Naci

70.000 dolara mal olan tek bir mantık hatası ve "yok sayılan" oturum yükseltme süreci. Görselde gördüğünüz durum, araştırmacı Teflon'un (Aman Bhuiyan) bir dev şirketin 2FA mekanizmasında yakaladığı ve "Gözlem, sömürüden üstündür" dedirten o meşhur zafiyeti özetliyor. Süreç teknik olarak şu şekilde ilerliyor: Kullanıcı adı ve şifre girildiğinde sunucu "auth2" adında bir token atıyor. Bu aşamada henüz 2FA geçilmediği için erişimin kısıtlı olması gerekiyor. Ardından 2FA kodu giriliyor ve sunucu bu kez "auth3" adında bir token veriyor. Bu yeni token'ın hesaba tam erişim sağlaması bekleniyor. Zafiyetin kilit noktası tam burada ortaya çıkıyor: Araştırmacı Burp Suite üzerinden bu iki token'ı karşılaştırdığında, post-2FA (2FA sonrası) gelen auth3 token'ın, pre-2FA (2FA öncesi) verilen auth2 token ile tıpatıp aynı (identical) olduğunu fark ediyor. Sunucu, kullanıcıya görsel olarak bir 2FA ekranı sunsa da arka planda oturumun yetki seviyesini yükseltmiyor (Session Elevation eksikliği). Bu, 2FA aşamasının sadece "kozmetik" bir bariyer olduğu; ilk aşamada alınan token'ın aslında en baştan tam yetkiye sahip olduğu anlamına geliyor. Sonuç ve Mühendislik Dersi: Araştırmacı, 2FA ekranını tamamen devre dışı bırakıp doğrudan ilk token ile hesaba sızabildiğini kanıtlıyor. Zafiyeti asıl büyüten olay ise "Mantık Tekrarı". Aynı şirketin aylar sonra başka bir uygulamasında da birebir aynı kod yapısının kullanıldığı fark ediliyor. Güvenli olmayan oturum yönetimi mantığının (broken logic) farklı varlıklarda tekrar edilmesi sonucu toplam ödül 70.000 dolara ulaşıyor. Güvenlik görsellikten ibaret değildir. Sunucu tarafında gerçek bir "durum değişikliği" gerçekleşmiyorsa, o bariyer sadece bir illüzyondur. Credits & Source Security Researcher: Teflon Video Link: Yorum Kısmında

Sadece renk ve şekil vermek için kullandığınız CSS bir gün bilgisayarınıza tam erişim sağlarsa ne olur?(CVE-2026-2441) Chrome'un 2026 yılındaki ilk Zero-Day zafiyeti olan CVE-2026-2441, tam da bu sorunun cevabı niteliğinde karşımıza çıktı. Modern tarayıcı mimarisinin ne kadar hassas bir denge üzerine kurulu olduğunu hatırlatan bu açık, alışılagelmişin dışında bir yerden, sadece yazı tiplerini şekillendirmekte kullanılan bir CSS kuralından sızdı. Bu teknik analizi hazırlarken arka plandaki C++ mimarisini ve bellek yönetimini derinlemesine inceledim. Gelin, siber güvenlik dünyasını hareketlendiren bu Use-After-Free (UAF) zafiyetine beraber bakalım. Zafiyetin Anatomisi Zafiyet, Chrome'un görüntüleme motoru Blink'in @ font-feature-values isimli CSS kuralını işleme biçiminde yatıyor. Bu kural, font özelliklerine isim vermek için kullanılıyor ve normal şartlarda oldukça zararsız görünüyor. Ancak sorun, verinin kendisinde değil, verinin işlendiği bellek yönetiminde ortaya çıkıyor. . Temel Sebep: Font Feature Value Maps yapıları işlenirken C++ tarafında bir yarış durumu (race condition) tetikleniyor. . Hata Mekanizması: Tarayıcı eşzamanlı olarak bellek üzerindeki bir haritayı güncellerken, o haritanın bulunduğu bellek alanını aniden serbest bırakıyor (free). Ancak kodun başka bir bölümü, hala o silinmiş belleğe işaret eden bir "dangling pointer" (boşta kalan işaretçi) üzerinden işlem yapmaya devam ediyor. . Saldırı Sonucu: Bir saldırgan, bu boşluktan yararlanarak ilgili bellek alanını kendi zararlı kodlarıyla doldurduğunda, tarayıcı bir sonraki erişimde bu veriyi gerçek bir komut gibi çalıştırıyor. Sonuç: Remote Code Execution (RCE). Yani sadece bir web sitesini ziyaret ederek tarayıcının kontrolünü saldırgana teslim etmek. Savunan Tarafın Perspektifi Bir sistem mimarı olarak, Chromium ekibinin bu sorunu nasıl çözdüğünü görmek oldukça öğretici. Kodun içinde bir işaretçinin bellekte ne kadar süre kalacağını tam olarak kestirememek, C++ gibi dillerde en sinsi mantık hatalarından biridir. Yama, bellek yönetimini manuel işaretçiler üzerinden yürütmek yerine std::move operasyonlarını kullanarak verinin güvenli yerel kopyalarını oluşturacak şekilde güncellendi. Artık işlem bitene kadar verinin bellekte kalması kesin olarak garanti ediliyor. Bu olaydan çıkarmamız gereken iki ana ders var: 1. Basit bir tasarım kuralı bile olsa, kullanıcı tarafından kontrol edilebilen her veri girişi potansiyel bir saldırı vektörüdür. 2. Rust gibi bellek güvenli dillerin tarayıcı motorlarına entegrasyonu artık bir lüks değil, yapısal bir zorunluluktur. Kullandığınız tarayıcı tabanı Chromium ise (Edge, Brave, Opera dahil), sisteminizi Chrome 145.0.7632.75 sürümüne veya üzerine vakit kaybetmeden güncelleyin. Güvenlik, sadece açık kapıları kapatmak değil, kapının nasıl inşa edildiğini anlamaktır. #Chrome #CVE20262441 #CyberSecurity #ZeroDay #ModernWeb #TechnicalMono

