CyberFlow Logo CyberFlow BLOG
Bug Bounty Temelleri Ve Kesif

Program kurallarindan calisma plani cikarma

✍️ Ahmet BİRKAN 📂 Bug Bounty Temelleri Ve Kesif

Program kurallarindan calisma plani cikarma konusunu bug bounty baglaminda ogrenin. Araclar, tipik akis, yorumlama mantigi ve raporlama disiplini bu icerikte bir araya getirildi.

Program kurallarindan calisma plani cikarma

Program kurallarindan calisma plani cikarma, bug bounty calismasinda tek bir komutu ezberlemekten daha fazlasini ifade eder. Bu konu, yuzey secimi, dogrulama mantigi, teknik not duzeni ve triage kalitesi gibi birden fazla parcayi birlikte dusunmeyi gerektirir.

Bug bounty tarafinda asıl fark yaratan sey, buldugun teknik ayrintiyi hangi baglamda yorumladigindir. Bu nedenle bu icerik yalnizca "ne kullanilir" sorusuna degil, "neden boyle bakilir" sorusuna da cevap verir.

Bu Konu Bug Bounty'de Nereye Oturur?

Bu baslik, Program Scope ve Platform Mantigi alaninin icinde yer alir. Yani amac yalnizca bir araci calistirmak degil; ilgili davranisi gorunur hale getirip notlanabilir, tekrar edilebilir ve raporlanabilir bir sonuca baglamaktir.

Ozellikle laboratuvar ve kontrollu hedeflerde, ayni veri noktasini birden fazla kaynaktan okumak kaliteyi artirir. Bu da daha temiz notlar, daha guclu kanitlar ve daha hizli triage anlamina gelir.

Temel Kavramlar

  • scope kurallari
  • safe harbor
  • severity beklentisi
  • duplicate politikasi
  • asset etiketi
  • program brief

Bu kavramlar birlikte dusunuldugunde konu daha net oturur. Ornegin bir response farki tek basina ilginç olabilir; ancak rol baglami, oturum durumu veya scope siniri olmadan dogru yorum yapmak zordur.

Kullanilan Araclar ve Komutlar

  • grep
  • jq
  • sort -u
  • Markdown notlari

Bu araclarin hepsi her durumda gerekli degildir. Ama iyi bir bug bounty akisi genellikle ham veriyi gormek, ilgili alani ayiklamak, notu duzenlemek ve son olarak raporla baglamak adimlarindan gecer.

grep example.com scope.txt

sort -u targets.txt

jq .targets policy.json

Bu komutlarin ortak noktasi, davranisi gorunur hale getirmeleridir. Yani burada amac "saldirmak" degil; response, baslik, veri modeli, hedef listesi veya not sistemi gibi parcalari kontrollu bicimde okumaktir.

Tipik Analiz Akisi

  1. Konuya ait ilk veri noktasini sec
  2. Davranisi tekrar edilebilir bicimde gorunur hale getir
  3. Ilgili alanlari ayikla ve farklari not et
  4. Baglami rol, oturum, hedef veya kapsam bilgisiyle tamamla
  5. Sonucu triage-ready bir not ya da rapor parcasi haline getir

Bu akis tekrar tekrar kullanildiginda hem hiz hem kalite artar. Bug bounty'de surekli yeni hedef gormek kadar, ayni hedefte düzenli calisabilmek de degerlidir.

Sik Yapilan Hatalar

  • Komutu calistirip sonucu notlamamak
  • Beklenen davranisi yazmadan gozlenen farki raporlamak
  • Scope veya rol baglamini atlamak
  • Kaniti daginik dosyalarda birakmak
  • Etkiyi teknik detaydan kopuk anlatmak

Bu hatalar genelde bulgunun kendisinden degil, anlatim ve kayit eksikliginden sorun cikarir. Iyi bug bounty pratiği, teknik bulgu kadar sunum kalitesine de dayanir.

Raporlama ve Yorumlama Boyutu

Program kurallarindan calisma plani cikarma gibi konularda rapor kalitesi, teknik davranisin hangi baglamda gosterildigine baglidir. Bu nedenle iyi bir not veya blog kaydi su sorulari cevaplamalidir:

  • Hangi hedef ya da akis incelendi?
  • Hangi arac veya komutla gorunurluk saglandi?
  • Beklenen davranis neydi?
  • Gozlenen fark neden anlamli?
  • Hangi kanit dosyasi bu sonucu destekliyor?

Bu bes soruya net cevap veren calismalar, triage ve retest asamalarinda belirgin avantaj saglar.

Sonuc

Program kurallarindan calisma plani cikarma, bug bounty calismasinda arac bilgisini analiz disipliniyle birlestiren basliklardan biridir. Dogru kullanildiginda sadece teknik bir not degil, tekrar edilebilir bir calisma metodolojisi uretir.

Bu yuzden bu konuya yalnizca "hangi komut kullanilir" diye degil, "hangi baglam nasil belgelenir" diye bakmak gerekir. Kaliteli bug bounty akisi tam da bu noktada ortaya cikar.