Bug Bounty’den Para Kazanma Rehberi: HackerOne & Bugcrowd Taktikleri (2026)
Bug Bounty’den Para Kazanma Rehberi: HackerOne & Bugcrowd Taktikleri (2026)
Bug bounty’den para kazanma hayali kuran binlerce etik hacker var. Ancak HackerOne ve Bugcrowd platformlarında ilk ödemeyi almak, doğru metodoloji ve sürekli pratik gerektirir. Bu rehberde 2026’nın en güncel taktiklerini, kullanman gereken araçları ve adım adım başarı stratejisini anlatıyorum. Yazıyı bitirdiğinde nereden başlayacağını, hangi zafiyetlere odaklanman gerektiğini ve profesyonel bir rapor nasıl hazırlanacağını net bir şekilde bileceksin.
📑 İçindekiler
- 1. Bug Bounty Nedir ve Nasıl Çalışır?
- 2. 2026’da En Çok Para Kazandıran Platformlar
- 3. Başlamadan Önce Bilmen Gereken Temeller
- 4. Adım Adım Bug Bounty Metodolojisi
- 5. En Çok Ödeme Yapan Zafiyet Türleri (2026)
- 6. Kullanman Gereken Araçlar Stack’i
- 7. Başarılı Hunter’ların Gizli Taktikleri
- 8. Sık Yapılan Hatalar ve Kaçınılması Gerekenler
- 9. Gerçekçi Kazanç Beklentileri
- 10. Sık Sorulan Sorular (SSS)
- 11. Sonuç: İlk Adımı Bugün At
1. Bug Bounty Nedir ve Nasıl Çalışır?
Bug bounty, şirketlerin kendi sistemlerindeki güvenlik açıklarını dışarıdan gelen etik hacker’lara (white hat) keşfettirme ve bunun karşılığında para ödeme modelidir. HackerOne ve Bugcrowd gibi platformlar, bu süreci yönetir: kapsam belirler, raporları triage eder, ödemeleri garanti altına alır.
2026 itibarıyla HackerOne üzerinde 100.000’den fazla aktif hacker bulunuyor ve toplam ödenen bounty miktarı 300 milyon doları aştı. Bugcrowd ise özellikle kurumsal penetration test entegrasyonlarıyla fark yaratıyor.
Bug bounty programları “Public” (herkese açık) ve “Private” (davetiye ile) olmak üzere ikiye ayrılır. Yeni başlayanlar için public programlar ve VDP (Vulnerability Disclosure Program) en ideal başlangıç noktasıdır.
2. 2026’da En Çok Para Kazandıran Platformlar
Bug bounty’den para kazanma yolculuğunda doğru platform seçimi kritiktir. Her platformun farklı avantajları ve kullanıcı kitlesi vardır.
| Platform | Ortalama Ödeme | En İyi Yönü | Kime Uygun? |
|---|---|---|---|
| HackerOne | $500 – $100.000+ | En büyük müşteri portföyü, güçlü raporlama arayüzü | Orta-ileri seviye hunter’lar |
| Bugcrowd | $300 – $50.000+ | Triage hizmeti, geniş program yelpazesi | Başlangıç ve orta seviye |
| Intigriti | €250 – €25.000+ | Avrupa merkezli, yüksek kaliteli programlar | Avrupa odaklı hunter’lar |
| Synack | $400 – $75.000+ | Katılım sınavı, elit topluluk | Deneyimli, profesyonel hunter’lar |
| Open Bug Bounty | Ödeme yok / Hall of Fame | Ücretsiz pratik yapma imkanı | Sıfırdan başlayanlar |
Yeni başlayanlar için Bugcrowd‘un “Bugcrowd University” ve HackerOne‘ın “Hacker101” eğitimlerini tamamlamak, platform davetiyeleri almak için en etkili yoldur.
