Bug Bounty Çalışmalarım

Öncelikle Herkese merhabalar. Bug Bounty(Ödül Avcılığı) programı üzerine yaptığım çalışmaları buraya toplmak istedim. Bug Bounty tanımını yapacak olursak; firmaların uygulama, hizmet ve servisleri kendi kurumsal web sitelerinden veya bu konuda hizmet veren platformlarda yayınlayarak, güvenlik uzmanları ve meraklıların analizine tabi tutmasıdır. Bende bu program dahilinde birçok firma, kuruluş ve bankayı uyardım. Sırayla bulduğum zafiyetleri ve kurumları anlatayım.

1)Union Bank

Uluslararası bir banka olan “unionbank.com”a ait bir domainde SQL Zaafiyeti tespit ettim ve bildirdim. Twitter’da uyarı mailini paylaştığımda bir güvenlik araştırmacı kardeşimiz retweet yapıp anket açmış dava mı açarlar ödül mü verirler diye sonuç olarak açığı kapattılar ama dönüş yapmadılar. Canları Sağolsun 🙂

2)UNICEF

Hepimizin bildiği Unicef’in Portekize ait domaininde XSS Zaafiyeti tespit ettim. Ve uyarı maili attım. Dikkate aldılar ve teşekkür mektubu yazmışlar mail ile attılar. Teşekkür Mektubana ulaşmak için tıklayınız

3)Intel

İntel’e ait bir domainde XSS Zaafiiyeti keşfettim ve bildirdim. Dönüş yapmalarını bekliyorum.

4) Telegram

Herkesin kullandığı yada bildiği Mesajlaşma programı olan telegramda Xss zaafiyeti keşfettim.

5)Source Forge

Dünyanın en gelişmiş ve en popüler açık kaynak kodlu yazılım indirme sitesi olan Source Forge de Xss zaafiyeti keşefettim. Gerekli bildirimi Yaptım cevap bekliyorum 🙂

6)Nic.ve

Aşağıda önemini anlattığım Nic sitelerinden birinde zaafiyet buldum. Gereken bildirimi yaptım cevap bekliyorum.

7)Dps.sd.gov (Kamu Güvenliği)

Burda da gereken bildirimi yaptım. Cevap bekliyorum 🙂

8)Puma

Pumanın resmi sitesinde xss tespit ettim. Gereken bildirimi yaptım ama dikkate almadılar 🙂

9) MIT.EDU Massachusetts Institute of Technology

Dünya sıralamasında önemli yeri bulunan mit.edu’nun bir domaininde SQL Zaafiyeti keşfettim. Ve veri tabanına erişim sağlayarak gereken bilgileri MIT.EDU yetkililerine bildirdim. Zaafiyeti kapattılar ama teşekkür etmediler. Alışkın olduğum bir durum oldu 🙂

10) Gazi Universitesi

Hepimizn bildiği Gazi Üniversitesine ait bir domainde XSS Zaafiyeti keşfettim. Ve uyarı maili atmama rağmen bir dönüş olmadı. Ayrıca Zaafiyetide kapatmadılar. En kısa sürede bir mailde atarak bilgilendireceğim. Ben uyardım benden sorumluluk çıktı 🙂

11) Devlet Tiyatroları

Devlet Tiyatrolarına ait”devtiyatro.gov.tr” domaininde XSS Ve SQL Zaafiyeti keşfettim. Orda bulunan bir tanıdığıma mail atarak açıkları kapatmasını sağladım.

 

Burada paylaşamadığım çok siteler var. NIC(Network İnformation Center) sitelerinde SQL-XSS zaafiyetleri buldum. NIC Sitelerinin Önemini anlatmak gerekirse (Google-youtube-facebook-twitter vs vs.) sitelerinin ülke uzantılarının Dns sunucularının barındığı sitelerde zaafiyetler keşfettim. (Örnek vermek gerekirse google.com.tr uzantısı nic.tr sitesinde barınır. Nic.tr sitesine erişim sağlayan birisi Google.com.tr yi hackleyebilir. Zamanında fortys3v3n (Emrullah Akdemir abim) tarafından hacklendiği gibi) …

Ama bildirmediğim için burada paylaşamadım. Yakında bildirip burayı güncellerim 🙂 Okuduğunuz için Teşekkürler 🙂

Bunlara da bakmak isteyebilirsin ;)

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir