Ödül avcılığı programı kapsamında sektörel bazlı güvenlik açıkları analizi

Basit Öğe Kaydı
dc.contributor.advisorBoyacı, Ali
dc.contributor.authorEroğlu, Mehmet Zahid
dc.date.accessioned2024-10-10T18:25:22Z
dc.date.available2024-10-10T18:25:22Z
dc.date.issued2023
dc.departmentEnstitüler, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalıen_US
dc.descriptionFen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalı, Bilgisayar Mühendisliği Bilim Dalıen_US
dc.description.abstractGünümüzde teknolojinin gelişmesi ile siber güvenliğin önemi giderek artmaktadır. Hayatımızın her adımında yer alan bilgisayar sistemlerinde oluşacak açıklar yüzünden kullanıcıların güvenliği ciddi şekilde zarar görebilmektedir. Bu açıkların olası en kısa zamanda giderilmesi ve sistemin güvenli hale getirilmesi büyük maliyetler gerektirebilir. Bu durumların henüz oluşmadan önüne geçebilmek için birçok önlem alınmaktadır. Bu önlemlerden birisi de ödül avcılığı yarışmalarıdır. Bu kapsamda yarışmacı bir saldırgan mantığında çalışarak hedef sistemin güvenlik açıklarını (zafiyet) keşfetmeye çalışır. Tespit sonrası hedef sistemin zafiyetlerin giderilmesi için gerekli bilgi ve desteği sağlar. Bu tür testler sayesinde sistemler daha güvenli bir şekilde hizmet vermeye devam eder. Tespit edilen zafiyetlerin kritiklik seviyesi ve etki alanına göre maliyeti değişmektedir. Ödül avcılığı yöntemleri bize doğrudan şirketler ve sektörler hakkında bilgi vermese de çıktılar incelenerek sektörlerde tespit edilen hatalar, etkiler incelenmiştir. Bu çalışma kapsamında "Hackerone" ismiyle öne çıkan ödül avcılığı platformu üzerinde incelemeler yapılmıştır. Platform üzerinde herkesin erişimine sunulmuş zafiyet raporları içerisinden 11162 adet rapor 7 başlıkta toplanacak şekilde analiz edilmiştir. Bu başlıklar arasında en çok zafiyeti olan 76 şirket baz alınarak, 14 farklı sektörel dağılım üzerinden analizler yapılmış ve sektörler arası güvenilirlik durumları incelenmiştir. İnceleme sonucunda ödül avcılığı için sektörel bazda ne kadar yatırım yapıldığı, her bir zafiyet için ne kadar ödeme yapıldığı ve ödeme miktarına bağlı olarak elde edilen sonuçlar incelenmiş ve kıyaslama yapılmıştır. Buna göre ödül avcılığında en çok yatırıma sahip olan sektörün en çok zafiyet oranına sahip olduğu tespit edilmiştir. Verilen ödüllerin ortalamasına göre en çok ödül veren şirketlerin sektörler bazında sırasıyla eğlence, oyun ve e-ticaret iken en düşük ödül verenlerin ise sırasıyla tekstil, konaklama ve teknik servis sektörü olduğu çıkarımına varılmıştır.en_US
dc.description.abstractWith the increase of technology development nowadays, the importance of cyber security is also increasing. Due to vulnerabilities in the computer systems that take place in every step of our lives, the security of users can be compromised. Patching the vulnerabilities and securing the systems as soon as possible may require huge budgets. Many measures are taken to prevent these incidents before they occur. One of these measures is bug bounty programs. In this context, the security researcher follows the hacker's logic and tries to find vulnerabilities in the targeted systems. After detecting the vulnerabilities, the researcher provides necessary information and support to patch these vulnerabilities in the affected systems. Thanks to such security tests, systems continue to provide their services more securely. The amount of bounty varies according to the criticality and the scope of the detected vulnerabilities. Despite the fact that bug bounty methods don't give us direct information about companies and sectors, by reviewing the bug reports, the detected bugs and their effects on sectors were examined. In this study, researches were made on a well known bug bounty platform called "Bugcrowd". Among the vulnerability reports that are available to everyone on the platform, 11162 reports were analyzed and classified under 7 categories. Based on 76 companies with the most vulnerabilities in these categories, 14 different sectoral distributions were analyzed and their inter-sectoral reliability was examined. As a result of the research, on a sectoral basis, the size of investment allocated for bug bounty, the amount of money paid for each vulnerability, and the results obtained based on amount of money paid were examined and compared. Accordingly, the sector with highest investment for bug bounty found to be the highest in vulnerability rate. Similarly, while the highest average amount of bounties were paid by Entertainment, Gaming, and E-commerce sectors respectively, the lowest average amount of bounties were paid by Textile, Accommodation, and Technical Service sectors respectively.en_US
dc.identifier.endpage64en_US
dc.identifier.startpage1en_US
dc.identifier.urihttps://tez.yok.gov.tr/UlusalTezMerkezi/TezGoster?key=a0OMTmEd_3mfOBxT8SiBTKYb2ehvoRnsu_QUYdsXJN2FFwsIrvuba1wPhoR1fpxE
dc.identifier.urihttps://hdl.handle.net/11467/7584
dc.identifier.yoktezid812546en_US
dc.language.isotren_US
dc.publisherİstanbul Ticaret Üniversitesien_US
dc.relation.publicationcategoryTezen_US
dc.rightsinfo:eu-repo/semantics/openAccessen_US
dc.snmz2024_Tezen_US
dc.subjectBilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolen_US
dc.subjectComputer Engineering and Computer Science and Controlen_US
dc.titleÖdül avcılığı programı kapsamında sektörel bazlı güvenlik açıkları analizien_US
dc.title.alternativeSector-based vulnerability analysis within the scope of bug bounty programen_US
dc.typeMaster Thesisen_US

Dosyalar

Koleksiyon

Fen Bilimleri Enstitüsü Tez Koleksiyonu