Böylece gün sonunda geld ve lk kırılganlığını buldun. Öncel kle tebr k eder m.
dönüşüme kazandırılmalı! C dden, güvenl k açıklarını bulmak kolay değ ld r, ancak cesaret kırmaktır.
İlk tavs yem rahatlamak, heyecanlanmaktan kaçınmak. Olma h ss n b l yorum B r rapor sunma konusunda çok memnun ve
güvenl k açığı olmadığını ve ş rket n t barınızı zedeleyecek olan raporu kapattığını söyled raporlama platformunda.
Bundan kaçınmana yardım etmek st yorum. Yan lk şey lk.
Açıklama tal matlarını okuyun.
Hem HackerOne hem de Bugcrowd’da, katılan her ş rket kapsam ç nde ve dışında
program ç n kapsam alanları. İnşallah önce onları okudun, böylece zamanını boşa harcamadın.
Ama sen yapmadıysan, ş md oku. Bulduğunların b l nmed ğ ve dışında olmadığından em n ol.
onların programı.
İşte geçm ş mden acı ver c b r örnek: İlk bulduğum güvenl k açığı Shop fy’daydı.
hatalı b ç mlend r lm ş HTML'y met n düzenley c s ne gönder rsen z, çözümley c ler onu düzelt r ve saklar XSS. Heyecanlı değ ld m. Avlarım para ödüyordu. Raporumu gönderemed m
yeter nce hızlı.
Sev nd m, gönder düğmes ne tıkladım ve 500 dolarlık lütfem bekled m. Bunun yer ne, k barca bana söyled B l nen b r güvenl k açığıydı ve araştırmacılardan göndermemeler n sted . B let
kapattım ve 5 puan kaybett m. B r del kte sürünmek sted m. Zor b r derst . Hatalarımdan öğren n, KILAVUZLARI OKUYUN!
Ayrıntıları Dah l Et. Ardından Daha Fazla Dah l Et.
Raporunuzun c dd ye alınmasını st yorsanız, aşağıdak ler çeren ayrıntılı b r rapor ver n.
en azından:
• URL’y ve güvenl k açığını bulmak ç n kullanılan etk lenen parametreler
• Tarayıcı, şlet m s stem (varsa) ve / veya uygulama sürümünün açıklaması
• Algılanan etk n n açıklaması. Böcek potans yel olarak nasıl sömürüleb l r?
• Hatayı yen den oluşturma adımları
Sayfa 206
Güvenl k açığı raporları 194
Bu kr terler Yahoo dah l, Hackerone’dak bell başlı ş rketler tarafından yaygındı.
Tw tter, Dropbox, vb. Daha ler g tmek st yorsanız, ekran görüntüsü eklemen z öner r m
veya kavramın b r v deo kanıtı (POC). Her k s de ş rketler ç n çok faydalıdır ve yardımcı olacaktır.
onlar güvenl k açığını anlar.
Bu aşamada, s te ç n çıkarımların ne olduğunu da düşünmen z gerek r. İç n Örneğ n, Tw tter’da depolanan b r XSS’n n
çok fazla kullanıcı sayısı ve aralarındak etk leş m. N speten, sınırlı b r s te
kullanıcılar arasındak etk leş m, bu güvenl k açığını c dd olarak görmeyeb l r. Buna karşılık, b r g zl l k PornHub g b hassas b r web s tes nde sızıntı Tw tter'dan daha öneml olab l r,
çoğu kullanıcı b lg s zaten herkese açık (ve daha utanç ver c ?).
Güvenl k açığını onaylayın
Kuralları okudunuz, raporunuzu hazırladınız, ekran görüntüler ekled n z. almak b r san ye ve b ld rd ğ n şey n aslında b r güvenl k açığı olduğundan em n ol.
Örneğ n, b r ş rket n b r CSRF bel rtec kullanmadıklarını b ld r yorsanız
başlıklar, geç r len parametreler n b r bel rteç çer p çermed ğ n kontrol ett n z m ? CSRF bel rtec g b davranıyor ancak aynı et kete sah p değ l m ?
Daha önce güvenl k açığını onayladığınızdan em n olmak ç n s z teşv k edemem raporu gönderd n. Kayda değer b r şey bulduğunu düşünmek oldukça büyük olab l r.
güvenl k açığı yalnızca testler n z sırasında b r şey yanlış yorumladığınızı farketmen z sağlar.
