1.0.1 Versiyon
5 Mart 2024
"Avcı" terimi, Strecan sisteminde bir kez kayıt yaptırmış her gerçek kişiye uygulanır. Avcı, tanımlanmış hedeflerden güvenlik açığı bularak rapor sunabilir. Platformda faaliyet gösterebilir, genel açık olan hedefleri ve kurallarını inceleyebilir.
Bu terim, Strecan hizmetlerinden yararlanmak için bir anlaşma imzalayan gerçek veya tüzel kişiye uygulanır.
Strecan'da işletme tarafından sunulan güvenlik açığı keşif programlarına "Hedef" denilir. İşletmeler, güvenlik açığı keşif programının çerçevesini, şartlarını ve onaylanan raporların ciddiyet seviyesine göre ödenecek ücretini Strecan platformunda aktif olup avcıların çalışmalarına sunulabilmesi için belirlemek zorundadır.
Avcı tarafından işletme hedefleri için sunulan ve onaylanmış güvenlik açığı raporlarına "Av" denir.
Strecan’ını, genel kurallarına platformsa üye olan gerçek ve tüzel kişilerin tamamı uymakla yükümlüdür, platformun kullanım koşulları dışında yapılan faaliyetler onaylanmamakla birlikte karşılıklı olarak yasal süreçlerin başlatılmasına sebep olabilir.
Güvenlik açığı avlama projesinde sunulan rapor işletme tarafından belirlenen şartları göz önünde bulundurarak hazırlanmalıdır.
Her rapor, teknik detaylar, kanıtlar ve test adımlarını içermelidir.
Alınan raporun teknik olarak incelenebilmesi için avcının yaptığı tüm adımların ve raporda anlatılan teknik bilgileri inceleme ekibi adım adım yapabilmesi gerekmektedir. (Raporda anlatıldığı gibi yapılan işlemlerin sonucunda güvenlik açığı zafiyetini tekrarlanabilmesi gerekmektedir)
Güvenlik açığından faydalanabilmesi için gereken giriş bilgileri ve teknik değerlerin raporda olması gerekmektedir. Bu bilgilerin sunulmaması raporun reddine sebep olabilir.
Bir raporda aşağıdaki unsurların belirtmesi beklenir:
5.1. Bulunan zafiyetin kategorisinin yazılması (SQL Injection, Cross-Site Scripting vb.…)
5.2. Güvenlik açığının tekrarlanabilmesi için yapılması gereken tüm yapılandırmalar belirtilmelidir.
5.3. Güvenlik açığının tekrarlanabilmesi için gerekli olan tüm adımlar sırayla ve açıklamalı bir şekilde belirtilmelidir.
5.4. Avcı incelemesine göre zafiyetin önem derecesi ve oluşturabileceği hasar açıklanmalıdır.
5.5. Raporun şeffaf ve tam bir açıklaması bulunmalı ve zafiyetin nasıl istismar edilebilmesi açıklanmalıdır.
5.6. Zafiyetin varlığını doğrulayan referans alınabilecek kanıt ve belgelerin eklenmesi zorunludur. Bu belgeler Video, Ekran görüntüsü, Kullanılan Script ve kodlar vb.… olabilir.
Strecan'a kullanıcı olarak kaydolmak, Kuralların tamamen kabul edilmesi anlamına gelir.
Avcı, Türkiye Cumhuriyeti’nin tüm yasalarına bağlı olmalıdır.
Güvenlik açığı raporunu inceleyebilmek için gerekli ve yeterli tüm belgeleri sunmak zorunludur.
3.1. Strecan tarafından talep edilen belgeleri belirtilen süre içinde hazırlamak ve göndermek zorunludur.
3.2. Belirlenen süre içinde talep edilen belgelerin gönderilmemesi durumunda, raporun incelemesi sona erer.
Av raporu sadece üzerinde çalışılan ve ilgili işletmenin ilgili hedefine ait olmalıdır.
Gönderilen belgelerin içeriği ve yazılan bilgilerin ve telif hakkında uygunluğu gönderen kişinin sorumluluğundadır.
