2021 yılında konferansta gerçekleştirilen sunum.

1. Ödül Avcılığı: Masanın
Diğer Tarafı
Çağlar Çakıcı
Trendyol

2. Ajanda
- Ödül Avcılığı Nedir?
- Programlar
- Hazırlık ve Kapsam Belirleme
- Faydalar/Riskler
- Program Seçilirken Dikkat Edilecekler
- Sorular

3. Konuşmacı
- 16+ yıl siber güvenlik deneyimi
- Güvenlik yöneticisi @trendyol
- Kırmızı takım üyesi @hitcatred
- OSCP - OSCE - eWAPTXv2 - eCPTX
@caglarcakici

4. Ödül Avcılığı Nedir ?
- Netscape ilk ödül avcılığı programını 1995 yılında
başlattı
- Kurumların, tespit edilen zafiyetlerin risk seviyesine
göre ödeme yaptığı bir iş modeli.
- Bugüne kadar tek seferde verilen en yüksek ödül 201.000$

7. https://www.usds.gov/projects/hack-the-pentagon
https://www.hackerone.com/hack-the-pentagon

8. Hazırlık ve Kapsam Belirleme
Hazırlık Kapsam Belirleme
Kapsam
Genişletme
Public Bug bounty
Private Bug Bounty

9. Araştırmacı
Platform
Analist
Kurum
Analist
Zafiyet
Düzeltecek
Ekip
Ödül
Ödüllendirme yaşam döngüsü

10. Faydalar/Riskler
Faydalar:
- Pentest ve zafiyet yönetim süreçlerinde tespit edilemeyen zafiyetler
- Bağımsız bir çok araştırmacı tarafından altyapı/uygulamaların sürekli test
edilmesi
- Güvenlik araştırmacıları ile ağ oluşturmak
- Ekiplerin gelişimine katkıda bulunması (SOC/Red team etc.)
Riskler:
- Private programlarda, sosyal medya üzerinden bulguların paylaşılması.
- Araştırmacı ile iletişimi doğru sağlanamaması durumunda ortaya çıkabilecek
repütasyon riskleri
- Triage sürecinde bulguları yanlış değerlendirme. Hatalı Risk/Impact analizleri
- Uygulamalarda kullanılan yerel dil sebebi ile sadece yerel araştırmacılar başarı
sağlayabilmesi

11. Program Seçilirken Dikkat Edilecekler

12. Sorular
@caglarcakici /caglarcakici

13. Teşekkürler