3. Başlamadan Önce Bilmen Gereken Temeller
Bug bounty’den para kazanma isteyen herkesin önce sağlam bir temel atması gerekir. İşte bu yolculukta olmazsa olmaz bilgi alanları:
- Web Teknolojileri: HTTP/HTTPS protokolleri, REST/GraphQL API’leri, JWT token yapısı, CORS politikaları
- OWASP Top 10 (2026): OWASP güncel listesini ezberlemek yerine her maddesini pratikte deneyimlemek
- Temel Programlama: Python (otomasyon), JavaScript (frontend zafiyetleri), Bash (pipeline oluşturma)
- Ağ Temelleri: DNS, subdomain yapıları, CDN ve WAF mantığı
- Yasal Çerçeve: Safe Harbor politikalarını ve kapsam dışı (out-of-scope) kurallarını bilmek
Kapsam dışı sistemlere dokunmak, veri indirmek veya zarar vermek yasal sorunlara yol açar. Her zaman programın Policy sayfasını okuyun ve sadece izin verilen alanlarda test yapın.
4. Adım Adım Bug Bounty Metodolojisi
Rastgele tıklamak yerine sistematik bir yaklaşım, bug bounty’den para kazanma şansını katbekat artırır. İşte profesyonel hunter’ların kullandığı 4 aşamalı metodoloji:
4.1 Hedef Belirleme ve Kapsam Analizi
İlk adım, doğru programı seçmektir. HackerOne üzerinde bir programın “Response Efficiency” (yanıt verme hızı) ve “Bounty” ödeme geçmişi incelenmelidir. Yeni başlayanlar için:
- Geniş kapsamlı (wildcard *.target.com) programlar
- Düşük minimum ödeme barı olan programlar
- Aktif triage ekibi olan programlar
- “Collaboration” (ortak çalışma) izni veren programlar
4.2 Keşif (Reconnaissance) Aşaması
Keşif, bug bounty’nin %70’idir. Ne kadar çok yüzey keşfedersen, o kadar çok zafiyet bulma şansın artar.
alt=”Bug bounty’den para kazanma için keşif süreci – reconnaissance ve subdomain enumeration”
class=”
assetfinder –subs-only target.com | tee -a subs.txt
amass enum -passive -d target.com -o amass.txt
cat subs.txt | sort -u | httpx -o live.txt
Yukarıdaki pipeline ile alt domainleri toplayıp canlı olanları filtreleyebilirsin. 2026’nın en etkili keşif stratejisi, sadece web uygulamaları değil API endpointleri, cloud servisleri (S3, Azure Blob) ve mobil backend’leri de kapsamaktadır.
4.3 Zafiyet Tespiti ve Exploit
Canlı hedefler belirlendikten sonra sistematik test başlar. Her hedef için şu kontrol listesini uygula:
- Information Disclosure: GitHub’da leak’ler, .env dosyaları, API key’ler
- Authentication: JWT imza bypass, OAuth misconfiguration, 2FA bypass
- Injection: SQLi, NoSQLi, Command Injection, SSTI
- Access Control: IDOR, privilege escalation, path traversal
- Business Logic: Fiyat manipülasyonu, kupon bypass, race condition
Otomasyon yerine manuel test ve business logic zafiyetlerine odaklan. Bu tür zafiyetler, tarayıcıların kaçırdığı ve en yüksek ödemeyi getiren açıklardır.
4.4 Profesyonel Raporlama ve PoC
Bulduğun zafiyet kadar, onu nasıl raporladığın da önemlidir. Profesyonel bir bug bounty raporu şunları içermelidir:
- Özet: Zafiyeti tek cümlede açıkla
- Açıklama: Teknik detayları ve neden oluştuğunu anlat
- Adımlar (PoC): Adım adım, tekrarlanabilir talimatlar
- Etki (Impact): Bu açık gerçekten ne kadar zarar verebilir? Veri sızdırma? Hesap ele geçirme?
