Neler yeni
Kullanıcı:
Bughane Academy

Bughane Academy, bug bounty, web güvenliği ve sızma testi alanında kendini geliştirmek isteyenler için kurulmuş Türkçe odaklı bir topluluktur.

Burada; gerçek güvenlik açıkları, recon ve exploit teknikleri, payload & bypass yöntemleri, araçlar, scriptler ve write-up’lar topluluk tarafından paylaşılır ve tartışılır.

Birlikte öğren, birlikte üret, birlikte güçlen.

Bug Bounty'e başlamalı mıyım ?

M

mr.tobor

Gözlemci
Katılım
7 Şubat 2026
Mesajlar
3
Tepkime puanı
1
Puan
3
Herkese selamlar. Bu aslında uzun zamandır aklımda olan bir soru. Kafamı karıştıran şey ise bug bounty'e başlamak mı yoksa oyun geliştirmek mi sorusu. İki tarafa da ilgim var ve hangisini seçersem diğeri aklımda kalıyor. Birine odaklanıp artık o işe başlamak istiyorum. Oyun geliştirme konusunda tecrübem az çok var fakat bug bounty konusunda çok tecrübeli değilim. Aklıma yatmasının sebebi ise oyun geliştirmeye göre daha az riskli olması. Riski var elbette para kazanılmayabilir ama oyunun verilen emeğin karşılığını vermeme olasılığı daha yüksek (en azından ben öyle düşünüyorum). Tabii çekincelerim de var yanıtlarsanız sevinirim:

1-Bu işe yeni başlamış birisine bu alanda uzmanlaşmış kişilerden fırsat kalıyor mu ?
2-Otomasyon vs. konuşuluyor ve bu benim biraz gözümü korkutuyor, bu konuya açıklık getirir misiniz ? Otomasyon tam olarak ne işe yarıyor, benim haftalarca uğraştığım şeyleri saniyeler içerisinde mi buluyor ?
3-Tahmini olarak ilk açığımı ne zaman bulurum ? Günde 8-10 saat bu işle uğraşacağım.
4-Beklentim ilk 1-2 ay açık bulamamak, sonrasında başlangıç olarak aylık düzenli 400-500 dolar kazanmak, sizce bu beklenti gerçekçi mi ?
5-Eğer bu işe başlamamı tavsiye ediyorsanız, yol haritası nasıl olmalı ? (Ben başlangıç olarak web sitesi geliştirmeyi düşündüm ki geliştirici gözüyle de olaylara bakabileyim, arka planda neler döndüğünü bileyim.)

Eğer başlamamı tavsiye etmiyorsanız da yazabilirsiniz benim için gerçekçilik önemli, teşekkür ederim.
 
1- Bazen o kadar kolay aciklar buluyorsun ki, anlatilmaz yasanir. Ama sonuc olarak cok degerli olabiliyor. Fakat bu her programda olmaz. Bu isin bence kurtlari cok fazla. Duplicate yiyebiliyorsun, N/A (scope'ta degilse- bkz:ss) alabiliyorsun.Zaten en moral bozucu olan out of scope cikmasi :D

2-Otomasyon hicbir ise yaramiyor.. Burp gibi aletler sadece grafik arayuzune indirgenmis aracilar, bunlar senin vaktini kurtariyor. baska bi mevzusu yok. Ben Manuel seviyorum kardes :D

3-valla bunu bilmiyorum benim ilk raporum Nasa'ya hall of fame aldim p5 ten direk. ama gecmisi saymiyorum tabii. annem python ogretmisti cocukken onun baya bir faydasini goruyorum.

4- ilk olarak kazanc yerine reputation kasss..

5-Amatorce bir tavsiye, bugcrowdda bazi dusuk profilli ve ortalama odeme veren firmalari hedef almamaya calis.

son- Oyun yazilimciligi cok nis bir alan. eger ustalasirsan Dora Ozsoy gibi bi adam olur hayatini kurtarirsin benden demesi dasjknmdas


edit: nasada buldugum acigi 5-10 dkda buldum. raporlamasi 2-3 saatimi almisti :D
 

Ekli dosyalar

  • c.jpg
    c.jpg
    15,4 KB · Görüntüleme: 14
  • nasa.jpg
    nasa.jpg
    16,5 KB · Görüntüleme: 14
berkayeacar00' Alıntı:
1- Bazen o kadar kolay aciklar buluyorsun ki, anlatilmaz yasanir. Ama sonuc olarak cok degerli olabiliyor. Fakat bu her programda olmaz. Bu isin bence kurtlari cok fazla. Duplicate yiyebiliyorsun, N/A (scope'ta degilse- bkz:ss) alabiliyorsun.Zaten en moral bozucu olan out of scope cikmasi :D

2-Otomasyon hicbir ise yaramiyor.. Burp gibi aletler sadece grafik arayuzune indirgenmis aracilar, bunlar senin vaktini kurtariyor. baska bi mevzusu yok. Ben Manuel seviyorum kardes :D

3-valla bunu bilmiyorum benim ilk raporum Nasa'ya hall of fame aldim p5 ten direk. ama gecmisi saymiyorum tabii. annem python ogretmisti cocukken onun baya bir faydasini goruyorum.

