[owasp-tr uygulama güvenliği günü 2016] gökmen güreşçi - web uygulamalarında Ödül...
TRANSCRIPT
W E B U Y G U L A M A L A R I N D A Ö D Ü L AV C I L IĞ I AV G Ö Z Ü N D E N
G Ö K M E N G Ü R EŞÇ İ
G Ö K M E N G Ü R EŞÇ İ
▸ BilgisayarMühendisi@NamıkKemalÜniversitesi
▸ İşletme@AnadoluÜniversitesi
▸ Güvenlikmeraklısı,düşkünü,araştırmacısı
▸ Webpen
▸ DigitalForensics&IncidentResponse(DFIR)
▸ Cypherpunk
H U N T I N G✤ Yandex (x18)
✤ Google (x3)
✤ Zemana
✤ Card.com
✤ Nokia
✤ Microsoft (x4)
✤ Schuberg Philis
✤ Foursquare
✤ eBay
✤ Barracuda Networks
✤ BlackBerry
✤ PayPal
✤Apple
✤Dropbox
✤ StopTheHacker (part of CloudFlare)
✤Atlassian (x2)
✤Mega.NZ (KimDotCom)
✤Whitehat Security
✤ F-Secure
✤Deutsche Telekom
✤Amazon Web Services (AWS)
✤ vb.
Ö D Ü L AV C I L IĞ I N E D İR ?
▸ Bir uygulamadaki zafiyetlerin kapatılmak üzere ilk kez üreticisine / geliştiricisine bildirilmesi ve karşılığında çeşitli ödüllerin kazanılması
▸ Bir tür Responsible Disclosure
▸ Tişört, kupa, suluk, bileklik vb. eşantiyonlar
▸ Para
TA R İH Ç E S İ
• Google: $6M+ (2010)
• HackerOne: $6.6M (2013)
• Facebook: $4.3M+ (2011)
• Bugcrowd: ~$724K (2012)
• Yandex: $120K+ (2011)
• GitHub: ~$100K (2013)
– M I K E R E AV E Y, M I C R O S O F T
“I don’t think that filing and rewarding point issues is a
long-term strategy to protect customers”
B Y FA I L I N G T O P R E PA R E , Y O U A R E P R E PA R I N G T O FA I L
BENJAM IN FRANKL IN
A N Y O N E W H O H A S N E V E R M A D E A M I S TA K E H A S N E V E R T R I E D A N Y T H I N G N E W.
ALBERT E INSTE IN
G Ü V E N L İK Z A F İY E T İ O L M AYA N U Y G U L A M A , S İS T E M Y O K T U R !
S A D E C E H E N Ü Z K EŞF E D İ L M E M İ ŞT İR …
A S H I P I S A LW AY S S A F E AT T H E S H O R E — B U T T H AT I S N O T W H AT I T I S B U I LT F O R .
ALBERT E INSTE IN
P E N T E S T
S A D E C E P E N T E S T E O D A K L A N M A
P E N T E S T İ G E Ç T İM D İY E S E V İN M E
P E N T E S T L E R D E K I S I T L I B İR Z A M A N D İ L İM İN D E K I S I T L I B İR K A P S A M D A K I S I T L I B İR E K İP İ L E Ü R Ü N E , U Y G U L A M AYA O D A K L A N I L I R
Ö D Ü L AV C I L IĞ I N D A İS E S I N I R S I Z Z A M A N V E Ç OĞU N L U K L A G E N İ Ş B İR K A P S A M VA R D I R
Ç Ü N K Ü D Ü N YA N I N H E R H A N G İ B İR Y E R İN D E K İ Y E T E N E K L İ B İR K İ Ş İ U Y G U L A M A N D A H E R K E S İN G Ö Z Ü N D E N K A Ç I R D IĞ I B İR Z A F İY E T İ B U L A B İ L İR
~ 9 AY C V S S > = 6 . 0
P E N T E S T R A P O R U N D A N H ATA L A R I N I ÖĞR E N M E L İS İN V E O N L A R I E N M A K U L * ŞE K İ L D E Ç Ö Z M E L İS İN
S O N AŞA M A D A YA Z I L I M I “ G Ü V E N L İ ” H A L E G E T İR M E K T E N Ç O K B AŞTA N İT İB A R E N S Ü R E Ç L E R İN İ İY İ L EŞT İR M E Y E Ç A L IŞ