- Öneri: Düzeltme için spesifik çözüm öner
5. En Çok Ödeme Yapan Zafiyet Türleri (2026)
2026 verilerine göre HackerOne ve Bugcrowd üzerinde en yüksek ortalama ödemeyi getiren zafiyet kategorileri:
| Zafiyet | Ortalama Ödeme | Zorluk | Tavsiye Edilen Program |
|---|---|---|---|
| Remote Code Execution (RCE) | $15.000 – $100.000+ | ⭐⭐⭐⭐⭐ | Tech giants (Google, Apple) |
| SQL Injection (SQLi) | $3.000 – $25.000 | ⭐⭐⭐ | E-ticaret, SaaS platformları |
| IDOR / Broken Access Control | $500 – $10.000 | ⭐⭐ | Sosyal medya, fintech |
| Account Takeover (ATO) | $2.000 – $20.000 | ⭐⭐⭐⭐ | Her türlü kullanıcı odaklı platform |
| SSRF (Server-Side Request Forgery) | $2.500 – $15.000 | ⭐⭐⭐⭐ | Cloud-native uygulamalar |
| Business Logic Errors | $500 – $8.000 | ⭐⭐⭐ | E-ticaret, ödeme sistemleri |
6. Kullanman Gereken Araçlar Stack’i
2026’da profesyonel bir bug bounty hunter‘ın kullandığı araçlar şunlardır:
Keşif Araçları
- Subfinder + Amass + Assetfinder: Subdomain enumeration
- httpx: Canlı host tespiti ve teknoloji fingerprinting
- Waybackurls + Gau: Geçmiş URL’leri toplama
- GitHub Dorking: Sızıntı tespiti için manuel aramalar
Test Araçları
- Burp Suite Pro: Web uygulaması testlerinin kralı
- OWASP ZAP: Ücretsiz alternatif
- Postman / Burp Repeater: API testleri
- SQLMap: Otomatik SQL injection tespiti
- Nuclei: Template tabanlı hızlı tarama
Otomasyon & Pipeline
- ProjectDiscovery Suite: subfinder, httpx, nuclei, naabu
- Bash scripting: Kendi pipeline’ını oluşturma
- Notify: Bulguları anlık Discord/Slack’e gönderme
Web sitesi zafiyet tespiti için kullanabileceğin detaylı araç listesine Web Sitesi Zafiyet Tespiti Araçları 2026 rehberimizden de göz atabilirsin.
nuclei -l live.txt -t cves/ -t vulnerabilities/ -severity critical,high -o nuclei-results.txt
7. Başarılı Hunter’ların Gizli Taktikleri
Top HackerOne hacker’larının ortak özelliklerini analiz ettiğimde şu taktikler öne çıkıyor:
- “Niche” Bulma: Herkesin test ettiği ana domain yerine, yeni satın alınmış alt şirketlerin domainlerini ve eski API versiyonlarını hedef alırlar.
- Mobile + API Kombinasyonu: Mobil uygulamaların backend API’leri, web versiyonlarına göre daha az test edilir ve daha zengin zafiyet barındırır.
- Param Miner + Cache Poisoning: Web cache değişkenlerini manipüle ederek XSS veya bilgi sızdırma elde etmek, 2026’da hâlâ under-rated bir tekniktir.
- GraphQL Introspection: GraphQL endpoint’lerinde introspection açık bırakılmışsa, tüm schema’yı çekip hidden mutation’ları bulabilirsin.
- Sosyal Mühendislik Değil, Teknik Derinlik: En iyi hunter’lar sosyal mühendislik yerine derin teknik bilgiyle öne çıkar.
“Bug bounty’de başarılı olmak için en iyi zafiyeti bulman gerekmez. Sadece başkalarının görmediği yere bakman gerekir.”
8. Sık Yapılan Hatalar ve Kaçınılması Gerekenler
Yeni başlayanların bug bounty’den para kazanma sürecinde düştüğü en yaygın tuzaklar:
- Duplicate Rapor: Aynı zafiyeti keşfettiğini sanıp raporlama, ancak başkası 2 saat önce göndermiş. Çözüm: Hedefi derinlemesine tanı, yüzeysel tarama yapma.
