Kontenjan Sınırlı · 30 Katılımcı
Bughane Academy

LIVE PENTEST
CHALLENGE 2026

"Takım Ruhuyla Avla. Sorumlu Şekilde Bildir."

Kapalı ve sınırlı katılımlı, takım halinde deneyimlenen gerçek bir canlı sızma testi etkinliği. Hedef yalnızca etkinlik günü saat 09:00'da açıklanır — herkes aynı anda, eşit şartlarda başlar.

30
Katılımcı
6×5
Takım × Kişi
09:00
Hedef Açıklanır
23:59
Av Biter
01 — Bu Etkinlik Nedir

Saldırı organizasyonu değil, sorumlu araştırma deneyimi.

Bughane Academy Live Pentest Challenge, Türkiye'de etik hackerlık ve bug bounty kültürünü güçlendirme vizyonunun uygulamalı bir parçası. Amaç sadece açık bulmak değil — birlikte öğrenmek, takım disiplini kazanmak ve doğru rapor yazmak.

// 01

Gerçek Hedef

Açık bir VDP veya bug bounty programı üzerinde, gerçek kurallarla, gerçek kapsamda test yapılır.

// 02

Takım Ruhu

5 kişilik takımlar; recon, web/API test, PoC ve raporlama rolleri paylaşılarak birlikte çalışılır.

// 03

Sorumlu Bildirim

Açık bulunsa bile kapatılmadan hiçbir teknik detay paylaşılmaz — disclosure disiplini öğretilir.

02 — Etkinlik Günü Akışı

Saat saat: hedef açıklamasından toplantıya.

CMT 08:30
Katılımcılar kanallarda hazır
Bağlantı, ekip ve iletişim kontrolü.
CMT 09:00
Hedef açıklanır
Kapsam, kapsam dışı alanlar ve yasaklı testler tüm katılımcılara aynı anda paylaşılır.
CMT 09:15
Canlı av başlar
Takımlar kendi özel kanallarına geçer.
CMT 12:00 / 18:00
Ara durum kontrolleri
Genel ilerleme ve hız/kapsam hatırlatmaları — teknik detay paylaşılmaz.
CMT 23:59
Test süreci biter
Yeni test yapılmaz; yalnızca rapor düzenleme devam edebilir.
PAZ 14:00
Kapalı değerlendirme toplantısı
Takım sözcüleri metodoloji ve öğrenilen dersleri paylaşır.
03 — Takım Yapısı

5 kişi, tek sözcü, ortak sorumluluk.

5

Takım Sözcüsü Belirler

Organizasyonla resmi iletişimi sağlar, rapor sürecini koordine eder, Pazar toplantısında takımı temsil eder. Etkinlik başladıktan sonra takım değişikliği yapılamaz.

1st

Aynı Açık Kuralı

Aynı açığı birden fazla takım bulursa, ilk doğrulayıp zaman damgalı bildiren takım öncelikli kabul edilir.

04 — İzinli / Yasaklı

Amaç istismar değil, kontrollü doğrulama.

✓ İzinli olabilecek testler

  • Pasif recon ve kapsam içi yüzey haritalama
  • Düşük hızda, kontrollü endpoint keşfi
  • Kendi test hesabınla yetkilendirme/iş mantığı kontrolleri
  • Zararsız, minimum payload ile XSS doğrulama
  • Burp Suite, Postman, curl gibi araçlarla manuel doğrulama

✕ Kesin yasaklar

  • DDoS/DoS veya servis kesintisine yol açabilecek testler
  • Brute force, credential stuffing, OTP deneme
  • Veritabanı dump, toplu veri indirme/kopyalama
  • Shell alma, backdoor bırakma, zararlı dosya yükleme
  • Sosyal mühendislik, phishing, spam/flood
05 — Kimler Başvurabilir

Yeni başlayan da, deneyimli de — denge gözetilir.

