Geri Dön

Ödül avcılığı programı kapsamında sektörel bazlı güvenlik açıkları analizi

Sector-based vulnerability analysis within the scope of bug bounty program

PDF İndir

  1. Tez No: 812546
  2. Yazar: MEHMET ZAHİD EROĞLU
  3. Danışmanlar: DR. ÖĞR. ÜYESİ ALİ BOYACI
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2023
  8. Dil: Türkçe
  9. Üniversite: İstanbul Ticaret Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 64

Özet

Günümüzde teknolojinin gelişmesi ile siber güvenliğin önemi giderek artmaktadır. Hayatımızın her adımında yer alan bilgisayar sistemlerinde oluşacak açıklar yüzünden kullanıcıların güvenliği ciddi şekilde zarar görebilmektedir. Bu açıkların olası en kısa zamanda giderilmesi ve sistemin güvenli hale getirilmesi büyük maliyetler gerektirebilir. Bu durumların henüz oluşmadan önüne geçebilmek için birçok önlem alınmaktadır. Bu önlemlerden birisi de ödül avcılığı yarışmalarıdır. Bu kapsamda yarışmacı bir saldırgan mantığında çalışarak hedef sistemin güvenlik açıklarını (zafiyet) keşfetmeye çalışır. Tespit sonrası hedef sistemin zafiyetlerin giderilmesi için gerekli bilgi ve desteği sağlar. Bu tür testler sayesinde sistemler daha güvenli bir şekilde hizmet vermeye devam eder. Tespit edilen zafiyetlerin kritiklik seviyesi ve etki alanına göre maliyeti değişmektedir. Ödül avcılığı yöntemleri bize doğrudan şirketler ve sektörler hakkında bilgi vermese de çıktılar incelenerek sektörlerde tespit edilen hatalar, etkiler incelenmiştir. Bu çalışma kapsamında“Hackerone”ismiyle öne çıkan ödül avcılığı platformu üzerinde incelemeler yapılmıştır. Platform üzerinde herkesin erişimine sunulmuş zafiyet raporları içerisinden 11162 adet rapor 7 başlıkta toplanacak şekilde analiz edilmiştir. Bu başlıklar arasında en çok zafiyeti olan 76 şirket baz alınarak, 14 farklı sektörel dağılım üzerinden analizler yapılmış ve sektörler arası güvenilirlik durumları incelenmiştir. İnceleme sonucunda ödül avcılığı için sektörel bazda ne kadar yatırım yapıldığı, her bir zafiyet için ne kadar ödeme yapıldığı ve ödeme miktarına bağlı olarak elde edilen sonuçlar incelenmiş ve kıyaslama yapılmıştır. Buna göre ödül avcılığında en çok yatırıma sahip olan sektörün en çok zafiyet oranına sahip olduğu tespit edilmiştir. Verilen ödüllerin ortalamasına göre en çok ödül veren şirketlerin sektörler bazında sırasıyla eğlence, oyun ve e-ticaret iken en düşük ödül verenlerin ise sırasıyla tekstil, konaklama ve teknik servis sektörü olduğu çıkarımına varılmıştır.

Özet (Çeviri)

With the increase of technology development nowadays, the importance of cyber security is also increasing. Due to vulnerabilities in the computer systems that take place in every step of our lives, the security of users can be compromised. Patching the vulnerabilities and securing the systems as soon as possible may require huge budgets. Many measures are taken to prevent these incidents before they occur. One of these measures is bug bounty programs. In this context, the security researcher follows the hacker's logic and tries to find vulnerabilities in the targeted systems. After detecting the vulnerabilities, the researcher provides necessary information and support to patch these vulnerabilities in the affected systems. Thanks to such security tests, systems continue to provide their services more securely. The amount of bounty varies according to the criticality and the scope of the detected vulnerabilities. Despite the fact that bug bounty methods don't give us direct information about companies and sectors, by reviewing the bug reports, the detected bugs and their effects on sectors were examined. In this study, researches were made on a well known bug bounty platform called“Bugcrowd”. Among the vulnerability reports that are available to everyone on the platform, 11162 reports were analyzed and classified under 7 categories. Based on 76 companies with the most vulnerabilities in these categories, 14 different sectoral distributions were analyzed and their inter-sectoral reliability was examined. As a result of the research, on a sectoral basis, the size of investment allocated for bug bounty, the amount of money paid for each vulnerability, and the results obtained based on amount of money paid were examined and compared. Accordingly, the sector with highest investment for bug bounty found to be the highest in vulnerability rate. Similarly, while the highest average amount of bounties were paid by Entertainment, Gaming, and E-commerce sectors respectively, the lowest average amount of bounties were paid by Textile, Accommodation, and Technical Service sectors respectively.

Benzer Tezler

  1. Tez No

    412320

    The effects of payoff manipulations on temporal bisection performance

    Kazanç manipülasyonlarının süre ayrıştırması performansı üzerindeki etkileri

    BAŞAK AKDOĞAN

    Yüksek Lisans

    İngilizce

    İngilizce

    2015

    PsikolojiKoç Üniversitesi

    Psikoloji Ana Bilim Dalı

    DOÇ. DR. FUAT BALCI

  2. Tez No

    413929

    Anamorfik sanat üzerine araştırmalar ve seramik uygulamaları

    Research on anamorphic art and ceramic applications

    ÖDÜL ATA

    Yüksek Lisans

    Türkçe

    Türkçe

    2015

    Güzel SanatlarDokuz Eylül Üniversitesi

    Seramik ve Cam Tasarımı Ana Sanat Dalı

    YRD. DOÇ. CANDAN GÜNGÖR

  3. Tez No

    418116

    Ödül yönetiminin örgütsel özdeşleşme ile işgücü atikliği üzerine etkisi ve bir araştırma

    The effect of reward management on organizational identification and workforce agility and a research

    SEROL KARALAR

    Doktora

    Türkçe

    Türkçe

    2015

    İşletmeTrakya Üniversitesi

    İşletme Ana Bilim Dalı

    PROF. DR. CANAN ÇETİN

  4. Tez No

    252107

    IKEA in the Turkish furniture industry and its influences with reference to design and customisation

    Türk mobilya sektöründe IKEA: Tasarım ve kişiselleştirme ile ilgili etkenler üzerine bir araştırma

    ÖDÜL ALEV OKSAY

    Yüksek Lisans

    İngilizce

    İngilizce

    2008

    Endüstri Ürünleri Tasarımıİstanbul Teknik Üniversitesi

    Endüstri Ürünleri Tasarımı Ana Bilim Dalı

    YRD. DOÇ. DR. ŞEBNEM TİMUR ÖĞÜT

  5. Tez No

    257777

    Ödül sistemleri ve ödüllendirmenin güdülemeye etkisi üzerine inşaat sektöründe bir uygulama

    Rewarding systems and rewarding effect motivation on the application in the construction sektor

    NURGÜL ÖRNEK

    Yüksek Lisans

    Türkçe

    Türkçe

    2009

    İşletmeGazi Üniversitesi

    İşletme Bölümü

    PROF. DR. TENGİZ ÜÇOK

Geri Dön