4- ilk olarak kazanc yerine reputation kasss..

5-Amatorce bir tavsiye, bugcrowdda bazi dusuk profilli ve ortalama odeme veren firmalari hedef almamaya calis.

son- Oyun yazilimciligi cok nis bir alan. eger ustalasirsan Dora Ozsoy gibi bi adam olur hayatini kurtarirsin benden demesi dasjknmdas


edit: nasada buldugum acigi 5-10 dkda buldum. raporlamasi 2-3 saatimi almisti :D
Genişletmek için tıkla ...
aıhsdfasdhfsdf valla hayatımı kurtarırım da biraz şansa da bakıyor o iş o yüzden sıkıntı ama iyi bir oyun + yayımcıyla anlaşırsam bir yolunu bulurum gibi geliyor bakalım
 
mr.tobor' Alıntı:
aıhsdfasdhfsdf valla hayatımı kurtarırım da biraz şansa da bakıyor o iş o yüzden sıkıntı ama iyi bir oyun + yayımcıyla anlaşırsam bir yolunu bulurum gibi geliyor bakalım
Genişletmek için tıkla ...
umarim hocam, karar her zaman senin. baktin olmuyor diger alana gecemem diye dusunme bence. sonucta oyun yapiminda c# c++ gibi dillerede hakim olacaksin. bence bunlar pentesting olarak gectim, seni normal bir yazilimda bile cok one atar. Birde oyun yapiminda cok istikrarli kisiler yok, bence bir firsat ama yapmayi sevmek ilgilenmek lazim. ben oyun oynamadigim icin hic merak bile etmedim valla.. :D
 
mr.tobor' Alıntı:
Herkese selamlar. Bu aslında uzun zamandır aklımda olan bir soru. Kafamı karıştıran şey ise bug bounty'e başlamak mı yoksa oyun geliştirmek mi sorusu. İki tarafa da ilgim var ve hangisini seçersem diğeri aklımda kalıyor. Birine odaklanıp artık o işe başlamak istiyorum. Oyun geliştirme konusunda tecrübem az çok var fakat bug bounty konusunda çok tecrübeli değilim. Aklıma yatmasının sebebi ise oyun geliştirmeye göre daha az riskli olması. Riski var elbette para kazanılmayabilir ama oyunun verilen emeğin karşılığını vermeme olasılığı daha yüksek (en azından ben öyle düşünüyorum). Tabii çekincelerim de var yanıtlarsanız sevinirim:

1-Bu işe yeni başlamış birisine bu alanda uzmanlaşmış kişilerden fırsat kalıyor mu ?
2-Otomasyon vs. konuşuluyor ve bu benim biraz gözümü korkutuyor, bu konuya açıklık getirir misiniz ? Otomasyon tam olarak ne işe yarıyor, benim haftalarca uğraştığım şeyleri saniyeler içerisinde mi buluyor ?
3-Tahmini olarak ilk açığımı ne zaman bulurum ? Günde 8-10 saat bu işle uğraşacağım.
4-Beklentim ilk 1-2 ay açık bulamamak, sonrasında başlangıç olarak aylık düzenli 400-500 dolar kazanmak, sizce bu beklenti gerçekçi mi ?
5-Eğer bu işe başlamamı tavsiye ediyorsanız, yol haritası nasıl olmalı ? (Ben başlangıç olarak web sitesi geliştirmeyi düşündüm ki geliştirici gözüyle de olaylara bakabileyim, arka planda neler döndüğünü bileyim.)

Eğer başlamamı tavsiye etmiyorsanız da yazabilirsiniz benim için gerçekçilik önemli, teşekkür ederim.
Genişletmek için tıkla ...
Hocam bug bounty mi oyun sektörü mü bence kesinlikle bug bounty.
Çıraklar ustayı geçebilir ve bu alanda artık bughane academy gibi topluluklar sayesinde türkçe kaynak ve video eğitimleri çoğalmaya başladı o yüzden sizde açık bulabilirsiniz. Otomasyoncular false positiveler yüzünden çok daha vakit kaybedebiliyorlar. Bence manuel + otomasyon ilerleyenler kazanacak. Ne zaman açığı bulacağınızı bilemezsin bazen bir hedefte aylarca kalıp hiç bişey bulamayabiliyorsunuz. Bug bounty de düzenlilik yoktur. O yüzden her ay şu kadar kazanacağım demek yanlıştır.
 
