Genel sorular

Bu bölümde, bug bounty kavramlarıyla ilgili genel sorular yer almaktadır.

6 Soru

Bug bounty nedir?

Bug bounty, bir yazılım, uygulama veya web sitesinde bulunan güvenlik açığını keşfetmek ve raporlamak için bir faaliyettir. Keşfedilen güvenlik açığı için, yazılımın veya web sitesinin sahibi tarafından bu açığı keşfedene bir ödül verilir.

Bug bounty, sızma testi veya yarışma değildir.

Sızma testi, bir sistem veya ağdaki güvenlik açıklarını bulmak için yapılan bir testtir. Yarışma ise, belirli bir konuda en iyi performansı sergileyen yarışmacının kazandığı bir etkinliktir. Bug bounty ise, güvenlik açıklarını bulmak için gönüllü olarak çalışan kişileri ödüllendiren bir programdır.

Avcı kimdir?

Strecan'da güvenlik uzmanları, beyaz şapkalı korsanlar ve hatta siber güvenlik alanına ilgi duyanlar "avcı" olarak bilinir.

İşletme kimdir?

Strecan ile sözleşmeli olarak sahip oldukları yazılımların ve web hizmetlerinin açıklarının keşfedilmesini isteyenler ve bu keşfedilen açıklar karşısında belirlenen kurallar çerçevesinde avcılara ödül ödemek isteyenlere "işletme" denir.

Hedef nedir?

Yapılacak güvenlik açığı araştırma sırasında işlerin nasıl yapılacağına dair kurallara "hedef" denir. Bu kurallar, güvenlik açığı raporları için gereklilikleri, kabul edilebilir koşulları ve fiyatlandırmayı içerir.

Ek bilgiler:

Bug bounty programları, yazılım ve web sitelerinin güvenlik açıklarını bulmak için etkili bir yoldur. Bu programlar, güvenlik uzmanlarının ve beyaz şapka korsanlarının, güvenlik açıklarını bulmak için teşvik edilmesini sağlar.

Güvenlik açığı rapor kaydı

Bu bölümde, güvenlik açığı raporu kaydıyla ilgili yaygın sorular yer almaktadır.

3 Soru

Güvenlik açığı raporunu nasıl kaydedebilirim?

Avcı olarak hesabınıza giriş yaptıktan sonra, yalnızca faaliyette bulunduğunuz hedeflerin görüntülendiği hedefler sayfasında bir hedef seçebilir ve rapor kaydetme formunu doldurarak rapor kaydetme işlemini gerçekleştirebilirsiniz.

İşletme sayfasında hedef adının karşısındaki "Davetiye" ifadesi ne anlama geliyor?

İşletmeler, yalnızca belirli avcıların görebildiği ve faaliyet gösterebileceği özel hedefler tanımlayabilirler. Bu hedefler, "Davetiye/Özel" olarak diğer hedeflerden ayırt edilir.

Raporlar nasıl değerlendirilir?

Her hedefin kurallarında güvenlik açıkları için fiyatlandırma tablosu tanımlanmıştır. Raporun geçerli olması durumunda, jüri ekibi, ciddiyet, etki ve kurallara uygun olan güvenlik açıklarının sınıflandırılması temelinde teklif edilen tutarı işletmeye bildirir. İşletme, raporu yeniden inceledikten sonra, jüri ekibinin teklifi hakkındaki görüşünü bildirir. İşletmenin farklı bir görüş bildirmesi durumunda, İşletme, fiyat farkına ilişkin nedenleri ve belgeleri avcı ve Strecan'a bildirmelidir. Son incelemeden sonra sonuç taraflara bildirilir.

Ücretlendirme ve maliyet

Bu bölümde, ücretlendirme ve maliyetlerin miktarı ve hesaplama şekli ile ilgili sorular yer almaktadır.

3 Soru

İş yerleri için bug bounty platformu üyelik ücreti ne kadardır?

Üyelik ücreti, seçilen planlardan (Giriş/Orta/Yüksek) birine göre hesaplanır. Platformun son üyelik ücretlerini görmek için https://strecan.com/tr/account/plans adresine bakın.

Platform hizmetlerinden ücretsiz olarak yararlanma imkanı var mı?

Evet, iş yerleri için temel planda Strecan platformuna ücretsiz üyelik ve kullanım imkanı sunulmaktadır. Ancak temel planda, hesabınızdaki bakiye kadar yeni rapor alma imkanınız olacaktır.

Bug bounty hizmetinin nihai maliyeti ne kadar olacak?