KontenjanMaksimum 30 kişi, 6 takım × 5 kişi
Yaş18 yaş üstü önerilir; 18 yaş altı için veli/vasi onayı değerlendirilir
AktiflikCumartesi 09:00–23:59 ve Pazar 14:00 uygunluğu aranır
Etik UyumGizlilik ve sorumlu bildirim kurallarını kabul etmek zorunlu
Takım DengesiYeni başlayan, orta seviye ve deneyimli katılımcılar dengeli dağıtılır
06 — Bounty & Sertifika

Dürüst beklenti: garanti yok, süreç var.

Bughane Academy bounty, ödül veya Hall of Fame garantisi vermez. Bu kararlar tamamen hedef kurumun veya bug bounty platformunun takdirindedir — biz süreç ve raporlama şablonu desteği sağlarız.

Aktif katılımcılara katılım sertifikası, valid rapor/Hall of Fame gibi doğrulanmış başarılarda başarı sertifikası düzenlenir. Bounty gelirse paylaşımı takım içi anlaşmaya bağlıdır.

07 — Başvuru

Hazırsan, formu doldur.

🔒
Başvuru formu kilitli.

Bughane Academy'ye başvurmadan önce meraklılığını kanıtla — küçük bir davet kodu bulmacası çözmen gerekiyor.

Kilidi Açmaya Git →
08 — Sıkça Sorulan Sorular

Aklında soru işareti kalmasın.

Başvurudan sonrasına kadar gelebilecek hemen her soruyu burada yanıtladık.

Hedef & Başvuru

Etkinliğin hedefi ne zaman açıklanacak?
Yalnızca Bughane Academy tarafından, etkinlik günü Cumartesi saat 09:00'da, tüm katılımcılarla aynı anda.
Hedef neden önceden açıklanmıyor?
Adil rekabet, eşit başlangıç ve bilgi sızıntısını önlemek için hedef önceden paylaşılmaz.
Hedefi tahmin edip önceden test yapabilir miyim?
Hayır. Hedef açıklanmadan önce herhangi bir sistemi etkinlik adına test etmek yasaktır.
Başvuru yaptım, kesin kabul edildim mi?
Hayır. Başvuru formunu doldurmak kesin kabul anlamına gelmez — kontenjan sınırlı olduğu için organizasyon ekibi değerlendirme yapar.
Bughane Academy hedef kuruma önceden bilgi verecek mi?
Hedefin program kuralları ve hukuki durumu ayrıca değerlendirilir. Gerekirse ilgili kurumla iletişim kurulabilir.
Az ya da çok başvuru gelirse süre kısalır/uzar mı?
Hayır. Başvuru sayısı ne olursa olsun (10 da olsa 1000 de olsa) form 18 Temmuz Cumartesi günü kapanana kadar açık kalır, süre erken kapatılmaz veya uzatılmaz.
Sonucu ne zaman öğreneceğim?
Başvurular 18 Temmuz Cumartesi kapanır. Değerlendirmenin ardından 25 Temmuz Cumartesi günü, olumlu ya da olumsuz fark etmeksizin başvuruda kullandığın e-posta adresine dönüş yapılır.
Etkinlik tamamen online mı yürütülecek?
Evet. Başvurudan etkinlik gününe kadar tüm koordinasyon Discord/Telegram üzerinden yürütülür; fiziksel bir katılım yeri yoktur.

Takım & Katılım

Maksimum kaç kişi alınacak?
Maksimum 30 kişi alınacaktır.
Takımlar kaç kişilik olacak?
Her takım 5 kişiden oluşacaktır.
Takımımı kendim seçebilir miyim?
Organizasyon ekibi takım dengesini gözeterek takımları belirleyebilir. Özel istekler garanti edilmez.
Takım sözcüsü ne yapacak?
Takımı temsil eder, rapor sürecini koordine eder ve Pazar toplantısında takımı anlatır.
Aynı açığı iki takım bulursa ne olur?
Bulguyu ilk doğrulayan ve organizasyon ekibine zaman damgalı şekilde bildiren takım öncelikli kabul edilir.
Bir takım üyesi etkinliği terk ederse ne olur?
Etkinlik başladıktan sonra ayrılan veya aktif katılım göstermeyen kişi, takımın sonraki başarıları üzerinde hak iddia edemez.
Yeni başlayanlar katılabilir mi?
Evet. Takım dengesi gözetilerek yeni başlayan katılımcılar da dahil edilir.

