Web Sızma Testleri & Bug Bounty ve Etik Hacker Eğitimi

Bug Bounty & Web Uygulama Güvenliği Eğitimine Hoş Geldiniz — Sıfırdan Para Kazanılabilen Seviyeye, Adım Adım, Uygulamalı

Bu kapsamlı Bug Bounty Eğitimi, web uygulama güvenliği, etik hacking ve bug bounty programlarıyla internetten para kazanma hedefi olanlar için tasarlandı. HTTP ve web temellerinden başlayıp; SQL Injection, File Upload, XXE, LFI/RFI, SSRF, OS Command Injection, SSTI, JWT, API pentest ve LLM (Prompt Injection) gibi modern zafiyetlere kadar uzanan tam bir “web bug bounty hunter” yol haritası sunar.

Kurs boyunca Kali Linux, Burp Suite, tarayıcı eklentileri ve modern recon araçlarıyla gerçekçi bug bounty senaryoları üzerinde çalışacak; HackerOne, Bugcrowd, Intigriti gibi platformlarda kullanılabilecek pratik bir bilgi birikimi elde edeceksiniz. Hedef; sadece teoriyi bilmek değil, yakaladığınız güvenlik açıklarını raporlayıp ödül ve para kazanma mentalitesine ulaşmanızdır.

Bu Kurs Kimler İçin?

• “Bug bounty ile internetten para kazanmak istiyorum ama nereden başlayacağımı bilmiyorum” diyenler.

• Web uygulama güvenliği eğitimi arayan yazılımcılar, siber güvenlik meraklıları ve etik hacker adayları.

• “Sadece araç ezberlemek değil; nasıl düşünmem gerektiğini öğrenmek istiyorum” diyen bug bounty hunter adayları.

• HackerOne, Bugcrowd, Intigriti gibi platformlarda raporları kabul edilen ve ödül alan bir bug bounty hunter olmak isteyenler.

• Frontend bilgisi zayıf olup, XSS, SQLi, File Upload, JWT, API ve LLM zafiyetlerini sistematik şekilde öğrenmek isteyen web pentester’lar.

Bu Kursta Neler Öğreneceksiniz?

Web & HTTP Temelleri – Bug Bounty’nin Altyapısı

• Web temelleri, istemci–sunucu modeli, request–response döngüsü.

• URI / URL yapısı, HTTP metodları (GET, POST, PUT, DELETE, PATCH).

• HTTP durum kodları, cookies, HttpOnly, Secure, SameSite, session/local storage mantığı.

• HTTP vs HTTPS, SSL/TLS kavramları ve web uygulama pentest bakış açısı.

Burp Suite ve Proxy Altyapısı – Bug Bounty Hunter’ın Ana Aracı

• Burp Suite + FoxyProxy kurulum ve ayarlar.

• İstek yakalama, manipülasyon, temel pasif/aktif tarama mantığı.

• Burp kullanarak web uygulama zafiyetlerini tespit etme pratikleri.

Hızlandırılmış Frontend Temelleri – XSS ve İş Mantığını Anlamak İçin

• HTML, CSS, JavaScript temelleri; DOM, formlar, input alanları, client-side validation.

• İstemci tarafı kontrollerine aşırı güvenmenin riskleri ve bug bounty senaryolarına etkisi.

İleri Seviye SQL Injection (SQLi) – Yüksek Ödüllü Zafiyetler

• Error-based, time-based blind, UNION-based SQLi senaryoları.

• Veritabanı versiyon ve tablo/kolon keşfi, veri sızdırma teknikleri.

• SQLi tespit, doğrulama ve raporda nasıl para kazandıracak şekilde anlatılır bakışı.

Dosya Yükleme Zafiyetleri – File Upload ile RCE ve Ödüller

• File upload tehdit modeli, web-shell yükleyerek RCE senaryoları.

• Uzantı/MIME blacklist bypass, polyglot ve multipart teknikleri ile filtre atlatma.

• File upload zafiyetlerinin bug bounty’de neden yüksek ödül getirdiğinin analizi.

XXE (XML External Entity) – Data Exfiltration ve SSRF Kombinasyonları

• XXE’ye giriş, entity tanımları, local file read senaryoları.

• Out-of-Band (OOB) XXE ile blind tespit ve dış sistemlere veri sızdırma mantığı.

• Error-based XXE exploit geliştirme ve raporlamada dikkat edilmesi gerekenler.

Sunucu Tarafı Enjeksiyonlar ve Dosya Erişimi – LFI, RFI, SSRF, RCE

• LFI / RFI kavramları, log poisoning ve bypass teknikleri.

• LFI fuzzing ve path keşfi, konfigürasyon dosyalarına erişim senaryoları.

• SSRF ile internal servis keşfi, metadata endpoint’leri ve bulut servis istismarı.

• RCE kavramı, bug bounty’de kritik/özel ödül kategorisine giren zafiyetler.

Bilgi Sızıntıları ve İş Mantığı Hataları – “Sessiz ama Ödüllü” Açıklar

• Hata mesajları ve debug sayfalarında information disclosure örnekleri.

• Yedek dosyalardan kaynak kod sızıntısı, yapılandırma dosyalarına erişim.

• İş mantığı (business logic) zafiyetleri, tutarsız erişim kontrolleri.

• Bilgi sızıntılarıyla birleşen authentication/authorization bypass senaryoları.