Seçtiğiniz plana göre üyelik ücretini ödersiniz. Hesabınıza istediğiniz tutarda yükleme yaparsınız ve her onaylanmış rapor için, rapor tutarı ve platform komisyonu hesabınızdan düşürülür.

Güvenlik uzmanıyım

Bu bölümde, güvenlik uzmanları ve avcılar için platformda nasıl faaliyet göstereceklerine dair yaygın sorular yer almaktadır.

9 Soru

Nasıl avcı olarak faaliyet gösterebilirim?

Herkes, geçerli bir e-posta adresine sahip olmak ve kayıt formunu doldurmak ve kimlik bilgilerini yüklemek suretiyle platformda avcı olarak çalışmaya başlayabilir.

Herhangi bir sistemden veya şirketten herhangi bir hata veya güvenlik açığı rapor edebilir miyim?

Hayır, Strecan bug bounty platformu, yalnızca sözleşmeli işletmelerden gelen güvenlik açıkları raporlarını almaya söz verir. Strecan ile sözleşmesi olmayan işletmelerden veya işletmelerin belirlediği hedeflerdeki kuralların dışında herhangi bir raporu kabul etmez.

Bir güvenlik uzmanı olarak Strecan'a kaydolmak için para ödemem gerekiyor mu?

Hayır! Strecan bug bounty platformunda ücretsiz olarak kayıt olabilir ve platformun hizmetlerinden yararlanabilirsiniz.

Strecan hizmetlerinden yararlanmak için bir ücret ödemem gerekiyor mu?

Hayır, platformun hizmetleri avcılar için tamamen ücretsizdir.

Platformda faaliyet göstermek için hangi belgeler gereklidir?

Platformda bir hesap oluşturmak, platformun kurallarını kabul etmek anlamına gelir. En az bir onaylanmış raporu olan avcılar, ödülü almak için banka hesap numaralarını ve kimlik kartlarının/nüfus cüzdanlarının bir görüntüsünü platforma yüklemeleri gerekmektedir.

Neden bazı işletmeler raporları geç inceliyor?

Çoğu işletme, belirtilen süre içinde taahhütlerini yerine getiriyor. Yasal inceleme süresi geçmiş raporlar için, platform olarak raporun durumunu belirlemek adına gerekli işlemleri yapıyoruz. Ancak, bu sürenin uzaması, işletmenin süreçlerine ve kurumsal kültürüne bağlıdır. Platform olarak, taahhütlerini yerine getirmeyen işletmeler için sınırlamalar belirledik.

Madalya ve rozetlerin amacı nedir?

Güvenlik açığı avcılarının ve güvenlik uzmanlarının platformdaki faaliyetlerine göre madalya ve rozet verilir. Bu madalyalar ve rozetler Strecan tarafından değelendirilerek hesaplanır ve seçilen avcılara verilir. Özel ve davetiye amaçlı hedeflere katılmak için seçilen avcıların temel kriterlerinden biri, alınan madalyalardır.

Nasıl daha fazla ödül kazanabilirim?

Çoğu uzman, güvenlik açığı bulmak için çok zaman harcar, ancak rapor yazarken acele eder ve eksik raporlar gönderir ve maalesef iyi sonuç alamazlar. İyi bir rapor yazmak için aşağıdakileri göz önünde bulundurmayı tavsiye ediyoruz: - Tam senaryo açıklaması - Doğru uygulama - Güvenlik açığının ciddiyetinin açıklanması - Çözümün sunulması - İşlemlerin nasıl yapıldığını gösteren video Bu kriterleri karşılayan raporların ödül alma olasılığı daha yüksektir.

Davetiye amaçlı hedeflere nasıl katılabilirim?

Eğer iyi bir faaliyet geçmişiniz varsa (yüksek puan ve yüksek ciddiyetli raporlar), avcı liderlik ekibinin önerisi ile davetiye amaçlı hedeflere katılma fırsatı elde edersiniz. Öte yandan, kimlik doğrulama sürecini tamamlamanız ve iş deneyiminizin bir özetini göndermeniz durumunda, avcı liderlik ekibinin seçimi ile davetiye amaçlı hedeflere katılma fırsatı elde edersiniz.

Bir işletme sahibiyim

Bu bölümde, işletmelerin platformda nasıl faaliyet göstereceklerine dair yaygın sorular yer almaktadır.

8 Soru

Strecan hizmetlerinden nasıl yararlanabilirim?

Şirket veya işletme sahibiyseniz, 09:00 -18:00 saatleri arasında Strecan desteğiyle iletişime geçebilir veya kayıt bölümünde "İşletme" olarak iletişim bilgilerinizi bize gönderebilirsiniz. Ekibimiz sizinle iletişime geçecek ve size yardımcı olacaktır.

