Bug Bounty

Bug Bounty, belli bir yazılımın/uygulama da güvenlik zafiyetlerinin bulunması amacıyla kişi, firma, kurum veya kuruluş tarafından herkesin katılımına açık olarak gerçekleştirilen güvenlik yarışmalarıdır. Türkçe de "Ödül Avcılığı" / "Hata Avcılığı" olarak da kullanılan Bug Bounty yarışmalarının amacı, üretilen yazılım veya uygulamaların güvenliklerinin sınanması ve bu doğrultuda ortaya çıkan güvenlik açıkların giderilerek daha gelişmiş, güvenli bir yazılımın/uygulamanın ortaya çıkarılmasını sağlamaktadır. Google, Facebook ve Twitter da dahil olmak üzere hemen hemen her büyük web uygulamasının kendi böcek avı ve ödül programı vardır.


Neden "Bug Bounty" öğrenmeliyiz?

Bu soruyu bir cümleyle cevaplamak gerçekten çok zordur. Bug Bounty öğrenmenin nedeni genelde kişiden kişiye farklılık göstermektedir. Kimileri para kazanmak için bu işi yaparken kimileri tabiri caizse gövde gösterisi yapmak için bu işlerle ilgilenmektedir.

Bu blogu takip ediyorsanız web uygulamalarındaki güvenlik zafiyetlerini tespit etme konusunda bayağı bir bilgi sahibi olacaksınızdır. Ancak, bu blogdaki öğreneceğiniz bilgiler asla izinsiz herhangi bir sistem veya uygulama üzerinde denenmemelidir.  

Bu nedenle, bug bounty platformlarına kaydolarak belirli kurallar dahilinde zafiyet aramak daha doğru olacaktır. İstismar ve güvenlik açıklarını bulmak çok zorlu ve sabır gerektiren bir iştir. Ayrıca ilgilendiğiniz alanla ilgili belirli bir bilgi birikimi de gerektirmektedir. Örneğin web uygulamalarında güvenlik açıkları arıyorsanız; web uygulama mimarisi, web'in nasıl geliştiği/çalıştığını, temel savunma mekanizmaları, web teknolojileri de dahil olmak üzere bir çok konu hakkında bilginiz olması gerekmektedir. Güvenlik açığı arayacağınız alanla ilgili ne kadar fazla bilgi sahibi olursanız işleriniz o kadar kolaylaşacaktır.

Hadi durma sende yorum yap

Daha yeni Daha eski

Comments