Bug kelimesi hepimizin bildiği gibi sözcük anlamı böcektir. Yazılan bir uygulama ’da Bug oluşmasının nedeni developer ‘in yazılımını geliştirirken önceliği yazılan programın çalışmasıdır ve sonrasında geriye dönük bug’ları inceleyerek güvenlik açıklarını kapatmaya çalışır. Geliştirilen web sitesi ve uygulamalarda maksimum ve minimum oranda dönemsel değişkenlik gösteren güvenlik zafiyetleri dönem, dönem karşımıza çıkmaktadır. Örnek verirsek bir B2B veya B2C geliştirilen bir web sitesinde kodları görüntüleyerek Bug analizi yapabiliriz, fakat bu analiz hemen çözüme ulaşabileceği gibi bazen haftalar ve aylar alabilmektedir. Bug analizini iki grupta inceleriz bunlar;
İyi niyetli Bug Researcher ve Kötü niyetli Bug Researcher dır.
- İyi niyetli Bug Researcher: Geliştirilen bir web sitesi ya da uygulamada bulduğu açıkları ilgilisine bildirir. Uygulamayı kodlayan developer ‘a iletir.
- Kötü niyetli Bug Researcher: Geliştirilen uygulamada bulduğu açıkları uygulamaya zarar vermek için ve fidye amaçlıda kullanır.
Bug Researcher ‘in çalışma şekli geliştirilen web sitesi ya da uygulamalardaki hataları bulmaktır.
Bir sistemdeki kontrol edilmesi gereken en bilinen açıklar;
- SQL Injection
- Cross Site Scripting
- Remote File Include
- Cross Site Reference Forgery
Bug Researcher ‘in önceliği bu açıkları kontrol etmektir. Sistemlerde oluşan bir Bug mevcut sistemin ve bu sistem üzerindeki web tabanlı uygulamanın tutarsız çalışması ile birlikte güvenlik açıklarına neden olur. Kullanılan sistemler ve geliştirilen uygulamalardaki yazılım dillerine göre farklılık gösteren bug bilinmeyen hata kodları olarak karşımıza çıkmaktadır ve çözülmesi yazımın başında belirttiğim gibi zaman alabilmektedir.