Geri Dön

Ödül avcılığı programı kapsamında sektörel bazlı güvenlik açıkları analizi

Sector-based vulnerability analysis within the scope of bug bounty program

PDF İndir

  1. Tez No: 812546
  2. Yazar: MEHMET ZAHİD EROĞLU
  3. Danışmanlar: DR. ÖĞR. ÜYESİ ALİ BOYACI
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2023
  8. Dil: Türkçe
  9. Üniversite: İstanbul Ticaret Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 64

Özet

Günümüzde teknolojinin gelişmesi ile siber güvenliğin önemi giderek artmaktadır. Hayatımızın her adımında yer alan bilgisayar sistemlerinde oluşacak açıklar yüzünden kullanıcıların güvenliği ciddi şekilde zarar görebilmektedir. Bu açıkların olası en kısa zamanda giderilmesi ve sistemin güvenli hale getirilmesi büyük maliyetler gerektirebilir. Bu durumların henüz oluşmadan önüne geçebilmek için birçok önlem alınmaktadır. Bu önlemlerden birisi de ödül avcılığı yarışmalarıdır. Bu kapsamda yarışmacı bir saldırgan mantığında çalışarak hedef sistemin güvenlik açıklarını (zafiyet) keşfetmeye çalışır. Tespit sonrası hedef sistemin zafiyetlerin giderilmesi için gerekli bilgi ve desteği sağlar. Bu tür testler sayesinde sistemler daha güvenli bir şekilde hizmet vermeye devam eder. Tespit edilen zafiyetlerin kritiklik seviyesi ve etki alanına göre maliyeti değişmektedir. Ödül avcılığı yöntemleri bize doğrudan şirketler ve sektörler hakkında bilgi vermese de çıktılar incelenerek sektörlerde tespit edilen hatalar, etkiler incelenmiştir. Bu çalışma kapsamında“Hackerone”ismiyle öne çıkan ödül avcılığı platformu üzerinde incelemeler yapılmıştır. Platform üzerinde herkesin erişimine sunulmuş zafiyet raporları içerisinden 11162 adet rapor 7 başlıkta toplanacak şekilde analiz edilmiştir. Bu başlıklar arasında en çok zafiyeti olan 76 şirket baz alınarak, 14 farklı sektörel dağılım üzerinden analizler yapılmış ve sektörler arası güvenilirlik durumları incelenmiştir. İnceleme sonucunda ödül avcılığı için sektörel bazda ne kadar yatırım yapıldığı, her bir zafiyet için ne kadar ödeme yapıldığı ve ödeme miktarına bağlı olarak elde edilen sonuçlar incelenmiş ve kıyaslama yapılmıştır. Buna göre ödül avcılığında en çok yatırıma sahip olan sektörün en çok zafiyet oranına sahip olduğu tespit edilmiştir. Verilen ödüllerin ortalamasına göre en çok ödül veren şirketlerin sektörler bazında sırasıyla eğlence, oyun ve e-ticaret iken en düşük ödül verenlerin ise sırasıyla tekstil, konaklama ve teknik servis sektörü olduğu çıkarımına varılmıştır.

Özet (Çeviri)

With the increase of technology development nowadays, the importance of cyber security is also increasing. Due to vulnerabilities in the computer systems that take place in every step of our lives, the security of users can be compromised. Patching the vulnerabilities and securing the systems as soon as possible may require huge budgets. Many measures are taken to prevent these incidents before they occur. One of these measures is bug bounty programs. In this context, the security researcher follows the hacker's logic and tries to find vulnerabilities in the targeted systems. After detecting the vulnerabilities, the researcher provides necessary information and support to patch these vulnerabilities in the affected systems. Thanks to such security tests, systems continue to provide their services more securely. The amount of bounty varies according to the criticality and the scope of the detected vulnerabilities. Despite the fact that bug bounty methods don't give us direct information about companies and sectors, by reviewing the bug reports, the detected bugs and their effects on sectors were examined. In this study, researches were made on a well known bug bounty platform called“Bugcrowd”. Among the vulnerability reports that are available to everyone on the platform, 11162 reports were analyzed and classified under 7 categories. Based on 76 companies with the most vulnerabilities in these categories, 14 different sectoral distributions were analyzed and their inter-sectoral reliability was examined. As a result of the research, on a sectoral basis, the size of investment allocated for bug bounty, the amount of money paid for each vulnerability, and the results obtained based on amount of money paid were examined and compared. Accordingly, the sector with highest investment for bug bounty found to be the highest in vulnerability rate. Similarly, while the highest average amount of bounties were paid by Entertainment, Gaming, and E-commerce sectors respectively, the lowest average amount of bounties were paid by Textile, Accommodation, and Technical Service sectors respectively.

Benzer Tezler

  1. Tez No

    82977

    The Payment scheduling problem with bonus and penalty

    Ödül ve cezanın yer aldığı ödeme çizelgeleme problemi

    ŞULE ŞAHİN

    Yüksek Lisans

    İngilizce

    İngilizce

    1999

    Endüstri ve Endüstri MühendisliğiBoğaziçi Üniversitesi

    Endüstri Mühendisliği Ana Bilim Dalı

    PROF. DR. GÜNDÜZ ULUSOY

  2. Tez No

    656538

    Ödül alan öğretmenlerin mesleki deneyimleri

    The challenges of the teachers that make a difference in school management processes

    NİLGÜN ERGÜVEN

    Yüksek Lisans

    Türkçe

    Türkçe

    2020

    Eğitim ve Öğretimİstanbul Kültür Üniversitesi

    Eğitim Bilimleri Ana Bilim Dalı

    DOÇ. DR. SULTAN BİLGE KESKİNKILIÇ KARA

  3. Tez No

    502947

    Kadınlarda postpartum depresyon seviyesinin doğum sonrası cinsel haz ve doyuma olan etkisi

    Başlık çevirisi yok

    ÖDÜL ŞAHİN

    Yüksek Lisans

    Türkçe

    Türkçe

    2018

    PsikolojiÜsküdar Üniversitesi

    Klinik Psikoloji Ana Bilim Dalı

    YRD. DOÇ. DR. AHMET YOSMAOĞLU

  4. Tez No

    605716

    Ödül ve ağırlıklı lineer ceza mekanizması içeren yeni bir benzetilmiş tavlama yaklaşımı ile LSB tabanlı görüntü steganografisinin iyileştirilmesi

    A novel simulated annealing approach with a reward and weighted linear penalty mechanism for enhancing LSB-based image steganography

    ANIS F.M. LAYAS

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAtatürk Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ DENİZ DAL

  5. Tez No

    606163

    Impact of reward system on employee's motivation, a case study on Afghanistan Commercial Bank (Acb)

    Ödül sisteminin çalışanların motivasyonu üzerindeki etkisi, Afganistan Ticaret Bankası (Acb) üzerine bir vaka çalışması

    MOHAMMAD MANSOOR MASTOOR

    Yüksek Lisans

    İngilizce

    İngilizce

    2019

    Bankacılıkİstanbul Aydın Üniversitesi

    İşletme (İngilizce) Ana Bilim Dalı

    DOÇ. DR. İLKAY KARADUMAN

Geri Dön