Evet, en sevdiğim konulardan.
Öncelikle mevzuya şöyle gireyim; Kolay para devri bitti arkadaşlar.
2 yıl önce bıraktığında zaten sektör doymaya başlamıştı. YouTube'da "Bug Bounty ile nasıl zengin oldum" videolarını izleyen binlerce Hintli ve global rakibin var.
Oturduğun yerden alert(1) yazarak veya basit bir parametreye ' koyarak para kazanma devri kapandı. Açıkların %99'unu senden önce tarayan botlar, otomasyonlar ve scanner'lar zaten topluyor.
Başlayanların %90'ı ilk bir yıl 0 dolar kazanacak. Çoğu duplicate rapor yemekten tükenip bırakacak. Ayrıca "AI işimizi elimizden alacak mı?" sorusu yanlış. AI, vasat bug hunter'ı siliyor.
Şirketler artık kodlarını production'a almadan önce AI destekli SAST/DAST araçlarıyla taratıyor. Basit syntax hataları, SQL Injection'lar, bariz XSS'ler daha canlıya çıkmadan yok ediliyor.
Senin manuel olarak 5 saatte bulacağın şeyi, adam CI/CD pipeline'ına entegre ettiği AI ajanına 5 dakikada çözdürüyor.
OWASP Top 10 anlatmak falan fistan güzel ama yetersiz. Roadmap isteyen adama şunları söylemek lazım:
Web bilmeden açık aranmaz. Bir yazılımcı kadar HTTP, DOM, React/Vue state yönetimi, API gateway mantığı bilmiyorsan, sadece tool çalıştıran bir script kiddie olarak kalırsın.
Tool bağımlılığı. "Hangi tool'u kullanayım?" diyen kaybeder babacım. Kendi scriptini yazamayan, başkasının yazdığı tool'un taradığıyla yetinir. O tool'u da herkes kullandığı için sana ekmek çıkmaz.
Bugün en çok para eden tek şey insan zekası. AI mantık kuramaz, bağlamı anlayamaz.
Velhasıl kelam; Bug Bounty günümüzde "hobi" olarak yapılacak iş değil. Ya profesyonel security researcher gibi, yazılımcı kafasıyla derinlemesine analiz yapacksın ya da hiç girmeyeceksin bu topa. "Şansımı denerim" diyorsan, üzülürsün.
Makalelerinde "tool kullanımı" yerine "kod analizi" ve "mantık hataları" üzerine durmazsan, okuyucularına sadece vakit kaybettirmiş olursun. İyi forumlar.
Dediklerine katılıyorum, öncelikle eline sağlık. Kurduğum cümleler sıkça rastladığım yorumlar üzerineydi ve yazılım veya siber güvenlik alanında her zaman bir kural geçerlidir: Erişebiliyorsan, aslında iş bitmiş demektir.
AI Dönemi'nde Yazılım ile ilgili bir makale açmıştım ve kurduğum cümle seninki ile aynıydı: "AI, kötü yazılımcıları bitiriyor."
Siber güvenliğe meraklı olunması gerçekten inanılmaz güzel bir şeydir. Bu alanda ne gibi alanlar olduğunu görmek şevk açabilir; bug bounty da buna dahil. Hâlâ Türkçe kaynağı olmasa da, 2 yıl öncesinde bile sektörün bittiği ve web'i iyi bilenlerin işi yuttuğu söylenirken, şu an için çok zor ama yapılabilir.
Zafiyet her zaman insandır ve insan parmağı varsa zafiyet vardır. XSS hâlen günümüzde aktif rol alıyor. SQL gibi "tek tırnak atayım, SQLMap taraması yapayım" tarzı şeyler bitti. Artık açıklar daha zor, daha çok zaman, daha çok recon istiyor.
Soru: Girilir mi? Buna bakan insanlar girilebileceğini düşünüyor, ancak internetteki yorumlara göre en az 3-4 yıl öncesine kadar olan açıklar kapanmış durumda ve artık bu alana ilgi duyanların kendilerini bu alanda geliştirmesi ve bir alanda sabit kalmamaları gerekiyor. WEB nasıl çalışır?, Linux kontrolü nasıl yapılır?, Script, Zaafiyet öğrendikçe kendi işine yarayacak tooları hazırlamak, SOC gibi malware analiz alanlarını bilmek gerekiyor zaten bir alanda uzmanlaşırken bilgiler cebinde olacak. Aslında farkındalığın bug bounty üzerine değil direkt bu alanda gelişmekten ve bu sayede bunun da ekmeğini yenilebiceğinin bir farkındalığı.
Web üzerinde zafiyet konusuna ben başladığım zaman "Bu zafiyetler nasıl oluyor?" tarzı bir soru sordum. Dili öğrenip web geliştirirken, zaten hem otomatik kapatmayı hem açmayı öğreniyor, karşındaki yazılımcının nerede hata yapabileceğinin de bilincine varıyorsun.
Bu yüzden dediklerine sonuna kadar katılıyor ve onaylıyorum. Eline emeğine sağlık.
Konuyu belki yanlış anlattım, belki yanlış anlaşıldı ama amacım şu: Bu konu altında bug bounty konusuna merak edip buraya gelen kişiler, yorumlara baktığında işi bilen insanlardan kaynak ya da öneri alacaktı. Yorum atan arkadaşlar da çok güzel bir şekilde önerilerini sundu. Gören, merakı olan sormaya devam eder bilen ise cevaplar.
