarındandır. Örneğin bilgi toplarken gözüme kibana.xyz.com diye bir subdomain çıktı yapacağım ilk iş önce kibana'nın ne iş yaptığını, nasıl çalıştığını öğrenmek daha sonra buradan belgelenmiş açıklarına göz atamak olacaktır.


         Son aşama ise bilgi manyaklığı. Alanınızda yazılmış, gördüğünüz her blog yazısını okuyun, videolar izleyin özellikle de konferansları şiddetle tavsiye ederim çünkü konferansı veren kişi o işin ustasıdır.(Çok büyük ihtimal) Not alın, uygulayın, tekrar edin, deneyin ve başkalarına öğretin ki bilginiz kalıcı olsun.


       Eğer bu alanda herhangi bir bilginiz yoksa ilk önce ağ teknolojilerine hakim olmanız şart. Her nerede çalışıyor olursanız olun çalışma ortamınızı çok iyi tanımanız gerekir. Örneğin web siteleri üzerinde açık arıyorsanız bu alanda kullanılan programlama dillerini(php, javascript, jsp, aspnet, django vb.) çok iyi tanımanız gerekir. Bu dillerin hangi yanlış kullanımda hangi güvenlik açığına neden olacağını bilmeniz sizi bir adım öne atacaktır. Daha sonra işinizde daha hızlı olmak için çok iyi seviyede linux(özellikle shell scripting) bilginizin olmasını tavsiye ederim. Örneğin elinizde 3000 tane subdomain var ve bunların arasından ayakta olanları (isteğe olumlu yanıt veren, açık aranacak potansiyele mevcut) tespit etmek istiyorsunuz. Bunu manuel olarak yaparsanız en azından 1-2 saatiniz gidecek, otomatik olarak yaparsanız (istekte(request) bulunup cevabı(response) ekran görüntüsü alan bir araç gibi örn) çok daha hızlı hareket edebilirsiniz. Sosyal medyayı kullanmayı öğrenin. Örneğin twitter'da bu işi çok çok iyi yapan insanlar var onları takip edin. Etraf harika kaynaklar ile dolu, açın okuyun. Direkt açık aramaya başlamayın (ilk heyecan ile normaldir fakat sabır şart). Bu adımları uyguladıktan sonra açık arayarak güzel paralar kazanabilirsiniz fakat öncelikli hedefinizin para olmamasını öneririm. Sizlere faydası dokunabilecek kişi ve platform linklerini aşağıya bırakıyorum. Bu listeyi sürekli güncelleyeceğim. 

Kullandığım araçlar: 

Tomnomnom'un neredeyse her aracı kullanıyorum. Eğer sizlerinde bu tarz favori araçlarınız varsa ve imkanınız varsa lütfen yazılımcılara destek(sponsor) olalım. 


Full manuel arıyorum..
-------------------------
Daha fazla tool için:


İyi çalışmalar. Herhangi bir sorunuz olursa: https://twitter.com/gkhck_






KAYNAKLAR

https://hackerone.com/hacktivity

https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_P
roject

https://regilero.github.io/

https://portswigger.net/blog

https://www.youtube.com/user/DEFCONConference

https://github.com/OWASP/Top10

https://www.cvedetails.com/

https://medium.com/bugbountywriteup

https://medium.com/hackernoon

https://medium.com/@th3g3nt3l

https://github.com/tomnomnom

https://github.com/s0md3v

https://github.com/danielmiessler

https://github.com/codingo

https://twitter.com/albinowax

https://twitter.com/codecancare

https://twitter.com/ngalongc

https://twitter.com/CVEnew

https://twitter.com/ExploitDB

https://twitter.com/NahamSec

https://twitter.com/HackRead

https://twitter.com/securitytrails

https://twitter.com/GoSecure_Inc

https://pentester.land/list-of-bug-bounty-writeups.html

https://twitter.com/samwcyo


2 yorum:

Spring Boot Uygulamasını Heroku üzerinde Deploy Etme

Bu yazımızda sizlere spring boot ile yazılmış basit bir Rest api'nin heroku üzerinde nasıl deploy edebileceğimizi göstereceğim. Önce ...