Tüm Yazılar
-
CVE-2026-22787: html2pdf.js Kütüphanesinde Cross-Site Scripting (XSS) Zafiyeti
html2pdf.js kütüphanesinde bir Cross-Site Scripting (XSS) zafiyeti tespit ettim. Zafiyet, sanitize edilmemiş kullanıcı input’larının doğrudan innerHTML property’sine atanması nedeniyle ortaya çıkıyor. Bu, saldırganların uygulama bağlamında keyfi JavaScript kodu çalıştırmasına, potansiyel olarak session hijacking, veri hırsızlığı ve yetkisiz aksiyonlara yol açabilir.
-
Game Hacking 101: Mount and Blade Warband'da Memory Manipulation
Game hacking, oyunların verileri memory’de nasıl sakladığını ve yönettiğini anlamak için bir pencere açar. Memory manipulation’ı öğrenerek, oyun içi değerleri değiştirebilir, oyun mekaniklerini deneyebilir ve yazılımın düşük seviyede nasıl çalıştığına dair derinlemesine bilgi edinebilirsin. Bu rehberde, Mount and Blade Warband’ı hedef alarak memory manipulation tekniklerini keşfedeceğiz. Temel kavramlardan başlayıp, oyun...
-
SQL Injection Zafiyeti: GeoPandas to_postgis() Fonksiyonunda Güvenlik Açığı
Bir gün GeoPandas kütüphanesini kullanırken, to_postgis() fonksiyonunda bir şeylerin yanlış olduğunu fark ettim. Kullanıcı girdileri doğrudan SQL sorgularına ekleniyordu. Bu, klasik bir SQL injection zafiyetiydi. Zafiyeti bulduktan sonra fix’i de yazdım ve pull request açtım. Bu yazıda ne bulduğumu ve nasıl düzelttiğimi anlatacağım.
-
CVE-2025-66019: pypdf Kütüphanesinde LZW Decompression DoS Zafiyeti
PDF dosyaları, içeriklerini sıkıştırmak için çeşitli algoritmalar kullanır. Bu sıkıştırma, dosya boyutunu küçültür ancak güvenlik açısından bazı riskler de taşır. Güvenlik araştırması yaparken, pypdf kütüphanesinin LZW (Lempel-Ziv-Welch) decompression implementasyonunda bir DoS (Denial of Service) zafiyeti buldum. Bu yazıda, önce LZW algoritmasının nasıl çalıştığını ve neden bu zafiyete yol açtığını anlatacağım,...
-
PassDetective: Shell Geçmişinizdeki Parolaları ve Secret'ları Tespit Etmek
Shell command history’nizde yanlışlıkla yazdığınız parolalar, API key’ler veya secret’lar olabilir. Bu bilgiler history dosyanızda saklanıyor ve güvenlik riski oluşturuyor. PassDetective, shell geçmişinizi tarayarak bu tür hassas bilgileri tespit eden bir komut satırı aracı. Hem Kali Linux’ta hem de NixOS’ta kullanılabilen bu araç, düzenli ifadeler kullanarak komut geçmişinizdeki potansiyel güvenlik...
-
AI-Powered CAPTCHA Bypass: GPT-4o ve Gemini ile Otomatik CAPTCHA Çözme
Güvenlik araştırmaları yaparken, CAPTCHA’ların ne kadar etkili olduğunu test etmek istedim. Modern AI modellerinin görsel ve metin tabanlı CAPTCHA’ları ne kadar iyi çözebileceğini merak ediyordum. Bu yüzden, OpenAI’nin GPT-4o ve Google’ın Gemini gibi büyük çok modlu modelleri (LMM) kullanarak çeşitli CAPTCHA türlerini otomatik olarak çözen bir araç geliştirdim. Bu araç,...
-
exifLooter: Fotoğraflardan Gizli Konum Bilgilerini Çıkarmak
Son zamanlarda OSINT araştırmalarında fotoğrafların metadata’sından ne kadar fazla bilgi çıkarılabileceğini fark ettim. Bu yüzden, exiftool’un yeteneklerini daha da genişleten ve kullanımı kolaylaştıran exifLooter adında bir araç geliştirdim. Bu araç, fotoğrafların EXIF verilerinden GPS koordinatlarını çıkarıyor ve OpenStreetMap ile entegre çalışıyor. Üstelik artık Kali Linux’un resmi araçları arasında yer alıyor....
-
Instagram Dolandırıcılarını Hacklemek
Son zamanlarda çok fazla phishing sitesi ve mesaj görüyorum. Bu yüzden dolandırıcıların nasıl çalıştığını ve yüzlerce Instagram hesabını nasıl çaldıklarını araştırmaya karar verdim. Bu siteler muhtemelen anormal aktiviteleri fark ettikleri için kapatılmış.
-
Kapı Şifrelerini Atlama
Anahtar yerine, bu tür kilit sistemleri bir yere giriş için sayısal bir kod istiyor. Kodu, hesap makinesine benzer bir tuş takımından giriyorsunuz. Doğru kodu girerseniz kapı açılıyor. Bazıları kilidi açmak için pil veya küçük bir elektrik akımı kullanıyor.