Bug bounty'ye katılmam, işletmemde hizmet kesintisine neden olabilir mi?

Hayır, bizim amacımız güvenlik açıklarını tespit etmek, işletmenizi zarar görmeden korumaktır. Strecan'da bu konuda katı kurallar var ve tüm avcılar bu kuralları takip etmekle yükümlüdürler. Güvenlik uzmanları, sizin izniniz ve onayınız olmadan veri toplama, kullanıcı bilgilerine erişim veya hizmet engelleme saldırıları gerçekleştiremezler. Sadece yaptıkları test sonuçlarını ve raporları ve kanıtları paylaşırlar.

Bug bounty, işletmemi %100 güvenli hale getirebilir mi?

Hayır, böyle bir iddiada bulunmuyoruz. Güvenlik bir ürün veya hizmet değildir, bir kez satın aldıktan sonra sonsuza kadar güvende kalamazsınız. Güvenlik bir altyapıdır ve her koşulda ve işletmenin tüm bölümlerinde sürekli olarak değerlendirilmelidir. Strecan'da, işletmelerin en düşük maliyetle sürekli olarak sınıflandırılmış hacker ve güvenlik avcılarının uzmanlığından yararlanabilecekleri bir platform oluşturduk ve işletmenizi daha güvenli hale getirmeye yönelik adımlar atabilmenize yardımcı oluyoruz.

İşletmem henüz hacklenmedi, platforma katılırsam hackerların hedefi olurum, neden böyle bir şey yapayım?

Bu, çoğu işletme sahibinin ilk başta sorduğu sorudur. Hacklendiğinizde, güvenlik açığı olduğundan en son siz haberdar olursunuz. MITRE raporuna göre, çoğu siber saldırıda saldırıdan en az 6 ay önce erişim ve sızma gerçekleşir ve veri sızıntısı veya veri ifşası, kurbanın saldırgana sunacak yeni bir şeyi kalmadığında gerçekleşir. Bu durumda güvenlik uzmanlarının yardımıyla olayın önüne geçmek için harekete geçebilirsiniz veya daha maliyetli bir şekilde saldırganın sizi güvenlik açığından haberdar etmesini bekleyebilirsiniz.

Neden bazı işletmelerin bilgileri blurlu?

Strecan'da, işletmelerin özel ve davetiye yoluyla bug bounty programına katılmalarına olanak tanıyan bir seçenek var. Bu durumda, hesabınız yalnızca davet ettiğiniz uzmanlara görünür. Hesabınızın görüntüsü ve bilgileriniz, platformdaki diğer kullanıcılar için blurlu görünür.

Sızma testi ve bug bounty arasındaki fark nedir?

Sızma testi hizmetinde en iyi durumda ekibinizin 3 üyesi sisteminizdeki güvenlik açıklarını değerlendirmek için bir kontrol listesindeki senaryoları uygular. Geleneksel sızma testi süreci en az bir ay sürer ve sisteminiz güncellenirse yeni senaryoların yeniden değerlendirilmesi gerekir. Bug bounty'de ise, her zaman ve sınırsız olarak çok fazla farklı becerideki güvenlik uzmanı tarafından değerlendirilirsiniz. Bug bounty ve sızma testi birbirinin yerine geçmez, aksine iki ayrı hizmet olarak birbirini tamamlar. Bugüne kadar işletmenizde güvenlik için hiçbir şey yapmadıysanız, öncelikle sızma testi ile değerlendirilmenizi ve ardından bug bounty'ye geçmenizi öneririz. Bu, maliyetlerinizi düşürmenize yardımcı olur.

Hangi ürünler bug bounty programına katılabilir?

Aşağıdaki ürünlerin sahipleri, ürün için platformda hedef tanımlayabilir: - Web siteleri - API'ler - Android mobil uygulamaları - iOS mobil uygulamaları - Sistem uygulamaları (erişilebilir bir sürümün platformda yayınlanması şartıyla) - Donanımlar

Bug bounty programına katılmak için neden ürün sahibi olmalıyız?

Çünkü güvenlik açığının varlığını kanıtlamak ve güvenlik açığını gidermek yalnızca ürün sahibinin sorumluluğundadır. Yalnızca ürün sahipleri ürününü platformda değerlendirmeye sunmaya yetkilidir. Örneğin, WordPress gibi hazır bir CMS kullanıyorsanız, WordPress'i bug bounty'de sunamazsınız.