- N/A (Not Applicable) Almak: Out-of-scope bir alanda test yapmak veya zafiyetin etkisini yeterince kanıtlayamamak.
- Aracı Körü Körüne Kullanmak: Nuclei/Burp tarayıcılarını çalıştırıp “bulamadım” demek. Araçlar yardımcıdır, yerine geçmez.
- Sabırsızlık: İlk hafta sonuç alamazsan bırakmak. Ortalama ilk valid rapor 1-3 ay sürebilir.
- Kötü İngilizce: PoC net değilse triage ekibi zafiyeti anlayamaz. Google Translate kullan, profesyonel yaz.
9. Gerçekçi Kazanç Beklentileri
Bug bounty’den para kazanma miktarı deneyimine ve odaklandığın programa göre değişir:
| Seviye | Aylık Ortalama | Haftalık Çalışma | Tipik Zafiyet |
|---|---|---|---|
| Yeni Başlayan (0-6 ay) | $0 – $1.000 | 10-15 saat | Low/Medium severity |
| Orta Seviye (6-18 ay) | $1.500 – $5.000 | 20-30 saat | Medium/High severity |
| İleri Seviye (18 ay+) | $5.000 – $20.000+ | 30-50 saat | High/Critical severity |
| Elit (Top 100) | $20.000 – $100.000+ | Tam zamanlı | Critical + 0-day |
Unutma: Bu rakamlar ortalamadır. HackerOne üzerinde ayda 100.000+ dolar kazanan hunter’lar var, ama onlar yılların pratiğiyle bu noktaya geldi.
10. Sık Sorulan Sorular (SSS)
Bug bounty’den para kazanma hakkında en çok sorulan soruların yanıtları:
Hayır, bug bounty platformlarında sertifika zorunluluğu yoktur. Pratik yetenek, yaratıcı düşünme ve sürekli öğrenme motivasyonu en önemli kriterlerdir. Ancak eJPT, OSCP gibi sertifikalar profilinizi güçlendirir ve özel programlara davetiye almanızı kolaylaştırır.
HackerOne daha büyük kurumsal müşterilere (Google, Microsoft, Apple) sahipken, Bugcrowd crowdsourced güvenlik testleri ve daha geniş bir program yelpazesi sunar. HackerOne raporlama arayüzü daha gelişmişken, Bugcrowd triage hizmetleriyle öne çıkar. İdeal olan her iki platformda da aktif olmaktır.
2026 verilerine göre yeni başlayanlar ayda 500-2.000 dolar, deneyimli hunter’lar ise 5.000-30.000+ dolar kazanabilmektedir. Kritik zafiyetler (RCE, SQLi) tek seferde 10.000+ dolar ödeme alabilir. İlk 3 ay para kazanamamak normaldir; sabır ve süreklilik şarttır.
Python otomasyon ve exploit yazımı için temeldir. JavaScript web uygulamalarını anlamak için şarttır. Bash pipeline oluşturmak için, Ruby Metasploit modülleri için, Go ise hızlı araç geliştirmek için yaygın olarak kullanılır. Başlangıç için Python ve JavaScript yeterlidir.
11. Sonuç: İlk Adımı Bugün At
Bug bounty’den para kazanma yolculuğu sabır, sistematik çalışma ve sürekli öğrenme gerektirir. HackerOne ve Bugcrowd platformlarında başarılı olmak için bugün şunları yap:
- HackerOne ve Bugcrowd hesapları oluştur.
- Hacker101 ve Bugcrowd University eğitimlerini tamamla.
- Open Bug Bounty veya geniş kapsamlı bir VDP programında ilk raporunu gönder.
- Her rapordan (N/A da olsa) bir şey öğren ve not al.
- Twitter/X’te @hacker0x01 ve @Bugcrowd hesaplarını takip et.
Unutma: Her büyük bug bounty hunter bir gün sıfırdan başladı. Farkı yaratan, bırakmayan ve her gün biraz daha derine inenler oldu.