Avcıların kullanıcı hesaplarından paylaşılan rapor ve bilgilerin sorumlusu hesap sahibidir.
Platformun ve işletmenin kurallarında tanımlanan yasal çerçeve dışındaki tüm faaliyetlerden sorumluluk, avcıya aittir. Kanıtlanmış şekilde yasal olmayan faaliyetlerde bulunulması durumunda, konu işletme tarafından ilgili yetkililere yönlendirilebilir.
Gönderilen belgelerin doğruluğu avcının sorumluluğundadır.
Avcı, gizlilik ihlali, veri tahribatı, bilgi yayını, hizmete müdahale, servis kesintisi vb. herhangi bir zararlı eylemi, gerçekleştirmeyeceğini taahhüt eder.
Avcı, ürünlerin hizmetini bozan veya servis kesintisine neden olan herhangi bir eylemi gerçekleştirmemeyi taahhüt eder. Bu tür zafiyetlerin tespiti durumunda, Strecan’a bilgi vermekle yükümlüdür.
Avcı, üzerinde çalıştığı hedeflerle ilgili veya zafiyetlerle ilgili sosyal medyada veya internette herhangi bir bilgi paylaşmayacağını taahhüt eder.
Avcı, üzerinde çalıştığı hedeflerde kullandığı kod veya yöntemler hakkında herhangi bir platformda paylaşım yapmayacağını taahhüt eder.
Rapor ve bilgi açıklamaları, sadece Strecan'ın kuralları doğrultusunda, işletmenin onayı ve Strecan tarafından gerçekleştirilen değerlendirme ile yapılmaktadır. Strecan'ın onayı olmadan avcı tarafından yapılan herhangi bir bilgi açıklaması, kurallara aykırıdır ve hukuki sonuçlara yol açacaktır.
Avcı ve birinci derece yakınları son 6 ay içersinde üzerinde çalışmak istediği hedefin sahibi olan işletme ile herhangi bir bağlantısı olmamalıdır.
Avcı, zafiyet raporu için belirlenen değerlendirme ekibi üyeleri arasında yer alamaz.
Avcı, ödül alma sürecini tamamlamak için kimlik ve geçerli banka bilgilerini sisteme göndermekle yükümlüdür.
On sekiz (18) yaşın altındaki avcılar, ödül almak için veli veya yasal vasileri aracılığıyla işlem yapmalıdır.
İşletme tanımlarının dışındaki alanlarda faaliyet yasaktır.
Her bir zafiyet keşfi, yalnızca ilk keşfeden kişiyi ödüllendirir. İlk keşfi belirleme kriteri, raporun kaydedildiği zamanına dayanmaktadır.
Yukarıdaki kuralların herhangi birini ihlal etmek, sürecin tamamlanmasının ardından bile yasal takip olasılığını beraberinde getirir ve hiçbir ödül avcıya verilmez.
Tüm avcıların bilgileri (güvenlik uzmanları, beyaz şapkalılar dahil) Strecan platformunda gizli kabul edilir ve yalnızca yargı kararı ile yasal yetkililere sunulabilir.
Strecan platformu ile iş birliği anlaşmanın onaylanması ve anlaşma hükümlerini yerine getirilmesini taahhüt eder.
İşletmenin Strecan’da faaliyet göstermesi kuralların tamamının kabulü anlamına gelir.
Avcı’nın tüm kurallara uyması durumunda, işletmenin avcı, av raporu ve Strecan platformuna karşı herhangi bir yasal takip hakkı bulunmamaktadır.
İşletme, sistemde belirlenen süre içinde, inceleme sonuçlarını, rapor için gerekli belgeleri ve kanıtları bildirmekle yükümlüdür. Aksi takdirde, Strecan, işletmeden tahmini maliyeti almanın yanı sıra, tahmini maliyetin en az %2'sini günlük olarak işletmenin kredisinden, maliyetin tamamen ödendiği zamana kadar ceza olarak kesebilir ve işletmenin hiçbir yasal takip hakkı olmaz.