Yapay zekâlar gerçekten hatırlamaya başlarsa ne olur? Bazen bir fikir, sadece bir teknoloji projesi olarak değil; insanların birlikte üretme ve paylaşma isteğinin bir sonucu olarak ortaya çıkar. Lemma da tam olarak böyle bir düşünceden doğdu. Mehmet Bey’in Lemma’nın ortaya çıkış sürecini ve arkasındaki düşünceyi anlattığı konuşmasına kulak vermek gerçekten önemli. Çünkü bu proje yalnızca bir yazılım ya da teknik bir çalışma değil; aynı zamanda insanların kendi ihtiyaçlarını karşılayabilecek çözümleri üretmesine ilham veren bir yaklaşım sunuyor. Lemma’nın temelinde çok basit ama güçlü bir fikir var: Herkes, kendi alanında fayda sağlayacak araçları ve sistemleri geliştirebilir. Bu projeden yola çıkarak aslında herkes kendi işine yarayacak MCP’sini çıkarabilir, kendi üretim sürecini şekillendirebilir. Lemma tam da bu noktada bir kapı aralıyor. Bugün birçok değerli proje fark edilmeden geçip gidebiliyor. Oysa Lemma gibi girişimler; paylaşımın, ortak aklın ve üretmenin ne kadar kıymetli olduğunu bize yeniden hatırlatıyor. Bu yüzden bu projenin değerini bilmek, anlatmak ve daha fazla insanın bu fikirden ilham almasını sağlamak hepimiz için önemli. Belki de en güzel tarafı şu: Lemma tek bir kişinin projesi olarak kalmak zorunda değil. Aksine, herkesin katkı sağlayabileceği, kendi ihtiyacına göre geliştirebileceği bir düşünceyi temsil ediyor. Bu yüzden Mehmet Bey’in anlattıklarına gerçekten kulak vermek gerekiyor. Çünkü bazen bir fikri anlamak, yeni fikirlerin doğmasına vesile olur. Ve kim bilir, belki de Lemma’dan ilham alan bir sonraki büyük proje sizin fikrinizden doğacak. 🌱

@0xUchihamrx Congratulations! Your write-ups are incredibly valuable to the community — do you plan to continue them?

Hello all, I'm excited to share my recent bug bounty write-up How I found 2 critical vulnerabilities in a desktop app exposing internal systems & user PII. Full Story: uchihamrx.medium.com/how-i-found-tw… #bugbounty #bugbountytips

@xenit_v0 Harika özetlenmiş teşekkür ederim. Ai ile mcp geliştirmek ne kadar verimli oluyor acaba Mehmet Bey ?