Kend n ze b r y l k yapın, b r dak kanızı ayırın ve önünüzdek güvenl k açığını onaylayın tesl m et.
Ş rkete Saygı Göster
HackerOne'un ş rket oluşturma sürec nde yapılan testlere dayanarak (evet, olarak test edeb l rs n z.
b r araştırmacı), b r ş rket yen b r hata ödül programı başlattığında, raporlarla doludur. Gönderd kten sonra, ş rkete nceleme fırsatı ver n Raporunuzu ve s ze ger almak.
Bazı ş rketler zaman ç zelgeler n lütuf kurallarına eklerken, bazıları değ ld r.
Heyecanınızı ş yükler yle dengeley n. B rl kte yaptığım konuşmalara dayanarak HackerOne desteğ , b r ş rketten haber almadıysanız tak p etmen ze yardımcı olur en az k hafta
Bu rotaya g tmeden önce, raporda k bar b r mesaj olup olmadığını sorun.
Güncelleme. Çoğu zaman ş rketler cevap ver r ve durumu s ze b ld r r. Eğer yapmazlarsa Onlara b raz zaman ver n ve sorunu tırmanmadan önce tekrar deney n. Öte yandan, eğer
Sayfa 207
Güvenl k açığı raporları 195
ş rket bu güvenl k açığını onayladı, düzeltmey onaylamak ç n onlarla b rl kte çalışın yapılır.
Bu k tabı yazarken, yen b r üye olan Adam Bacchus le sohbet edeb lecek kadar şanslı oldum.
Baş Ödül Memuru unvanına sah p olan Mayıs 2016’dan t baren HackerOne ek b n n Konuşmalarımız gerçekten gözler m böcek ödüller n n d ğer tarafına açtı. B raz arkaplan Adam, Snapchat le güvenl ğ arttırmak ç n çalıştığı deney me sah p.
üzer nde çalıştığı yazılım mühend sl ğ ek pler ve Google’ın bulunduğu ek p
Güvenl k Açığı Yönet m Ek b ve Google Güvenl k Açığı Ödülünün çalıştırılmasına yardımcı oldu Programı.
Adam, tet kç ler n yaşadığı b r sürü sorun olduğunu anlamama yardımcı oldu.
aşağıdak ler de dah l olmak üzere b r ödül programı yürütmek:
• Gürültü : Maalesef, hata ödül programları her k s de çok sayıda geçers z rapor alıyor HackerOne ve BugCrowd bu konuda yazmışlar. B l yorum kes nl kle ...
kabarık ve umarım bu k tap, yayınlanmasından kaçınmanıza yardımcı olur s z n ve ödül programlarının masraflarını ve zamanını b ld r r.
• Öncel klend rme : Ödül programları, güvenl k açığına öncel k vermen n b r yolunu bulmak zorunda ıslahı. Benzerler olan b rden fazla güvenl k açığınız varsa, bu zor
etk s ancak sürekl gelen raporlarla b r araya geld ğ nde, ödül programı karşısında ayakta tutan c dd zorluklar.
• Onaylar : B r raporu başlatırken, hataların doğrulanması gerek r. Y ne, bu alır saat . Bu nedenle b lg sayar korsanlarının açık tal matlar vermes ve
ne bulduğumuz, nasıl çoğaltacağımız ve neden öneml olduğu hakkında açıklama.
B r v deo sağlamak sadece kesm yor.
• Kaynak Bulma : Her ş rket tam zamanlı çalışanı çalışmaya adamaya adamaz b r ödül programı. Bazı programlar tek b r k ş n n yanıt verd ğ ç n şanslı.
D ğerler n n personel zamanlarını ayırırken raporlar. Sonuç olarak, ş rketler nsanların aldıkları programları döndürür ve raporlara yanıt ver r. Herhang b r b lg Gerekl b lg ler n sağlanmasındak boşluklar veya gec kmeler c dd b r etk ye sah pt r.
• Düzeltmey yazmak : Kodlama, özell kle tam b r gel ş m yaşam döngüsü varsa, zaman alır.
hata ayıklama, regresyon testler yazma, yerleşt rme dağıtımları ve son olarak üret me tmek. Pek ya gel şt r c ler altında yatan sebeb b le b lm yorsa
güvenl k açığı? Tüm bunlar, b lg sayar korsanları, sabırsız ve stekl yken zaman alır.
