Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Web Uygulamalarında Ödül Avcılığı

Web Uygulamalarında Ödül Avcılığı

Karabük Üniversitesi 3. Programlama Günleri'nde yaptığım "Web Uygulamalarında Ödül Avcılığı - Avcı Gözünden" sunumum

Gökmen GÜREŞÇİ

February 26, 2016
Tweet

More Decks by Gökmen GÜREŞÇİ

Other Decks in Technology

Transcript

  1. GÖKMEN GÜREŞÇİ GÜVENLİK ARAŞTIRMACISI ▸ Bilgisayar Mühendisi @Namık Kemal Üniversitesi

    ▸ İşletme @Anadolu Üniversitesi ▸ Güvenlik meraklısı ve düşkünü ▸ Webpen ▸ Digital Forensics & Incident Response (DFIR) ▸ Cypherpunk
  2. GÖKMEN GÜREŞÇİ BUG HUNTING ▸ Yandex (x18) ▸ Google (x3)

    ▸ Zemana ▸ Card.com ▸ Nokia ▸ Microsoft (x4) ▸ Schuberg Philis ▸ Foursquare ▸ eBay ▸ Pinterest ▸ Barracuda Networks ▸ BlackBerry ▸ PayPal ▸ Apple ▸ Dropbox ▸ StopTheHacker (part of CloudFlare) ▸ Atlassian (x2) ▸ Mega.NZ (KimDotCom) ▸ Whitehat Security ▸ F-Secure ▸ Deutsche Telekom ▸ Amazon (AWS) ▸ vb.
  3. GÖKMEN GÜREŞÇİ ÖDÜL AVCILIĞI NEDİR? ▸ Bir uygulamadaki zafiyetlerin kapatılmak

    üzere ilk kez üreticisine / geliştiricisine bildirilmesi ve karşılığında çeşitli ödüllerin kazanılması ▸ Bir tür Responsible Disclosure ▸ En azından bir teşekkür! ▸ Tişört, kupa, suluk, bileklik vb. eşantiyonlar ▸ Para
  4. GÖKMEN GÜREŞÇİ ▸ 2011’den bugüne 2400+ doğrulanmış güvenlik zafiyeti 800+

    güvenlik araştırmacısı $4.3M+ ▸ 2015 Toplamda, 5543 araştırmacıdan 13233 rapor Onaylananlar; 210 araştırmacı 526 rapor $936K ödül https://www.facebook.com/notes/facebook-bug-bounty/2015-highlights-less-low-hanging-fruit/1225168744164016
  5. GÖKMEN GÜREŞÇİ ▸ Toplamda 7050 rapor ▸ 1772 onaylanmış rapor

    ▸ 58 araştırmacı ▸ ~$100k https://github.com/blog/2099-two-years-of-bounties
  6. GÖKMEN GÜREŞÇİ ▸ 2011’den beri ▸ 1000’den fazla rapor ▸

    120’nin üzerinde kritik zafiyet ▸ $120K+ https://github.com/blog/2099-two-years-of-bounties
  7. GÖKMEN GÜREŞÇİ ▸ ~600 araştırmacıdan 1500 rapor ▸ 58 doğrulanmış

    zafiyet ▸ 38 zafiyete ödül ▸ 41 ödül kazanan araştırmacı (bazı zafiyetlerde sadece bir kişi ödüllendirilmemiş) ▸ H1 platformunu kullananlar; ▸ 123 ödül avcılığı programı ▸ 2332 araştırmacı ▸ 18288 zafiyet kapatılmış ▸ $6.17M toplam ödül https://hackerone.com/blog/bug-bounty-review-2015
  8. GÖKMEN GÜREŞÇİ ▸ 37227 rapor ▸ 7958 doğrulanmış zafiyet ▸

    3621 ödüllendirilen güvenlik zafiyeti ▸ ~$724K ödül ▸ 566 araştırmacı https://pages.bugcrowd.com/state-of-bug-bounty-download.html
  9. GÖKMEN GÜREŞÇİ NASIL YAPILIR? ▸ Programın kapsamını ve kurallarını iyi

    öğrenin! ▸ Otomatize araçlar bu alanda pek işe yaramaz! ▸ Belki, şansa, zafiyet bulursun ▸ Onlar da zafiyettir ama lezzetli zafiyet değildir! (cibili cibili cibili ) ▸ Kolay lokma (low-hanging fruit) fazla bir şey kazandırmaz ▸ Uygulamanın nasıl çalıştığına odaklanın! ▸ Proxy ile dost olun!
  10. GÖKMEN GÜREŞÇİ NASIL YAPILIR? ▸ Proxy ile dost olun! ▸

    Proxy ile dost olun! ▸ Proxy ile dost olun! ▸ BURP Suite, ZAP, Fiddler, Paros, Charles vb.
  11. GÖKMEN GÜREŞÇİ NASIL YAPILMAZ? ▸ Kuralları çiğnememeye özen gösterin !!!11!1

    ▸ Her programın en temel kuralı; diğer kullanıcıların gizliliğini ihlal edecek şekilde, onların bilgilerine erişmeyin / oynamayın !!11! ▸ Test hesabı kullanın ▸ Sisteme / uygulamaya zarar verme !!11!
  12. GÖKMEN GÜREŞÇİ NELER KAZANIRIM? ▸ En büyük teknoloji firmalarının eşantiyonları

    ▸ Eşantiyon ▸ Topluluğun içerisinde saygınlık ▸ Para
  13. gokmen at gokmenguresci.com (PGP ve XMPP) PGP: 4FE1 1601 142A

    AE3D D90F 0398 D9AD C085 519C E6C4 OTR: 5AB42FB7 A5946E98 310907D6 D7373BEB CDF74652 Twitter @GokmenGuresci https://www.gokmenguresci.com Gökmen Güreşçi İLETİŞİM