aydinnyunus
EN | TR

Hakkımda

$ whoami

Merhaba, ben Yunus. Siber güvenlik, yazılım geliştirme ve açık kaynak teknolojileri üzerine çalışan bir güvenlik araştırmacısıyım. Bilgi paylaşmayı, güvenlik açıkları keşfetmeyi ve konuşmalar ile projeler aracılığıyla güvenlik topluluğuna katkıda bulunmayı seviyorum.

Black Hat Sector, BSidesBCN ve IWCON gibi önemli siber güvenlik konferanslarında araştırmalarımı paylaşma fırsatı buldum. Bu blogda yaptığım araştırmalar ve keşfettiğim güvenlik açıkları hakkında yazılar bulabilirsiniz.

Sertifikalar: AWS Cloud Practitioner | eWAPTXv2 | EMAPT

İlgi Alanlarım

En çok açık kaynak yazılımlarda ve CI/CD sistemlerinde güvenlik açıkları araştırmaya ilgi duyuyorum. Geliştiricileri ve yazılım tedarik zincirini etkileyen güvenlik sorunlarını bulup sorumlu bir şekilde açıklamaya odaklanıyorum.

Geçmişim

Siber güvenlik yolculuğuma güvenlik açığı araştırması ve sorumlu açıklama ile başladım. Popüler açık kaynak projelerde birden fazla CVE keşfettim ve raporladım. Yazılım ekosisteminin güvenlik duruşunun iyileştirilmesine katkıda bulundum.

Başarılar ve Tanınma

  • Microsoft Hall of Fame (x2) - Sorumlu güvenlik açığı açıklaması için tanındı
  • Google Bug Hunter Program - Onur Ödülü
  • STMCTF 6. Sıra - Türkiye'nin en uzun süren CTF yarışması, OutLawz takımı olarak 200 yarışmacı ve 50 takım arasında 6. sırada tamamladık (2022)
  • Turkcell UniBounty 1. Sıra - Üniversite bug bounty yarışmasında birinci oldum (2022)
  • Siemens Hall of Fame - Güvenlik araştırması katkıları için kabul edildim
  • Harvard Üniversitesi - Sorumlu açıklama için teşekkür mektubu aldım
  • Twente Üniversitesi Hall of Fame - Koordineli güvenlik açığı açıklaması için tanındım
  • AVL Hall of Fame - Sorumlu güvenlik açığı raporlaması için kabul edildim
  • BASF Hall of Fame - Güvenlik araştırması için tanındım
  • Deutsche Telekom Hall of Fame - Güvenlik katkıları için kabul edildim
  • HoneyWell Hall of Fame - Ürün güvenliği araştırması için tanındım
  • OsTicket - Stored XSS güvenlik açığı keşfettim ve sorumlu açıklama yaptım
  • T-Mobile Hall of Fame - Bug bounty katkıları için kabul edildim
  • Utrecht Üniversitesi Hall of Fame - Sorumlu açıklama için tanındım

Keşfedilen CVE'ler

  • CVE-2025-3777 - Hugging Face Transformers image_utils.py'de uygunsuz girdi doğrulama güvenlik açığı URL kullanıcı adı enjeksiyon atlamasına izin veriyor (Düşük)
  • CVE-2025-66019 - pypdf'in LZWDecode akışları RAM'i tüketmek için manipüle edilebilir (Orta)
  • CVE-2024-54000 - MobSF güvenlik açığı allow_redirects=True parametresi nedeniyle SSRF'ye izin veriyor (Yüksek)
  • CVE-2024-29409 - nest Content-Type başlığı aracılığıyla uzaktan saldırganın keyfi kod çalıştırmasına izin veriyor (Orta)
  • CVE-2024-27763 - XPixelGroup BasicSR Komut Enjeksiyonu (Orta)
  • GHSA-w228-rfpx-fhm4 - cg Referer Başlığında Açık Yönlendirme Güvenlik Açığına karşı savunmasız (Orta)
  • CVE-2024-29190 - mobsfscan'de assetlinks_check(act_name, well_knowns) üzerinde SSRF Güvenlik Açığı (Yüksek)
  • CVE-2015-5521 - BlackCat CMS 1.1.2'de çapraz site komut dosyası çalıştırma (XSS) güvenlik açığı, uzaktan saldırganların backend/groups/index.php'de yeni bir gruba ad aracılığıyla keyfi web komut dosyası veya HTML enjekte etmesine izin veriyor