ödenecek. Açık let ş m hatları anahtar ve tekrar, burada ht yaç herkes n b rb r ne saygılı olması ç n.
• İl şk yönet m : Böcek ödül programları, b lg sayar korsanlarının ger gelmes n st yor.
HackerOne, kırılganlığın etk s n n b lg sayar korsanları olarak nasıl büyüdüğünü yazdı.
tek b r programa daha fazla hata gönder n. Sonuç olarak, ödül programlarının bulunması gerek r.
Bu l şk ler gel şt rerek dengey kurmanın b r yolu.
• Basınla İl şk ler : B r hatanın gözden kaçab lmes ç n her zaman baskı vardır;
çözülmek ç n uzun, ya da b r ödül çok düşük olarak algılanır ve b lg sayar korsanları alacak
Sayfa 208
Güvenl k açığı raporları 196
Tw tter ya da medyaya. Y ne, bu durum tet kley c lere ağırlık ver r ve bunların nasıl etk lend ğ ne etk eder.
l şk ler gel şt rmek ve b lg sayar korsanlarıyla çalışmak.
Tüm bunları okuduktan sonra amacım bu sürec nsancıllaştırmaya yardımcı olmak. Deney mler m oldu tayfın her k ucunda, y ve kötü. Ancak, günün sonunda, b lg sayar korsanları
programlar b rl kte çalışacak ve zorlukları anlayab lecek
Her b r n n karşılaştığı durum, sonuçların y leşt r lmes ne yardımcı olacaktır.
İkram yeler
Ödül kazanan b r ş rkete güvenl k açığı gönderd ysen z, kararlarına saygı göster n ödeme tutarında.
Jobert Abma'ya (HackerOne'n n Kurucu Ortağı) Quora'ya Göre Nasıl Olurum Başarılı Hata Ödül Avcısı?1 :
Alınan b r m ktara katılmıyorsanız, neden buna nandığınıza da r b r tartışma yapın.
daha yüksek b r ödülü hak ed yor. Başka b r ödül sted ğ n durumlardan kaçın neden buna nandığını açıklayamadan. Buna karşılık b r ş rket göstermel zamanınıza ve değer n ze saygı göster n.
Gölet geçmeden önce Merhaba bağırmak yok
17 Mart 2016'da Math as Karlsson potans yel olarak har ka b r blog yazısı yazdı Aynı Menşe İlkes (SOP) bypass'ı bulma (aynı menşe pol t kası
web tarayıcılarının komut dosyalarının web s teler nden çer ğe er şmes ne nasıl z n verd ğ n tanımlayın) çer ğ n b r kısmını buraya eklememe z n verecek kadar. B r kenara, Math as b r har ka
HackerOne rekoru - 28 Mart 2016 t bar yle, S gnal’de yüzde 97’de,
HackerOne, Uber, Yahoo, CloudFlare g b ş rketler çeren 109 böcek bulundu vb.
Bu yüzden, “Gölet geçmeden merhaba d ye bağırmayın” demek İsveççe anlamına gel r Kes n olarak kes n olana kadar kutlamamalısın. Muhtemelen neden olduğumu tahm n edeb l rs n Bu dah l - hack tüm güneş ışığı ve gökkuşağı değ ld r.
Math as'e göre, F refox le oynuyordu ve tarayıcının çalışacağını fark ett .
hatalı b ç mlend r lm ş ana b lg sayar adlarını kabul ett (OSX’te), bu nedenle http://example.com ..
ple.com ancak ana b lg sayar başlığında example.com .. gönder n. Daha sonra http://example.com ev l.com adres n dened . ve aynı sonucu aldım.
1https://www.quora.com/How-do-I-become-a-successful-Bug-bounty-hunter
Sayfa 209
Güvenl k açığı raporları 197 Flash'ın tedav edeceğ ç n bu SOP'n n atlanab leceğ n anında b l yordu.
http: //example.com..ev l.com, * .ev l.com etk alanı altında olduğu g b . O kontrol ett
Alexa en y 10000’ü buldu ve Yahoo.com dah l s teler n% 7’s n n sömürüleb l r olacağını tesp t ett . B r yazı yazdı ama b raz daha doğrulayıcı yapmaya karar verd . B r eş le kontrol ett
-şç , evet, onların Sanal Mak nes de hatayı doğruladı. F refox, yup, bug güncellend hala oradaydı. Daha sonra Tw tter hakkında bulgu hakkında ma ett . Ona göre, Bug = Doğrulandı değ l m ?
