Siber Kulüpler Güvenlik İletişim Bilgileri

Kapsam

1. siberkulupler.com
2. ctf.siberkulupler.com
3. form.siberkulupler.com
4. link.siberkulupler.com

Güvenlik açığı bildirimleri için birincil iletişim kanalı

1. İletişim: [email protected]

Geçerli kabul ettiğimiz diller

1. Türkçe
2. İngilizce

Onur Tablosu

1. https://siberkulupler.com/hall-of-fame

Kapsam Dışı Zafiyet ve Saldırı Türleri

Güvenlik araştırmacılarının aşağıdaki testleri yapması veya bu konularda bildirimde bulunması genellikle program kurallarına aykırı kabul edilir ve ödül/onur tablosu değerlendirmesine alınmaz:

1. Hizmet Kesintisi ve Altyapı Saldırıları

1. DoS / DDoS Saldırıları: Sistemlerin erişilebilirliğini engellemeye yönelik her türlü Ağ veya Uygulama katmanı hizmet aksatma saldırısı.
2. Yıkıcı Testler: Verilerin silinmesine, bozulmasına veya sistemin çökmesine neden olabilecek zararlı testler.
3. Otomatik Tarayıcılar: Herhangi bir doğrulama yapılmadan doğrudan otomatik zafiyet tarama araçlarından (Nessus, Acunetix, Burp Suite Pro vb.) alınan ham çıktıların raporlanması.
4. Domain/sub-domain takeover saldırıları

2. Fiziksel Güvenlik ve İnsan Faktörü

1. Sosyal Mühendislik: Siber Kulüpler üyelerine, yöneticilerine veya kullanıcılarına yönelik Phishing (oltalama), Vishing, Smishing gibi sosyal mühendislik saldırıları.
2. Fiziksel Güvenlik: Sunucuların barındırıldığı veri merkezlerine veya ekip üyelerinin ofis/ev ağlarına yönelik fiziksel erişim denemeleri veya testleri.

3. Düşük Etkili veya Teorik Zafiyetler

1. Self-XSS: Sadece kullanıcının kendi tarayıcısında çalışan ve başka bir kullanıcıyı etkilemeyen XSS zafiyetleri.
2. Logout CSRF: Sadece kullanıcının sistemden çıkış yapmasına neden olan CSRF zafiyetleri.
3. Güvenlik Başlıkları (Security Headers): Sömürülebilir net bir etki kanıtlanmadığı sürece eksik HTTP güvenlik başlıkları (X-Frame-Options, CSP, HSTS vb.).
4. Eksik E-posta Kimlik Doğrulaması: Başarılı bir e-posta sahtekarlığı (spoofing) senaryosu gösterilmediği sürece SPF, DKIM ve DMARC kayıtlarının eksikliği.
5. Rate Limiting / Brute Force: Kritik olmayan uç noktalarda (endpoint) hız sınırlaması (rate limit) eksiklikleri (Örn: İletişim formlarında sınırlama olmaması).
6. Hassas Olmayan Bilgi İfşası: Yazılım versiyon bilgileri, sunucu banner'ları (Server: nginx/1.24.0 vb.) veya gizli olmayan dosyaların ifşası.
7. Clickjacking: Hassas bir işlem barındırmayan sayfalardaki Clickjacking bildirimleri.

4. Üçüncü Parti Sistemler

1. siberkulupler.com'un doğrudan kontrolü veya sahipliği altında olmayan üçüncü parti hizmet sağlayıcılar, eklentiler veya altyapılardaki (Örn: Kullanılan bir mail servisi veya barındırma sağlayıcısı) zafiyetler.
2. cdn.siberkulupler.com/*