Kurallar & Araçlar

Hangi araçları kullanabiliriz?
Burp Suite, httpx, subfinder, katana, gau, waybackurls, ffuf, dirsearch, Postman gibi araçlar düşük etkili ve kontrollü kullanılabilir.
Nuclei kullanabilir miyiz?
Evet, ancak destructive veya agresif template kullanmak yasaktır. İstek hızı düşük tutulmalıdır.
Brute force serbest mi?
Hayır. Brute force, credential stuffing ve parola tahmini yasaktır.
DoS testi yapılabilir mi?
Hayır. DoS/DDoS ve servis kesintisi doğurabilecek testler kesinlikle yasaktır.
Gerçek kullanıcı verisi görürsek ne yapmalıyız?
Veriyi indirmeden, kopyalamadan ve yaymadan testi durdurmalı, minimum kanıtla durumu takım sözcüsü ve organizasyon ekibine bildirmelisiniz.

Ödül, Sertifika & Paylaşım

Bounty gelirse para nasıl paylaşılacak?
Bounty paylaşımı takım içi anlaşmaya bağlıdır. Bughane Academy para dağıtımı veya maddi uyuşmazlıklarda taraf değildir.
Hall of Fame olursa takım adı mı yazılacak?
İlgili kurum izin verirse takım adı belirtilebilir. Kurum izin vermezse Bughane Academy kendi iç Hall of Fame alanında takım başarısını duyurabilir.
Etkinlik sonunda sertifika verilecek mi?
Aktif katılımcılara katılım sertifikası verilebilir. Valid rapor veya benzeri başarı durumlarında başarı sertifikası düzenlenebilir.
Katılım Sertifikası ile Başarı Sertifikası arasındaki fark ne?
Etkinliğe aktif katılım gösteren herkese Katılım Sertifikası verilir. En az bir geçerli (valid) güvenlik açığı bulan katılımcılara/takımlara ayrıca Başarı Sertifikası düzenlenir.
Sertifikamın gerçek olup olmadığını nasıl doğrularım?
Her sertifikanın üzerinde benzersiz bir doğrulama kodu ve QR kod bulunur. bughaneacademy.com/basvuru/sertifika.php adresinden kodu girerek veya QR'ı okutarak herkes doğrulayabilir.
Açık detaylarını Pazar toplantısında anlatabilir miyiz?
Açık kapatılmadıysa veya kurum izin vermediyse teknik detay paylaşılmamalıdır. Yalnızca genel metodoloji anlatılmalıdır.
Ekran görüntüsü paylaşabilir miyim?
Hayır. Açık detayları ve PoC ekran görüntüleri gizlidir.
LinkedIn'de paylaşım yapabilir miyim?
Genel katılım paylaşımı yapılabilir; ancak hedef, açık detayı, PoC, endpoint veya rapor içeriği paylaşılamaz.
Etkinlik sonrası blog yazısı yazabilir miyim?
Sadece ilgili kurumun disclosure politikası izin verirse ve açık kapatıldıktan sonra yazılabilir. Teknik detay paylaşımı aceleye getirilmemelidir.

Rapor & Sonrası

Raporu kim gönderecek?
Takımın belirlediği sözcü veya temsilci göndermelidir. Raporda takım adı ve üyeleri belirtilmelidir.
Etkinlik Bughane Academy adına mı rapor gönderecek?
Hayır. Rapor takım temsilcisi üzerinden gönderilebilir. Bughane Academy organizasyon sağlayıcıdır.
Toplantı kayıt altına alınacak mı?
Kayıt alınacaksa katılımcılar önceden bilgilendirilir. Katılımcıların izinsiz kayıt alması yasaktır.
Kuralları ihlal edersem ne olur?
Etkinlikten çıkarılabilirsin, sonraki etkinliklere kabul edilmeyebilirsin ve doğabilecek hukuki sorumluluklardan bizzat sorumlu olursun.
Bu etkinliğin ana felsefesi nedir?
Takım ruhuyla öğrenmek, etik sınırlar içinde avlanmak ve sorumlu şekilde bildirmektir.