Hayır! Yaptığı hata, şlet m s stem n en yen s ne güncellememes yd .
sürümü. Bunu yaptıktan sonra böcek ölmüştü. Görünüşe göre bu altı ay önce b ld r ld ve OSX Yosem te 10.10.5’e güncelleme sorunu çözdü.
Bunu, büyük b lg sayar korsanlarının b le yanlış anlayab leceğ n ve bunun öneml olduğunu göstermek ç n ekled m.
b ld rmeden önce b r hatanın sömürülmes n onaylayın.
Bunu eklememe z n verd ğ ç n Math as'e teşekkür eder m - Tw tter’a göz atmanızı öner r m Math as @ bu konuda yazdı @ avl d enbrunn ve labs.detect fy.com besley n.
Ayrılık Kel meler
Umarım bu bölüm s ze yardımcı olmuştur ve daha öldürücü b r rapor yazmaya hazırsınız.
Göndermeye başlamadan önce, b r dak kanızı ayırın ve raporu gerçekten düşünün - eğer öyleyse kamuya açıkladıysanız ve okudum, gurur duyar mısınız?
Gönderd ğ n z her şey, ger de durmaya ve haklı göstermeye hazır olmalısınız.
ş rket, d ğer b lg sayar korsanları ve kend n. Bunu sen korkutmak ç n söylem yorum ama kel meler olarak Tavs ye ben keşke başlangıç olsaydı. Başladığımda kes nl kle şüphel gönderd m
raporlar çünkü sadece tahtada olmak ve yardımcı olmak sted m. Ancak, ş rketler
bombardıman olsun. Tamamen tekrarlanab l r b r güvenl k hatası bulmak ve b ld rmek daha yararlıdır Açıkça.
Gerçekten k m n umursadığını merak ed yor olab l rs n z - ş rketler n bu çağrıyı yapmasına ve k m n umrunda olmasına z n ver n.
d ğer b lg sayar korsanlarının ne düşündüğü. Yeter nce ad l. Ama en azından HackerOne’da raporlarınız öneml d r -stat st kler n z zlen r ve geçerl b r raporunuz olduğunda, aleyh n ze kayded l r.
S nyal, raporlarınızın değer n n ortalaması olan -10 la 7 arasında değ şen b r stat:
• Spam gönder, sen -10 olsun
• Uygulanamaz olanı gönder, -5
• B r b lg lend rme gönder n, 0 olsun
• Çözülmüş b r rapor gönder n, 7
Y ne, k m n umrunda? S gnal, ş md k m n Özel'e davet ed ld ğ n bel rlemek ç n kullanılıyor.
programları ve kamuya açık programlara rapor göndereb l r. Özel programlar genell kle
Sayfa 210
Güvenl k açığı raporları 198
b lg sayar korsanları ç n taze et - bunlar sadece böcek ödülüne g ren s teler.
program ve s teler n sınırlı sayıda korsanlara açıyor. Bu, potans yel demekt r daha az rekabete açık güvenl k açıkları.
D ğer ş rketlere raporlama gel nce - deney m m b r uyarı h kayes olarak kullanın.
Özel b r programa davet ed ld m ve b r gün ç nde sek z güvenl k açığı buldum.
Ancak, o gece, başka b r programa b r rapor sundum ve N / A ver ld .
Bu ben m s nyal m 0,96'ya çarptı. Ertes gün özel ş rkete rapor vermeye g tt m y ne b r b ld r m aldım - S nyal m çok düşüktü ve 30 gün beklemek zorunda kaldım onlara ve 1.0 S nyal gereks n m olan herhang b r d ğer ş rketlere.
Bu berbat! Bu süre zarfında bulduğum güvenl k açıklarını başka k mse bulamazken, bana mal olacaktı. Her gün rapor ed p edemed ğ m kontrol ett m.
tekrar. O zamandan ber , S nyal m y leşt rmeye yem n ett m ve s z de yapmalısınız!
İy şanslar avcılık!
Sayfa 211