🚀 Sıfırdan Bug Bounty 2026: 14 Günlük Ücretsiz Yol Haritası 2026 yılında siber güvenliğe adım atmak için pahalı araçlara veya binlerce dolarlık kurslara ihtiyacınız yok. İhtiyacınız olan tek şey: Sistemli bir çalışma planı ve doğru "Recon" (Keşif) mantığı. Birçok yeni başlayan, otomatik tarayıcıları çalıştırıp mucize beklerken yanılıyor. Gerçek ödüller (bounties), sistemin mantığını anlayan ve manuel test yapanlara gidiyor. İşte 14 günlük eksiksiz plan: 🛠️ AŞAMA 1: TEMEL İNŞASI (GÜN 1-3) Kod kırmadan önce, kodun nasıl "yaşadığını" anlamalısınız. Client-Server İlişkisi: Bir tarayıcı (Chrome/Firefox) sunucuya nasıl istek atar? HTTP Protokolü: GET (veri çekme), POST (form gönderme), PUT (güncelleme) ve DELETE metodlarını öğrenin. HTML/JS Okuma: Web sayfalarının iskeletini (formlar, input alanları, script tagları) okuyabilmek, açık bulmanın %50'sidir. 🔍 AŞAMA 2: AVCI GÖZÜYLE BAKMAK (GÜN 4-7) En yaygın ve etkili başlangıç açıklarını somut örneklerle öğrenin: IDOR (Veri Sızıntısı): URL'deki `user_id=100` değerini `101` yaparak başka bir kullanıcının özel verisine erişebiliyor musunuz? XSS (Script Enjeksiyonu): Arama kutusuna `` yazdığınızda sayfa bunu çalıştırıyor mu? Misconfigurations: Açık unutulmuş .env dosyaları veya varsayılan admin şifrelerini (admin/admin) kontrol edin. Ücretsiz Eğitim Kaynakları: PortSwigger Academy (Sektörün altın standardı). Hacker101 (HackerOne'ın ücretsiz video serisi). 📡 AŞAMA 3: KEŞİF (RECON) VE PROGRAM SEÇİMİ (GÜN 8-12) Yeni başlayanların en büyük hatası Google veya Meta gibi dev programlara saldırmaktır. Onlar yerine VDP (Vulnerability Disclosure Programs) programlarına odaklanın. VDP Avantajı: Para yerine "itibar puanı" veya "onur listesi" verirler. Rekabet çok düşüktür, öğrenmek için mükemmeldir. Modern Toollar (Ücretsiz): Subfinder & Amass: Subdomain keşfi için. httpx: Canlı hostları ayıklamak için. Burp Suite Community Edition: Trafiği yakalamak ve manipüle etmek için. 📝 AŞAMA 4: AV VE PROFESYONEL RAPORLAMA (GÜN 13-14) Bir açık bulduğunuzda onu nasıl sunduğunuz, ödül alıp almayacağınızı belirler. İyi bir rapor şunları içermelidir: 1. Title: Kısa ve net (Örn: "IDOR on /api/v1/user/settings allows PII leak"). 2. Summary: Açığın ne olduğunu bir cümlede özetleyin. 3. Steps to Reproduce: 1, 2, 3 şeklinde sıralı adımlar. 4. Impact: Bu açık işletmeye ne kadar zarar verebilir? (Critical/High). Unutmayın; "Recon" en önemli yetenektir. Otomatik tarayıcıları bir kenara bırakın ve sistemin mantığını manuel olarak sorgulamaya başlayın. 🛠️ #BugBounty #CyberSecurity #2026Roadmap #Hacking #InfoSec

Sadece API loglarını inceleyerek asıl sızıntıları gözden kaçırıyorsunuz ! 🚨 Çoğu bug hunter konfor alanından çıkamayıp sadece API yanıtlarına ve ana framework kurallarına odaklanıyor. Oysa the hacker mindset gereği asıl zafiyet UI'ın ötesinde, modern backend mimarilerinin state’i (durumu) HTML içine gömdüğü "hydration" aşamasında gizli. Ben de uzun süre sadece pırıl pırıl JSON dönen API uçlarını deşerdim. Zafiyetleri orada aramak kolaydır. Fakat modern sunucular, basit bir özel mobil User-Agent veya cihaza özel spesifik bir header uçurduğunuzda tamamen farklı bir rendering rotasına girebiliyor. Uygulamanın ana arayüzü erişiminizi bloklasa bile, arka planda gömülü