Savunma Bakanlığı, 21 Kasım 2016’da Hackerone’da bir hata ödül programı başlattı. Bu, araştırmacıların herhangi bir askeri alandaki, *.mil ve DoD bağlantılı IP’lerdeki güvenlik açıklarını da rapor etmelerine olanak tanıdı. Program başlatıldığında, bu programı Savunma Bakanlığı’nın Web Sitesinin güvenliğine yardımcı olmak için bir fırsat olarak ve aynı zamanda kendi becerilerimi öğrenme ve geliştirme şansı olarak kullanmak istedim.
Bu yazının amacı, Savunma Bakanlığı programına veya kendi hata ödülü avınıza bakmayı planlıyorsanız uygulanabilecek benzersiz ve yaygın güvenlik açıklarını ve Savunma Bakanlığı programındaki bu etkileşimden öğrendiklerimi vurgulamaktır. Şu anda programın liderlik tablosunda 8. sırada yer alıyorum ve raporlarımı güvenlik açıklarını açıklayan uygun bir özet ile açıklayacağım
Programın kapsamı oldukça geniş olduğundan, güvenlik açıklarını aramak için bir web sitesi veya alt alan adı seçmek zor olabilir. Şanslıyız ki, bu aramayı basitleştirmek için Google dork’u kullanabiliriz. Aşağıdaki google dork ile, seçtiğimiz web sitesinin tamamında ve alt alan adında ilginç dosyalar veya potansiyel olarak savunmasız uç noktalar için arama yapabiliriz, site:*.*.mil veya site:*.website.mil.
Google Dorks’un ne olduğunu bilmiyorsanız işte bir TL;DR, neyi arayacağımızı belirtmek için operatörleri kullanabiliriz, aramamız için bir alan adı belirtebiliriz…