- Katılım
- 1 Ocak 2026
- Mesajlar
- 51
- Tepkime puanı
- 46
- Puan
- 18
Bu bölüm, yetkilendirme hataları (Broken Access Control) ve iş mantığı (Business Logic) zafiyetlerinin ele alındığı alandır.
Amaç; teknik açıkların ötesine geçerek, sistemlerin nasıl yanlış tasarlandığını veya yanlış kurgulandığını anlamaya yönelik bakış açısı kazandırmaktır.
Bu nedenle paylaşımların analitik, sorumlu ve senaryo odaklı olması beklenir.
Aşağıdaki kurallara uyulması zorunludur.
Amaç; teknik açıkların ötesine geçerek, sistemlerin nasıl yanlış tasarlandığını veya yanlış kurgulandığını anlamaya yönelik bakış açısı kazandırmaktır.
Bu nedenle paylaşımların analitik, sorumlu ve senaryo odaklı olması beklenir.
Aşağıdaki kurallara uyulması zorunludur.
Yetkilendirme ve iş mantığı odaklı içerikler paylaşılmalıdır
Bu bölümde:
Broken Access Control
IDOR senaryoları
Rol ve yetki hataları
İş akışı hataları
Mantıksal bypass senaryoları
gibi konular ele alınmalıdır.
Genel web zafiyetleri için ilgili alt bölümler kullanılmalıdır.
Broken Access Control
IDOR senaryoları
Rol ve yetki hataları
İş akışı hataları
Mantıksal bypass senaryoları
gibi konular ele alınmalıdır.
Genel web zafiyetleri için ilgili alt bölümler kullanılmalıdır.
Gerçek senaryolara dayalı anlatım beklenir
Paylaşımlar mümkün olduğunca:
Gerçek sistemlerde karşılaşılmış
Bug bounty veya VDP kapsamında test edilmiş
Mantıksal bir akışa oturan
senaryolara dayanmalıdır.
Varsayımsal veya temelsiz örnekler uygun değildir.
Gerçek sistemlerde karşılaşılmış
Bug bounty veya VDP kapsamında test edilmiş
Mantıksal bir akışa oturan
senaryolara dayanmalıdır.
Varsayımsal veya temelsiz örnekler uygun değildir.
Adım adım suistimal anlatımı yasaktır
Logic bug’lar anlatılabilir; ancak:
Canlı sistemleri birebir taklit eden adım adım suistimal rehberleri
Net istismar sıraları
Otomatikleştirilebilir saldırı senaryoları
paylaşılmamalıdır.
Odak nokta nasıl fark edildiği ve neden oluştuğu olmalıdır.
Canlı sistemleri birebir taklit eden adım adım suistimal rehberleri
Net istismar sıraları
Otomatikleştirilebilir saldırı senaryoları
paylaşılmamalıdır.
Odak nokta nasıl fark edildiği ve neden oluştuğu olmalıdır.
Yetkisiz ve izinsiz testlere ait içerikler yasaktır
Paylaşılan çalışmalar:
Bug bounty programı
VDP kapsamı
Açık izin verilmiş hedefler
üzerinde gerçekleştirilmiş olmalıdır.
İzinsiz testlere ait içerikler kesinlikle paylaşılmaz.
Bug bounty programı
VDP kapsamı
Açık izin verilmiş hedefler
üzerinde gerçekleştirilmiş olmalıdır.
İzinsiz testlere ait içerikler kesinlikle paylaşılmaz.
Analiz ve çıkarım ön planda olmalıdır
Paylaşımlarda yalnızca “ne oldu” değil, aynı zamanda:
Neden fark edilmedi
Hangi tasarım hatası buna yol açtı
Nasıl önlenebilirdi
gibi çıkarımlara yer verilmesi beklenir.
Neden fark edilmedi
Hangi tasarım hatası buna yol açtı
Nasıl önlenebilirdi
gibi çıkarımlara yer verilmesi beklenir.
Yanıltıcı veya abartılı paylaşımlar yasaktır
Gerçeği yansıtmayan, ödül kazanılmış gibi gösterilen veya yanlış yönlendiren paylaşımlar kabul edilmez.
Yönetim denetim ve müdahale hakkını saklı tutar
Kurallara uymayan içerikler düzenlenebilir, kısıtlanabilir veya kaldırılabilir.
Tekrarlayan ihlallerde forum genel yaptırımları uygulanır.
Not:
Yetkilendirme ve logic bug’lar, en yüksek etkili güvenlik açıklarının başında gelir.
Bu alanın değeri, yapılan analizlerin derinliği ile ölçülür.
Bughane Academy Yönetimi
Tekrarlayan ihlallerde forum genel yaptırımları uygulanır.
Not:
Yetkilendirme ve logic bug’lar, en yüksek etkili güvenlik açıklarının başında gelir.
Bu alanın değeri, yapılan analizlerin derinliği ile ölçülür.
Bughane Academy Yönetimi