OS Command Injection & SSTI – Kritik Seviyede Ödül Potansiyeli

• OS Command Injection temel ve blind/time-delay teknikleri.

• Çıktı yönlendirme ile istismar ve veri toplama.

• Template engine mantığı, Server-Side Template Injection (SSTI) tespiti.

• Code context exploit örnekleri ve raporlama stratejileri.

JWT Pentest (JSON Web Token) – Kimlik Doğrulama Zafiyetleri

• JWT yapısı: header.payload.signature analizi.

• Eksik veya yanlış doğrulama, zayıf imza anahtarı ve brute force senaryoları.

• JWT zafiyetleriyle authentication bypass ve hesap ele geçirme (account takeover) mantığı.

API Pentest – Modern Web Uygulamalarındaki Para Getiren Açıklar

• Web API mimarisi, REST / JSON temelleri.

• Dokümantasyon üzerinden endpoint exploitation stratejileri.

• Hidden/unused endpoint keşfi ve mass-assignment zafiyetleri.

• API güvenlik açıklarının bug bounty raporlarında nasıl öne çıkarılacağı.

Web LLM Pentest & Prompt Injection – Yeni Nesil Bug Bounty Alanı

• LLM API’lerinde güvenlik modeli, excessive agency kavramı.

• Insecure output handling, indirect prompt injection vektörleri.

• LLM tabanlı sistemlerde prompt injection senaryolarının bug bounty’ye yansıması.

Rapor Okuma & Rapor Hazırlama – Ödül Almanın Gerçek Anahtarı

• HackerOne arayüzü ve workflow tanıtımı.

• Gerçek dünyadan raporların okunması ve teknik gözle analizi.

• CVSS skorlama mantığı, etki ve istismar adımlarının net yazımı.

• “Triager gözüyle” kaliteli bug bounty raporu yazma pratiği.

Canlı Bug Bounty Recon & Discovery (Legal–Safe) – Para Kazanmaya Giden İlk Adım

• Subdomain enumeration, HTTPX ile liveness kontrolü.

• Subdomain permutation ve DNS resolution süreçleri.

• Wappalyzer ile teknoloji fingerprinting, Nmap ile port/servis keşfi.

• WebArchive ile tarihsel snapshot incelemesi, WebScreenshot ile görsel triage.

• Content discovery (Gobuster / FFUF), LinkFinder ile JS üzerinden endpoint çıkarımı.

• Arjun ile parametre keşfi, Google Dorking, S3 bucket takeover kavramı ve lab uygulaması.

Neden Bu Bug Bounty Kursu? (Para ve Kariyer Odaklı Bakış)

• Uçtan Uca Yol Haritası:
  “Bug bounty nedir?” seviyesinden başlayıp, web uygulama pentest + bug bounty hunting ve canlı recon oturumuna kadar net bir yol izlersiniz.

• Teori + Exploit + Rapor + Para:
  Sadece zafiyet ismini öğrenmezsiniz; nasıl tespit edilir, nasıl sömürülür, bug bounty raporuna nasıl yazılır ve nasıl ödüle dönüştürülür bunları görürsünüz.

• Gerçekçi Para Kazanma Perspektifi:
  “Bir hafta kurs al, hemen zengin ol” hayali yok. Bu program; uzun vadeli, sürdürülebilir bir bug bounty kariyeri ve ek gelir modeli için tasarlanmıştır.

• Güncel ve Modern Konular:
  Klasik OWASP top zafiyetlerinin yanında JWT, API Pentest, LLM Prompt Injection gibi güncel alanları da kapsar; bu sayede diğer bug bounty hunter’lardan ayrışmanız hedeflenir.

Bu Kurstan Sonra Neler Yapabileceksiniz?

• Burp Suite ve proxy altyapısını kullanarak HTTP trafiğini analiz etmek ve manipüle etmek.

• SQLi, File Upload, XXE, LFI/RFI, SSRF, OS Command Injection, SSTI, JWT ve API zafiyetlerini tespit edip lab ortamında sömürmek.

• Bilgi sızıntıları ve iş mantığı hatalarını sistematik checklist’lerle tarayarak yüksek etkili bug bounty senaryoları oluşturmak.

• LLM tabanlı sistemlerde prompt injection ve insecure output handling zafiyetlerini anlamak ve PoC’ler üretmek.

• HackerOne / Bugcrowd / Intigriti üzerindeki raporları teknik gözle okuyup kendi raporlarınızı daha net, ikna edici ve ödül almaya uygun biçimde yazmak.

• Legal–safe programlarda ilk bug bounty ödüllerinizi hedefleyebileceğiniz recon & discovery sürecini baştan sona kendi başınıza yönetmek için gerekli mental modeli kazanmak.

Kurs Formatı ve Yaklaşım

• Her bölümde önce kısa, net teori; ardından adım adım live demo/lab uygulaması.

• Bölüm sonlarında özet ve pratik odaklı kontrol listeleri.

• Web temellerinden itibaren, bug bounty gözlüğüyle neye dikkat etmeniz gerektiği sürekli vurgulanır.

• Tüm örnekler; izole lab ortamı, demo uygulamalar ve sadece izinli/otorizasyonlu hedefler üzerinden gösterilir.

Hazırsanız, tarayıcınızı, Burp Suite’i ve not defterinizi açın;
bug bounty ile para kazanma hedefinizi, sistematik ve teknik bir web uygulama güvenliği & pentest yolculuğuna dönüştürelim.