Bu arada webin çalışma mantığını iyi derece bilmeniz aşırı faydanıza olur
 
otomasyon kısmına cevap vereyim otomasyon sihir değil sadece buraya bak diyen bir elek gibi düşünebilirsin. bug’u yine sen buluyorsun. Millet sanıyorki adam tek tuşla oturduğu yerden kazanıyor. otomasyonların verdiği çıkları incelemek test etmek ne kadar vakit alıyor hele ki bir false positive kısmı insanı hayatta soğutuyor :D oto + manuel ama beni bilenler bilir genel olarak maneul ilerlerim yavaş ilerlenir ama çoğu kişinin farketmediği noktayı yakalarsın
 
Cevaplar için teşekkür ederim sanırım şansımı deneyeceğim
 
uzmanlardan tabiki de fırsat kalıyor. günde 8-10 saat ile içinden geçersiniz tabir yerindeyse. yeterki odaklanın. kimse anasının karnın öğrenmiyor. çetin hocamın dediği gibi otomasyondan çıkan sonuçları incelemek çok muhim. bu arada neden bir alanı illa seçmeniz lazım anlamadım. iki alanda da geliştirin kendinizi bence. ama oyun mu bug bounty mi kesinlikle bugbounty. günde 8-10 saat ile bir ayda bulursunuz açığı hocam. net
 
Otomasyon konusuna noktayı koymak istiyorum. :)

Acunetix, Netsparker, Burp Suite Pro vb. birçok otomasyon aracıyla tarama yaparsanız bir sonuç alamazsınız. Bunun birkaç nedeni var:

  1. Sizin kullandığınız bu araçları zaten binlerce insan kullanıyor ve araçlar sadece çok bilindik güvenlik açıklarını bulabiliyor.
  2. Bu araçlar çoğu zaman "false-positive" dediğimiz sonucu veriyor. Aslında bir açık yok ama "burada bu açık var" diyerek sizi yanıltıyor.
  3. Bu araçlar çok agresif taramalar yaptığı için, kullanırken WAF'lar durumu fark edip direkt IP ban atıyor.
Bir de otomasyon ile gerçek anlamda güvenlik açığı bulma işi var; işte örnekleri:

  1. todayisnew adlı bir araştırmacı (eskiler çok iyi bilir) HackerOne ve Bugcrowd'da bir ara birinciydi. Bu abimiz full otomasyon kullanıyordu ama kullandığı otomasyonu kendisi yazmıştı. Hatta yanlış hatırlamıyorsam Java ile geliştirmiş, kendi evine server kurmuştu resmen. Eğer kendi otomasyon aracınızı yazarsanız gerçekten de başarılı olma olasılığınız var.
  2. Artık yapay zeka çağındayız ve bunu Bug Bounty için kullanmak bazen bana mantıklı geliyor. Mesela Strix adlı bir araç var ve yapay zeka destekli tarama yapıyor. Tabii burada önemli olan şey kullanacağınız API. Bugün GPT-5 ile DeepSeek-Chat API'si arasında dağlar kadar fark var ve bir o kadar da ücret farkı var.
Tabii otomasyon kullansanız bile sonuç olarak manuel test edip doğrulamanız lazım. Önce işi öğrenin, sonra belki otomasyona geçersiniz.
 
caneraktas1337' Alıntı:
Otomasyon konusuna noktayı koymak istiyorum. :)

Acunetix, Netsparker, Burp Suite Pro vb. birçok otomasyon aracıyla tarama yaparsanız bir sonuç alamazsınız. Bunun birkaç nedeni var:

  1. Sizin kullandığınız bu araçları zaten binlerce insan kullanıyor ve araçlar sadece çok bilindik güvenlik açıklarını bulabiliyor.
  2. Bu araçlar çoğu zaman "false-positive" dediğimiz sonucu veriyor. Aslında bir açık yok ama "burada bu açık var" diyerek sizi yanıltıyor.
  3. Bu araçlar çok agresif taramalar yaptığı için, kullanırken WAF'lar durumu fark edip direkt IP ban atıyor.
Bir de otomasyon ile gerçek anlamda güvenlik açığı bulma işi var; işte örnekleri:

  1. todayisnew adlı bir araştırmacı (eskiler çok iyi bilir) HackerOne ve Bugcrowd'da bir ara birinciydi. Bu abimiz full otomasyon kullanıyordu ama kullandığı otomasyonu kendisi yazmıştı. Hatta yanlış hatırlamıyorsam Java ile geliştirmiş, kendi evine server kurmuştu resmen. Eğer kendi otomasyon aracınızı yazarsanız gerçekten de başarılı olma olasılığınız var.
  2. Artık yapay zeka çağındayız ve bunu Bug Bounty için kullanmak bazen bana mantıklı geliyor. Mesela Strix adlı bir araç var ve yapay zeka destekli tarama yapıyor. Tabii burada önemli olan şey kullanacağınız API. Bugün GPT-5 ile DeepSeek-Chat API'si arasında dağlar kadar fark var ve bir o kadar da ücret farkı var.
Tabii otomasyon kullansanız bile sonuç olarak manuel test edip doğrulamanız lazım. Önce işi öğrenin, sonra belki otomasyona geçersiniz
Genişletmek için tıkla ...
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst