OWASP-TR Uygulama Güvenliği Günü 2016 Gökmen Güreşçi - Web Uygulamalarında Ödül Avcılığı (Av Gözünden)

1. W E B U Y G U L A M A L A R I N D A
Ö D Ü L AV C I L I Ğ I
AV G Ö Z Ü N D E N
G Ö K M E N G Ü R E Ş Ç İ

2. G Ö K M E N G Ü R E Ş Ç İ
▸ Bilgisayar Mühendisi @Namık Kemal Üniversitesi
▸ İşletme @Anadolu Üniversitesi
▸ Güvenlik meraklısı, düşkünü, araştırmacısı
▸ Webpen
▸ Digital Forensics & Incident Response (DFIR)
▸ Cypherpunk

3. H U N T I N G
✤ Yandex (x18)
✤ Google (x3)
✤ Zemana
✤ Card.com
✤ Nokia
✤ Microsoft (x4)
✤ Schuberg Philis
✤ Foursquare
✤ eBay
✤ Pinterest
✤ Barracuda Networks
✤ BlackBerry
✤ PayPal
✤ Apple
✤ Dropbox
✤ StopTheHacker (part of CloudFlare)
✤ Atlassian (x2)
✤ Mega.NZ (KimDotCom)
✤ Whitehat Security
✤ F-Secure
✤ Deutsche Telekom
✤ Amazon Web Services (AWS)
✤ vb.

5. Ö D Ü L AV C I L I Ğ I N E D İ R ?
▸ Bir uygulamadaki zafiyetlerin kapatılmak üzere ilk kez
üreticisine / geliştiricisine bildirilmesi ve karşılığında
çeşitli ödüllerin kazanılması
▸ Bir tür Responsible Disclosure
▸ Tişört, kupa, suluk, bileklik vb. eşantiyonlar
▸ Para

6. TA R İ H Ç E S İ

7. • Google: $6M+ (2010)
• HackerOne: $6.6M (2013)
• Facebook: $4.3M+ (2011)
• Bugcrowd: ~$724K (2012)
• Yandex: $120K+ (2011)
• GitHub: ~$100K (2013)

8. – M I K E R E AV E Y, M I C R O S O F T
“I don’t think that filing and
rewarding point issues is a
long-term strategy to
protect customers”

9. B Y
FA I L I N G
T O
P R E PA R E ,
Y O U A R E
P R E PA R I N G
T O FA I L
B E N J A M I N F R A N K L I N

10. A N Y O N E
W H O H A S
N E V E R M A D E
A M I S TA K E
H A S N E V E R
T R I E D
A N Y T H I N G
N E W.
A L B E R T E I N S T E I N

11. G Ü V E N L İ K Z A F İ Y E T İ
O L M AYA N U Y G U L A M A ,
S İ S T E M Y O K T U R !
S A D E C E H E N Ü Z
K E Ş F E D İ L M E M İ Ş T İ R …

12. A S H I P I S
A LWAY S S A F E
AT T H E S H O R E
—
B U T T H AT I S
N O T W H AT I T
I S B U I LT F O R .
A L B E R T E I N S T E I N

13. P E N T E S T

14. S A D E C E P E N T E S T E
O D A K L A N M A
P E N T E S T İ G E Ç T İ M
D İ Y E S E V İ N M E

15. P E N T E S T L E R D E K I S I T L I
B İ R Z A M A N D İ L İ M İ N D E
K I S I T L I B İ R K A P S A M D A
K I S I T L I B İ R E K İ P İ L E
Ü R Ü N E , U Y G U L A M AYA
O D A K L A N I L I R

16. Ö D Ü L AV C I L I Ğ I N D A İ S E
S I N I R S I Z Z A M A N V E
Ç O Ğ U N L U K L A
G E N İ Ş B İ R K A P S A M
VA R D I R

17. Ç Ü N K Ü D Ü N YA N I N
H E R H A N G İ B İ R
Y E R İ N D E K İ Y E T E N E K L İ
B İ R K İ Ş İ U Y G U L A M A N D A
H E R K E S İ N G Ö Z Ü N D E N
K A Ç I R D I Ğ I B İ R Z A F İ Y E T İ
B U L A B İ L İ R

18. ~ 9 AY
C V S S > = 6 . 0

19. P E N T E S T R A P O R U N D A N
H ATA L A R I N I
Ö Ğ R E N M E L İ S İ N
V E O N L A R I E N M A K U L *
Ş E K İ L D E Ç Ö Z M E L İ S İ N

20. S O N A Ş A M A D A
YA Z I L I M I “ G Ü V E N L İ ”
H A L E G E T İ R M E K T E N
Ç O K B A Ş TA N İ T İ B A R E N
S Ü R E Ç L E R İ N İ
İ Y İ L E Ş T İ R M E Y E Ç A L I Ş