Avcıların faaliyet göstereceği alanların şeffaf bir şekilde açıklanması işletme yükümlülüğündedir.
İşletme tarafından yasaklı alanların şeffaf bir şekilde belirlenmesi gerekir. Yasaklı alanların belirlenmemesine dayalı erişimler ve güvenlik zafiyetlerinin bulunması durumunda avcının raporu geçerlilik kazanarak incelemeye alınır.
Sözleşmeyi imzalamak, güvenlik açığı değerleme tablosunun onaylamak anlamına gelir.
Anlaşma süresi sonunda, incelemesi devam eden güvenlik açığı raporu varsa süreçlerin durumu belirlendikten sonra işletme onaylanmış güvenlik açığı raporunun öngörülen maliyetini ve hesaplanmış komisyonunu tamamen ödemekle yükümlüdür.
Avcı, yaptığı çalışma sonucunda onaylanan raporu hakkında işletmeden takdir belgesi talep edebilir, bu takdir belgesinin onaylanması, hazırlanması ve Strecan’a gönderilmesinden işletme sorumludur.
Güvenlik açığı raporu problemini çözme süresi belirleme işletme sorumluluğundadır.
Avcıların işletmelerle herhangi bir bağı olamaz konusu ihlal edilirse işletmeye ceza kesilir ve raporun inceleme ücretlerinin yanısıra kesilen ceza işletme tarafından Strecan’a ödenir.
İşletmenin platformda onaylanmış kullanıcı hesabı giriş bilgilerinin sorumluluğu tamamen işletmeye aittir.
Sadece sözleşmeli işletmeler ve sistemde tanımlanan hedeflerle ilgili raporlar incelenir.
Tüm raporlar Strecan'da genel kurallara ve her bir hedefte belirlenen kurallara uymalıdır.
Sadece rapor yapısına uygun olan raporlar incelemeye alınır.
İşletme hedef ve kurallarında değişiklik yapma durumunda, raporların değerlendirmesi, raporun kaydedildiği tarih ve işletme tarafından yapılan değişikliklerin yüklenme tarihi dikkate alınarak yapılır. Değişikliklerin uygulanma öncesinde kaydedilen raporlar, o tarihlerdeki kurallar versiyonuna göre incelenir.
Rapor göndermeden önce, işletmenin kuralları okunmalı ve raporlanan zafiyetler tekrar kontrol edilmelidir.
Raporda aşağılayıcı kelimelerin, siyasi açıklamaların ve teknik olmayan açıklamaların yazıldığı durumunda rapor incelemeye alınmadan reddedilecektir.
Genel kurallarda ve her işletmenin hedefe ilişkin açıkladığı kurallara göre rapor yüklemesi yapılmalıdır.
Güvenlik zafiyetinin nihai onayından sonra ödül miktarı ve puanı belirlenir.
Ödemenin yapılma süresi, raporun nihai onayından ve ilgili işletmenin cüzdanına yatırmasından sonra en fazla 3 iş günüdür.
Bir güvenlik açığı raporuna yapılan ödeme, herhangi bir bilgi yayınlama izni anlamına gelmez.
Ödül alabilmek için avcının kimlik ve banka bilgilerinin, ülkenin finansal yasalarına göre onaylanması gerekmektedir.
Ödemelerde yasal olarak alınan vergi ve kesintiler avcı sorumluluğundadır, ödemeler Strecan’a yapılır ve Strecan avcının onaylanan banka hesabına gönderir. Avcı talebi üzerine bir güvenlik açığı raporundan elde edilen ödeme aşağıdaki şekillerde olabilir:
5.1. Avcı’nın onaylanan banka hesabına yatırılması.
5.2. Strecan platformunun hedeflerini geliştirmek ve daha iyi hizmet verebilmesi için alınan ödülün Strecan platformuna bağışlanması.
5.3. Alınan ödülün sivil toplum kuruluşlarına bağışlanması. (Avcı bu seçeneği seçerse Strecan alınan ödülün tamamını avcı adına bağışta bulunarak belgelerini paylaşır.)