FA I L U R E I S S I M P LY T H E O P P O R T U N I T Y T O B E G I N A G A I N , T H I S T I M E M O R E I N T E L L I G E N T LY
HENRY FORD
Y O K S A ;
P E N T E S T L E R İN % 9 0 ’ I B OŞA PA R A H A R C A M A K O L A B İ L İR
Ü Ç Ü N C Ü B İR ŞA H S I N S İS T E M L E R İN İ K U R C A L AYA C AĞ I N A K E N D İN İ A L IŞT I R
– Z A N E L A C K E Y
“It’s the Internet. You’re already getting pentested continuously,
you’re just not receiving the report”
Ö D Ü L AV C I L IĞ I P R O G R A M I B AŞ L AT T IĞ I N D A T R A F İ Ğ İN B İR A N D A Ö N G Ö R E M E D İ Ğ İN ŞE K İ L D E A R TA B İ L İR
B U N U N L A N A S I L B AŞA Ç I K A C AĞ I N I N H A Z I R L IĞ I N I YA P M A L I S I N
“ D Ü Z G Ü N V E E T K İN ” * B İR G Ü V E N L İK E K İB İ O L UŞT U R
H E R G E L E N R A P O R G Ü V E N L İK Z A F İY E T İ O L M AYA B İ L İR
B U N U T E K R A R D OĞR U L AYA B İ L E C E K “ D Ü Z G Ü N V E E T K İN ” * B İR G Ü V E N L İK E K İB İN O L M A L I
G E L E N R A P O R L A R I A N L AYA C A K , D OĞR U L AYA C A K V E G E R E K İR S E Ç Ö Z Ü M Y O L L A R I N I G E L İ ŞT İR İC İ L E R E A N L ATA B İ L E C E K
H AT TA B E L K İ B E N Z E R İ Z A F İY E T L E R İÇ İN D A H A D E R İN L E M E S İN E S AV U N M A M E K A N İZ M A L A R I O L UŞT U R A B İ L E C E K
– C H R I S E VA N S , E X - G O O G L E
“It’s a hard measurement to take, but we’re seeing a fairly sustained
drop-off in the number of incoming reports we’re receiving
for the Chromium program”
W E C A N N O T S O LV E O U R P R O B L E M S W I T H T H E S A M E T H I N K I N G W E U S E D W H E N W E C R E AT E D T H E M .
ALBERT E INSTE IN
K A P S A M V E K U R A L L A R I N I İY İ B E L İR L E
R A P O R L A R I N S İZ E N A S I L G Ö N D E R İ L E C EĞ İN İN V E A R D I N D A N A L I N A C A K A K S İY O N L A R I N P L A N I N I YA P
Ö D Ü L V E R M E K M E C B U R İ D EĞ İ L D İR
A M A A R AŞT I R M A C I Y I D A H A Ç O K M O T İV E E D E R
A N C A K İ L K B AŞ L A R D A Ç O K FA Z L A R A P O R A L A C AĞ I N I Z İÇ İN D A H A D ÜŞÜ K M İK TA R D A Ö D Ü L V E R M E K YA D A EŞA N T İY O N V E R M E K D A H A Ç O K K U L L A N I L A N B İR Y O L D U R
N E K A D A R Ç O K G Ü V E N L İK Z A F İY E T İ O K A D A R Ç O K PA R A
N E K A D A R Ç O K D A H A İY İ Z A F İY E T D A H A Ç O K PA R A
N E K A D A R Ç O K S A D A K AT D A H A D A Ç O K PA R A
N E X T I A G R E E N E X T N E X T F I N I S H
T E B R İK L E R ! B AŞA R I L I B İR Ö D Ü L AV C I L IĞ I P R O G R A M I O L UŞT U R D U N U Z !
¯\_( )_/¯QA
– G Ö K M E N G Ü R EŞÇ İ
gokmen at gokmenguresci.com (PGP ve XMPP) PGP:4FE11601142AAE3DD90F0398D9ADC085519CE6C4
OTR:5AB42FB7A5946E98310907D6D7373BEBCDF74652
Twitter @GokmenGuresci
https://www.gokmenguresci.com