21. FA I L U R E I S
S I M P LY T H E
O P P O R T U N I T Y
T O B E G I N
A G A I N , T H I S
T I M E M O R E
I N T E L L I G E N T LY
H E N R Y F O R D

22. Y O K S A ;
P E N T E S T L E R İ N % 9 0 ’ I
B O Ş A PA R A H A R C A M A K
O L A B İ L İ R

23. Ü Ç Ü N C Ü B İ R Ş A H S I N
S İ S T E M L E R İ N İ
K U R C A L AYA C A Ğ I N A
K E N D İ N İ A L I Ş T I R

24. – Z A N E L A C K E Y
“It’s the Internet. You’re already
getting pentested continuously,
you’re just not receiving the
report”

25. Ö D Ü L AV C I L I Ğ I P R O G R A M I
B A Ş L AT T I Ğ I N D A T R A F İ Ğ İ N
B İ R A N D A
Ö N G Ö R E M E D İ Ğ İ N Ş E K İ L D E
A R TA B İ L İ R
B U N U N L A N A S I L B A Ş A
Ç I K A C A Ğ I N I N H A Z I R L I Ğ I N I
YA P M A L I S I N

26. “ D Ü Z G Ü N V E E T K İ N ” *
B İ R G Ü V E N L İ K E K İ B İ
O L U Ş T U R

27. H E R G E L E N R A P O R
G Ü V E N L İ K Z A F İ Y E T İ
O L M AYA B İ L İ R
B U N U T E K R A R
D O Ğ R U L AYA B İ L E C E K
“ D Ü Z G Ü N V E E T K İ N ” * B İ R
G Ü V E N L İ K E K İ B İ N O L M A L I

28. G E L E N R A P O R L A R I
A N L AYA C A K ,
D O Ğ R U L AYA C A K V E
G E R E K İ R S E Ç Ö Z Ü M
Y O L L A R I N I
G E L İ Ş T İ R İ C İ L E R E
A N L ATA B İ L E C E K

29. H AT TA B E L K İ B E N Z E R İ
Z A F İ Y E T L E R İ Ç İ N D A H A
D E R İ N L E M E S İ N E
S AV U N M A
M E K A N İ Z M A L A R I
O L U Ş T U R A B İ L E C E K

30. – C H R I S E VA N S , E X - G O O G L E
“It’s a hard measurement to take,
but we’re seeing a fairly sustained
drop-off in the number of
incoming reports we’re receiving
for the Chromium program”

31. W E C A N N O T
S O LV E O U R
P R O B L E M S
W I T H T H E
S A M E
T H I N K I N G W E
U S E D W H E N
W E C R E AT E D
T H E M .
A L B E R T E I N S T E I N

32. K A P S A M V E
K U R A L L A R I N I
İ Y İ B E L İ R L E

33. R A P O R L A R I N S İ Z E N A S I L
G Ö N D E R İ L E C E Ğ İ N İ N V E
A R D I N D A N
A L I N A C A K A K S İ Y O N L A R I N
P L A N I N I YA P

34. Ö D Ü L V E R M E K M E C B U R İ
D E Ğ İ L D İ R
A M A A R A Ş T I R M A C I Y I
D A H A Ç O K M O T İ V E
E D E R

35. A N C A K İ L K B A Ş L A R D A
Ç O K FA Z L A R A P O R
A L A C A Ğ I N I Z İ Ç İ N
D A H A D Ü Ş Ü K M İ K TA R D A
Ö D Ü L V E R M E K YA D A
E Ş A N T İ Y O N V E R M E K
D A H A Ç O K K U L L A N I L A N
B İ R Y O L D U R

36. N E K A D A R Ç O K
G Ü V E N L İ K Z A F İ Y E T İ
O K A D A R Ç O K PA R A

37. N E K A D A R Ç O K
D A H A İ Y İ Z A F İ Y E T
D A H A Ç O K PA R A

38. N E K A D A R Ç O K
S A D A K AT
D A H A D A Ç O K PA R A

39. N E X T
I A G R E E
N E X T
N E X T
F I N I S H

40. T E B R İ K L E R !
B A Ş A R I L I B İ R Ö D Ü L
AV C I L I Ğ I P R O G R A M I
O L U Ş T U R D U N U Z !

41. ¯_( )_/¯
QA

42. – G Ö K M E N G Ü R E Ş Ç İ
gokmen at gokmenguresci.com (PGP ve XMPP)
PGP: 4FE1 1601 142A AE3D D90F 0398 D9AD C085 519C E6C4
OTR: 5AB42FB7 A5946E98 310907D6 D7373BEB CDF74652
Twitter @GokmenGuresci
https://www.gokmenguresci.com