5.4. Avcı on sekiz (18) yaş altındaysa kazandığı ödülü almak için yasal vasi veya vekilini belgelerle bildirerek ödemeyi ilgili kişinin hesabına yatırılmasını talep edebilir.
Strecan’da kabul edilmeyen raporlar, Strecan’da faaliyet gösteren işletmelerin belirlediği kurallar ve koşullar ile Strecan’ın genel kullanım şartlarına uymayan raporlardır. Bu raporların teknik eksiklikleri bulunması durumunda rapor inceleme sırasında reddedilir. Aynı zamanda hukuki takip gerektiren raporlar hakkında işletmenin bu süreci başlatmasına sebebiyet verebilir. Hukuki sürecin başlatılması yapılan zarar verici ve suç niteliğinde olan işlemlerin ve faaliyetlerin ispatını gerektirir. Kabul edilmeyen raporların açıklamaları aşağıdaki gibidir:
Senaryo ve Exploite içermeyen raporlar.
MITM (Man-in-the-Middle) zafiyetleri.
Daha önce farklı avcılar tarafından raporlanan zafiyetler.
Root Cause (Kök Neden) bakımından önceki raporlardaki zafiyetlerle aynı olan raporlar.
Üç (3) aşamadan fazla kullanıcı etkileşimi gerektiren zafiyetler.
Zafiyet teknikleri kullanmadan erişilebilen yönetici giriş sayfaları.
Sosyal mühendislik ve Phishing (Oltalama) saldırıları.
Servis devre dışı bırakma saldırıları (DoS/DdoS)
Hedefte belirlenen yasaklı alanlar (Domains) ve IP adresleri ile ilgili zafiyetler.
Otomatik tarama yapan ve diğer otomatik araçlar tarafından sunulan ve herhangi bir faydalanma (Exploit) içermeyen raporlar.
Sunucu bilgilerinin sızdırılması (web sunucu türü ve versiyonu) sonucunda bulunan zafiyetler.
SSL ve Best Practise ile ilgili olan zafiyetler.
Eski tarayıcılara yönelik zafiyetler.
Fiziksel saldırılara karşı zafiyetler.
İçerik Sahtekarlığı (Content Spoofing) ile ilgili zafiyetler.
SSRF zafiyetler (Sadece DNS sorgusu içeren ve Exploint içermeyen) zafiyetler.
Clickjacking zafiyetleri, hassas sayfalarda olmadığı sürece.
*self zafiyetleri (Sadece ilgili avcı veya kullanıcıya etki eden zafiyetler)
Captcha ile ilgili olmayan Brute Force saldırıları.
Wordpress ile ilgili tüm zafiyetler.
Best Practice’ler, şifre kuralları vs.
DNS kayıtları ile ilgili gönderilen sahte E-postalar (E-mail Spoofing)
Kullanılan kütüphanelerin ve yazılım sürümlerinin düşük olduğunu gösteren raporlar.
Header incelemeleri ve header injection.
Hassas veriye ulaşmayan Option Index durumları.
Account/e-mail/phone enumeration ile ilgili her türlü kullanıcı adlarının ele geçirilmesi ile ilgili raporlar.
Logout (Hesaptan çıkış) yönelik CSRF zafiyetleri.
Email validation not enforced ile ilgili tüm zafiyetler.
Cookie valid after password change/reset veya Session fixation ile ilgili tüm zafiyetler.
Domain authentication ile ilgili tüm zafiyetler.
CDN arkasındaki IP’leri bulma (etkili bir saldırı senaryosu veya kabul edilebilir bir durum olmadan)
Information Disclousre zafiyetleri (senaryo ve exploit içermeyen raporlar)
Crossdomain.xml zafiyetleri.
CSV enjeksiyonu zafiyetleri.
Sadece kullanıcı (user) cihazını etkileyen zafiyetler (Android yazılımları için).
Tersine mühendislik, kaynak koda dönüştürme (decompile) ve benzeri durumlarla ilgili zafiyetler (Android yazılımı için)
Fiziksel erişim gerektiren veya kullanıcıları tehdit etmeyen zafiyetler (Android yazılımı için).