Bug Bounty, belli bir yazılımın/uygulama da güvenlik zafiyetlerinin
bulunması amacıyla kişi, firma, kurum veya kuruluş tarafından herkesin
katılımına açık olarak gerçekleştirilen güvenlik yarışmalarıdır. Türkçe
de "Ödül Avcılığı" / "Hata Avcılığı" olarak da kullanılan Bug Bounty
yarışmalarının amacı, üretilen yazılım veya uygulamaların
güvenliklerinin sınanması ve bu doğrultuda ortaya çıkan güvenlik
açıkların giderilerek daha gelişmiş, güvenli bir yazılımın/uygulamanın
ortaya çıkarılmasını sağlamaktadır. Google, Facebook ve Twitter da dahil
olmak üzere hemen hemen her büyük web uygulamasının kendi böcek avı ve
ödül programı vardır.
Neden "Bug Bounty" öğrenmeliyiz?
Bu soruyu bir cümleyle cevaplamak gerçekten çok zordur. Bug Bounty
öğrenmenin nedeni genelde kişiden kişiye farklılık göstermektedir.
Kimileri para kazanmak için bu işi yaparken kimileri tabiri caizse gövde
gösterisi yapmak için bu işlerle ilgilenmektedir.
Bu blogu takip ediyorsanız web uygulamalarındaki güvenlik zafiyetlerini
tespit etme konusunda bayağı bir bilgi sahibi olacaksınızdır. Ancak, bu
blogdaki öğreneceğiniz bilgiler asla izinsiz herhangi bir sistem veya
uygulama üzerinde denenmemelidir.
Bu nedenle, bug bounty platformlarına kaydolarak belirli kurallar dahilinde zafiyet aramak daha doğru olacaktır. İstismar
ve güvenlik açıklarını bulmak çok zorlu ve sabır gerektiren bir iştir.
Ayrıca ilgilendiğiniz alanla ilgili belirli bir bilgi birikimi de
gerektirmektedir. Örneğin web uygulamalarında güvenlik açıkları
arıyorsanız; web uygulama mimarisi, web'in nasıl geliştiği/çalıştığını,
temel savunma mekanizmaları, web teknolojileri de dahil olmak üzere bir
çok konu hakkında bilginiz olması gerekmektedir. Güvenlik açığı
arayacağınız alanla ilgili ne kadar fazla bilgi sahibi olursanız
işleriniz o kadar kolaylaşacaktır.
Yorum Gönder