Nuri Çilengir

Ey Türk gençliği! Birinci vazifen; Türk istiklalini, Türk cumhuriyetini, ilelebet muhafaza ve müdafaa etmektir. Yaşasın Cumhuriyet. 🇹🇷

Kesinlikle haklısın, böyle bir durum da var fakat çalışan eksikliği giderilse bile yukarıda anlatmaya çalıştığım sorunun ortadan kalkacağını sanmıyorum. Dediğin gibi KPI / metrik hususu öncelik sadece üst yönetim için. Konunun orada tam anlamıyla güvenlik ile bir ilgisi olduğunu düşünmüyorum. Triager’lar için “anlamıyor” derken kastım şu aslında raw zafiyetlerin dışında, business critical ve data related zafiyetlerde hacker uygulamayı ve kurumu triager’dan çok daha iyi tanıyor, daha iyi analiz ediyor. Asıl vakit de tam olarak buna ayrılmalı çünkü mevzu doğrudan client impact’e dokunuyor. Şimdi platformların çoğu ai assisted triage’a geçmeye başladı ya da deniyor. Açıkçası burada da ciddi bir iyileştirme olacağını sanmıyorum çünkü trust ettikleri data yine kendilerinin geçmişteki triage davranışı. Yani aynı mindset’i bu sefer ölçeklendirip otomatize etmiş olacaklar :)

Aslında triager’lar anlamıyor değil. Ama az sayıda triager çok fazla rapora bakmak zorunda kalıyor. O yüzden detaylara ayıracak vakit olmuyor. Üst yönetim hacker memnuniyetini umursamıyor. O yüzden triagerların daha fazla zaman almalarına gerek duymuyorlar. Ben de triager’ken hackerın ne hissettiğini ne demek istediğini umursamıyordum çünkü “günde x rapora bakman lazım” baskısı vardı

Bu sadece HackerOne’a özgü bir durum değil, diğer bounty platformlarının çoğu da benzer şekilde bazı zafiyetleri client’a escale etmiyor. Burada iki taraflı bir hata var ama büyük pay kesinlikle bounty şirketlerinin. Triager’ların default davranışı şu: Bu zafiyeti client’a escale etsem kayda zorbalanır mıyım? Misconfiguration vb. bir şey için pool’u düşürmeye gerek var mı? Bu sorgunun altında bir cybersecurity mindset’i maalesef yok çünkü ürünü SQLi, RCE, SSRF gibi kendilerince kritik gördükleri raw zafiyet vaatleri üzerinden satıyorlar. Öte yandan triager’lar büyük security know-how’a sahip ekiplerden oluşmuyor ve security know-how’u olmasını umduğum insanlar tarafından manage ediliyorlar. Bir zafiyetin x ile chain’lendiğinde neye sebebiyet vereceğini ya da o business için ne anlama geldiğini sallamadığı/anlamlandıramadığı onlarca case yaşadım. Bu tip durumlarda zafiyeti genelde direkt client’a kendim iletiyorum. İşin komik yanı, bu platformların agentic/AI baser olarak sattığı/satacağı çözümler de aynı kapıya çıkacak çünkü trust ettikleri data tam olarak bunu içeriyor :) Ezcümle şirketlerin gerçek bir security kaygısı varsa bug bounty platformlarını çözüm değil, addition olarak görmeleri gerekiyor.

Arka arkaya koysam ansiklopedi uzunluğundaki pentest raporlarının çıktısı olarak promt engineering yani dert anlatabilme sanatını elde ettim teşekkürler sekuriti.

Ahahahahahahaaha boynu bükükler ❤️💛

@UgurOzsari Haklının acelesi yok abey :):):):)/

@ncilengir sen biliyon bu işi 😂

Doğum günümdü…

pentesting and ai situation is pretty clear. as costs go down, ai is definitely going to take over the deterministic and result-oriented industrial tasks. but for critical infrastructure and custom work that needs manual depth, it’ll just be best assistant. short term, we’re looking at an "assisted" era rather than a full replacement.

Will pentesting be replaced by AI? 🤔

New blog is live 👋 ncilengir.com Haven't been able to share much of my vuln research and security work publicly for a while. First post dropping soon, a writeup on a journey from 1-day to 0-day. More research and writeups on the way. Stay tuned 👀

Canımız sağolsun çocukluk aşkım 💛❤️

I love 1-day vulnerabilities because every time I mess with a one-day exploit, it somehow turns into a 0-day \m/

After 12 years on Arch, I had to use Windows for a short while and it reminded me how trash it is. Still young enough to keep running Arch 😄🐧

Vulnerability research is the loneliest job in the world.

@umutluoglu Yaşım <35 yukarıda olan/olmayan bircok tr geliştirci forumunda bulundum :(

Aranızda şu yazılım platformlarından en az 3 tanesini kullanmış olan varsa, tahminen yaşı 35 üzeridir. Zoque Forum Codeproject Maxiasp Türkphp Nedirtv Yazgeliştir Experts Exchange SourceForge W3schools ASPindir

@mucahic + Yeni mezun olmayan, öğrenci dolandıran (iş bulma garantili, bounty yapma garantili), umut satan sizler de yapmayın…

Beyfendi bugüne kadar hangi ticari işleminde paranın kaynağını sorgulamış ki Erden Timur’un sponsorluğundaki paranın kaynağını sorgulacak. O kadar kendi kişisel hırslarını, ilişkileri düşünen biri ki “Kaynağı belli değildi ama kullandık. Kimse de olur mu ya öyle şey demedi.” diyebilecek kadar izansız yalanlar söyleyebiliyor. Biraz onuru olan biriyse sorduk cümlesindeki kişileri referans vermesini ve şahitliklerini sağlaması gerekir. Onuru varsa tabii ki :)

@rizasabuncu ahahahhah :D

@ncilengir sağ kolu komple mora boyucam ben ajsfgksgdgdh

🎊 2025 RECAP Bug bounty earnings: $0 🥳🥳🥳🥳🥳

@rizasabuncu Çözüm belli sjsjsjsnssjjw

@ncilengir tembelliğimi yenebilirsem, beraber😜

I have learned so far has gone through my own learning methodology. Everyone has their own way and mine was never just “learn the topic.” I always end up asking where does this come from? and how does it actually work? while practicing Thats why I know a tomato is technically a fruit but I still don’t put it in a fruit salad. I guess I have been stuck with this habit for years which is probably why I never got into “tool lists” or keeping up with every new shiny thing I still get a lot DMs from many people asking “What tools do you automate with?” Honestly I dont. If im reading code, VSCode (only for debugging and regex search). If its dynamic, just a proxy KISS.