Amelia Coen | 12 Eylül 2025, 12:21 UTC
Tam zamanlı bağımsız bir güvenlik araştırmacısı ve böcek Bounty Hunter olan Arman S., yüksek değerli güvenlik açıklarını bulmak ve bildirmek için börek süiti profesyonel ve hackerone’u nasıl kullandığını ve bunun ona binlerce dolarlık ödüllerde nasıl güvence altına aldığını anlattı.
Burp Suite nedir? Ve hackerone nedir?
- Burp Suite Professional Portswigger tarafından geliştirilen ve güvenlik uzmanları tarafından HTTP isteklerini gerçek zamanlı olarak kesmek, manipüle etmek ve analiz etmek için kullanılan önde gelen bir web güvenlik açığı tarayıcısı ve proxy aracıdır. Genişletilebilirliği ve güçlü özellikleri, web uygulama testi için vazgeçilmez hale getirir.
- Hackerone parasal ödüller karşılığında güvenlik sorunlarını bildirmek için etik bilgisayar korsanlarını kuruluşlarla birleştiren önde gelen bir böcek platformudur. Yapılandırılmış programlar, kapsam tanımları ve arabuluculuk hizmetleri sunar.
Bu araçlar birlikte, güvenlik araştırmacılarını verimli ve sorumlu bir şekilde çalışmaya teşvik eder.
Hacker olarak başlamak
Sektöre başlayan Arman, Wi-Fi Networks’ü deneyerek ve eğlence için kimlik avı ile 16 yaşında hacklemeye başladı. Twitter’da böcek ödüllerini keşfettikten sonra etik hacklemeye geçti ve profesyonel potansiyelini hızla fark etti.
Üniversitede tam zamanlı Bug Bountes yapmaya başladım, okulu bıraktım ve asla geriye bakmadım. İyi para kazanıyordum, hızlı öğreniyordum ve onu seviyordum.
Burp Suite her avla nasıl ayrılmazdır?
Size karşı dürüst olmama izin verin, eğer bir hacker size busu süit kullanmadığını söylüyorsa, o bir hacker değil. Web uygulamaları için bir mikroskop gibi.
Hackerone programlarına katılırken, Burp Suite gerekli hale gelir:
- Arman, programın hackerone üzerindeki kapsamında sağlanan Burp proje dosyasını indirerek başlar.
- Tüm trafiğini, istekleri kesmek, uç noktaları keşfetmek ve uygulamadaki gizli davranışları ortaya çıkarmak için kullanıyor.
- JS Miner ve HTTP isteği kaçakçısı gibi geğirme uzantılarıyla, test yeteneklerini otomatikleştirebilir ve genişletebilir.
Time Burp’un tarayıcının asla göstermediği arka uç isteklerini yakalayarak beni kurtardığına inanmazsınız. Gerçek hataları böyle buluyorsunuz.
Hackerone, Arman’ın etkili, kapsam içi hedeflere odaklanması için platform sağlar. Ayrıca iletişimi ve triyajı da basitleştirir:
Her şey çok sistematik: hatayı bulun, bildirin ve gerekirse açık arabuluculuk. HackerOne olmadan, böcek ödül ekosisteminin de çalışacağını sanmıyorum.
Bu kombinasyon ile Arman büyük kazançlar ve gerçek sonuçlar gördü. Arman’ın en önemli galibiyetlerinden biri olan 38.000 dolarlık bir hata ödül, Burp’un HTTP isteği kaçakçısı uzantısı kullanılarak ortaya çıktı:
Zoom’un böcek ödül programında bir API test ediyordum ve geğirme olası kaçakçılığı işaretledi. Bu kurşun 38 bin dolarlık bir ödül haline geldi.
Bu kombinasyon neden çalışıyor
- Geğirme süiti Bilgisayar korsanlarına ayrıntılı kontrol, otomasyon ve gözlemlenebilirlik sağlar.
- Hackerone Keşiften Ödül’e kadar süreci kolaylaştırır.
- Burp’un proje dosyaları rapor gönderirken tekrarlanabilirlik ve kanıt sağlar.
Bazen Burp Proje dosyasını doğrudan triyaj ekibine gönderirim. Hatanın belirli bir zamanda var olduğunu kanıtlar.
Arman, başarısının çoğunu Web Güvenlik Akademisi, James Kettle’ın araştırmasına ve daha geniş topluluğa veriyor.
Laboratuvarları çözmek, saldırıları derinden anlamama yardımcı oldu. Vahşi bir şey gördüğümde, ‘Oh, bunu Portswigger’da gördüm.
Ayrıca Portswigger’ın desteğinin ve anlaşmazlık topluluğunun faydasını da takdir ediyor.
Yeni bilgisayar korsanları için tavsiyeler
Portswigger Labs ve Hackerone CTFS ile başlayın. XSS gibi bir tür güvenlik açığı seçin ve derinleşin. Araçları öğrenin, laboratuvarları uygulayın ve araştırmayı takip edin.
Arman, Burp Suite ve Hackerone isteğe bağlı değil, temeller.
Burp Suite, aktif olarak kullanmadığımda bile arka planda çalışır. Bu benim kanıtım, araç setim, güvenlik ağım.
Böcek ödül avı, birbirini tamamlayan araçlarla güçlendirildiğinde daha erişilebilir ve etkilidir. Burp Suite Professional ve Hackerone, bir etki yaratmak, beceriler geliştirmek ve önemli ödüller kazanmak isteyen etik bir hacker için güçlü bir ikili oluşturur.
Hacking için ödüllendirin
Hackerone, araştırmacıları geçerli güvenlik açıkları için ödüllendirmek için tasarlanmış yeni, başarı tabanlı bir sistem olan Hacker Milestone Rewards programını başlattı.
Bu program, Hackerone’un yalnızca eski itibar modelinin yerini alır ve araştırmacı katkılarını tanımak için daha kapsayıcı, sonuç odaklı bir yaklaşım getirir. HackerOne ile bu programı hayata geçirmekten gurur duyuyoruz, bilgisayar korsanları artık Ücretsiz Burp Suite Professional Lisansını ödüllendirme fırsatına sahip.
Hacker Milestone Rewards programı hakkında daha fazla bilgi edinin.
Başlamaya hazır mısınız?
Hackerone hakkında daha fazla bilgi edinin veya Portswigger Discord’daki diğer hata avcılarıyla konuşmaya katılın.
