Üniversitenin son yılındaydım ve hem para kazanmak hem de siber güvenlik bilgimi pratiğe dökmek istiyordum. Bug bounty bu ikisini bir arada yapmanın en temiz yoluydu. Ne kadar zor olabileceğini bilmiyordum — öğrendiklerim beklentilerimin çok ötesindeydi.
Başlamadan önce ne biliyordum?
Dürüst olmak gerekirse: teorik bilgim iyiydi ama pratikten yoksundum. Üniversitede ağ güvenliği, web teknolojileri ve Linux dersleri almıştım. SQL injection ve XSS'in ne olduğunu biliyordum ama gerçek bir sistemde nasıl test edileceğini hiç denememiştim.
İlk hafta tamamen okumakla geçti. OWASP Top 10'u baştan sona okudum, PortSwigger Web Security Academy'yi keşfettim, birkaç YouTube kanalına abone oldum. Bunların hepsi iyiydi ama bir yerden başlamak gerekiyordu.
İlk platform: HackerOne
HackerOne'u seçtim çünkü en büyük ve en köklü platform oydu. Kayıt olduktan sonra önce "public" programlara baktım — herkesin katılabildiği, yeni başlayanlar için nispeten uygun programlar.
İlk hatam, büyük şirketleri hedef almaktı. Google, Meta, Apple gibi dev firmaların bug bounty programlarına girip "belki bir şeyler bulurum" diye düşündüm. Tabii ki bulamadım. Bu şirketlerin güvenlik ekipleri ve özel araştırmacıları bu açıkların büyük çoğunluğunu zaten kapatmış.
Doğru yaklaşım: Küçük, yeni büyüyen şirketlerin programlarıyla başla. Scope geniş, rekabet az, açık bulma ihtimali yüksek.
Araçlar
Zamanla yerleştirdiğim temel araç seti şu oldu:
# Recon araçları
subfinder -d hedef.com -o subdomains.txt
httpx -l subdomains.txt -o live.txt
nuclei -l live.txt -t ~/nuclei-templates/
# Web proxy
# Burp Suite Community (Pro sonradan)
# Directory/endpoint keşfi
ffuf -w wordlist.txt -u https://hedef.com/FUZZ
# JavaScript analizi
gau hedef.com | grep "\.js" | sort -u
Burp Suite öğrenmek başlı başına bir süreçti. İlk hafta sadece intercept ve repeater sekmelerini anlamaya çalıştım. Proxy kurulumu, sertifika ekleme, scope ayarlama — bunların hepsi ayrı birer öğrenme adımıydı.
İlk 2 ay: sıfır sonuç
İki ay boyunca düzenli çalışmama rağmen raporlayabileceğim ciddi bir şey bulamadım. Birkaç kez heyecanlandım ama araştırınca ya daha önce raporlanmış ya da "informative" (düşük önem) olarak kapanmıştı.
Bu dönemin en değerli kısmı şuydu: raporları okumak. HackerOne'da "disclosed" etiketli, kamuya açık raporlar var. Başarılı araştırmacıların nasıl düşündüğünü, hangi path'leri takip ettiğini, raporlarını nasıl yazdığını buradan öğrendim.
Tavsiye: Aktif bug aramakla vakit harcadığın kadar, açık raporları analiz etmeye de vakit harca.
İlk ödül: IDOR
- ayın başında bir e-ticaret platformunun programına katıldım. Sipariş geçmişi sayfasını test ederken garip bir şey fark ettim: URL'deki sipariş ID'si değiştiğinde başkasının siparişini görebiliyordum.
GET /orders/12345 → kendi siparişim
GET /orders/12344 → başkasının siparişi (isim, adres, ürünler görünüyor)
Klasik bir IDOR (Insecure Direct Object Reference) açığıydı. Heyecanla raporu yazdım:
- Adımları net anlattım (step by step reproduction)
- Ekran görüntüleri ekledim (PII kısmını sildim)
- Etkiyi açıkladım (kullanıcı verisi ifşası)
- CVSS skorunu hesapladım
4 gün sonra "Triaged" geldi. 10 gün sonra "Resolved" ve $250 ödül.
Para değil, his önemliydi. Gerçek bir açık bulmuştum, gerçek bir firmaya bildirmiştim, onaylanmıştı.
Öğrendiğim dersler
Sabır zorunlu. Bug bounty hızlı para değil. Aylarca somut sonuç görmeden çalışmak gerekebilir.
Recon'a yatırım yap. Saldırı yüzeyi ne kadar iyi anlaşılırsa, açık bulma ihtimali o kadar artar. Aceleyle test etmek yerine hedefi iyice haritalamak daha verimli.
Raporlama en az teknik beceri kadar önemli. Harika bir açık buldunsa ama bunu anlaşılır şekilde raporlayamazsan ödül alamazsın. Net, adım adım, yeniden üretilebilir raporlar yaz.
Topluluktan kopmama. Discord sunucuları, Twitter/X'teki araştırmacılar, writeup blogları — bunlar hem motivasyon hem bilgi kaynağı.
Şu an aylık birkaç küçük ödül alabilir durumdayım. Yüksek kritiklik açıkları hâlâ zor, ama artık yaklaşımı ve metodoloji var. Başlamayı düşünüyorsan, bugün PortSwigger Academy'nin ilk lab'ını yap.