Tüm Yazılar
-
CVE-2026-0562: LollMS arkadaşlık isteği yanıtında IDOR zafiyeti
Bu zafiyeti 29 Aralık 2025’te raporladım. CVE-2026-0562 atandı, CVSS skoru 8.3 HIGH. Klasik bir IDOR: sıralı bir integer tahmin ederek başka birinin arkadaşlık isteğini kabul edebilir ya da reddedebiliyorsunuz.
-
IP adresi sınıflandırmasındaki tutarsızlıklar: diller arası farklar
Farklı programlama dillerinde IP adresi sınıflandırması davranışlarını inceledim. Özellikle loopback ve özel (private) IP’lerin nasıl sayıldığı konusunda diller arasında ciddi tutarsızlıklar var. Bu yazıda gördüklerimi ve neden önemli olduğunu paylaşıyorum.
-
SSRF Zafiyeti: DNS Rebinding Saldırısı ile Bypass
Güvenlik araştırması sırasında bir uygulamanın proxy ve file parsing API’lerinde SSRF (Server-Side Request Forgery) zafiyeti buldum. Zafiyet DNS rebinding ile bypass edilebiliyordu. Bunu simstudioai/sim projesine bildirdim; ekip hızlıca düzeltti ve zafiyet CVE-2025-69660 olarak kayda geçti. Bu yazıda zafiyetin nasıl işlediğini, DNS rebinding saldırısını ve uygulanan çözümü anlatıyorum.
-
PyPI, npm ve RubyGems'i sızan secret'lar için taradım. Microsoft, Automattic, Palo Alto ve daha fazlası
PyPI, npm, NuGet, RubyGems… Geliştiricilerin projelerine taşıdığı paketlerin çoğu buradan geliyor. Bu paketlerin içinde bazen secret da sızıyor: API anahtarları, private key’ler, token’lar. Bir kere yayına çıktı mı veri ihlali ve yetkisiz erişim riski artıyor. Bu yazıda bu depoları nasıl taradığımı, ne bulduğumu ve raporlama sürecini anlatıyorum.
-
Game Hacking 101 Part 2: Minesweeper reverse engineering ve memory analizi
Serinin ilk bölümünde Mount and Blade Warband’da memory manipulation tekniklerini gördük. Bu bölümde Minesweeper’ı reverse engineering ile ele alıyoruz: Cheat Engine ile pointer scanning, x64dbg ile hardware breakpoints ve memory analiziyle oyunun içini çözüyoruz. Reverse engineering’e giriş için iyi bir adım.
-
Kripto Para Dolandırıcılarını Tespit Etme: Wallet-Tracker ile Coin Mixing Analizi
Online dolandırıcılık artıyor; phishing’den sahte kripto borsalarına kadar kime güveneceğin belli olmuyor. Kripto dolandırıcılarını ve coin mixing’i takip etmek için Wallet-Tracker’ı kullanabilirsin. Araç, bir dolandırıcı wallet adresi verdiğinde o adresten ve o adrese gelen transaction’ları tarayıp Neo4j’de saklıyor; böylece şüpheli aktivite ve coin mixing’i analiz etmek kolaylaşıyor.
-
Bokeh'da Cross-Site WebSocket Hijacking: CVE-2026-21883
Bokeh üzerinde güvenlik incelemesi yaparken WebSocket origin doğrulamasında Cross-Site WebSocket Hijacking (CSWSH) zafiyeti buldum. Server tarafındaki match_host fonksiyonu hostname’i yanlış karşılaştırıyor; saldırgan kötü bir subdomain kaydederek allowlist’i aşabiliyor.
-
html2pdf.js'te XSS: CVE-2026-22787
html2pdf.js kütüphanesinde XSS (Cross-Site Scripting) zafiyeti buldum. Kullanıcıdan gelen input sanitize edilmeden innerHTML’e atanıyor; saldırgan sayfa bağlamında JavaScript çalıştırabiliyor (session hijacking, veri çalma, yetkisiz işlemler).
-
Game Hacking 101: Mount and Blade Warband'da Memory Manipulation
Game hacking, oyunların veriyi memory’de nasıl tuttuğunu anlamak için iyi bir giriş. Memory manipulation ile oyun içi değerleri okuyup yazabilir, mekanikleri deneyebilirsin. Bu yazıda Mount and Blade Warband üzerinden adım adım gidiyoruz: virtual memory, Cheat Engine ile tarama ve C++ ile programatik okuma/yazma.
-
SQL Injection Zafiyeti: GeoPandas to_postgis() Fonksiyonunda Güvenlik Açığı
Bir gün GeoPandas kütüphanesini kullanırken, to_postgis() fonksiyonunda bir şeylerin yanlış olduğunu fark ettim. Kullanıcı girdileri doğrudan SQL sorgularına ekleniyordu. Bu, klasik bir SQL injection zafiyetiydi. Zafiyeti bulduktan sonra fix’i de yazdım ve pull request açtım. Bu yazıda ne bulduğumu ve nasıl düzelttiğimi anlatacağım.
-
pypdf'te LZW decompression DoS: CVE-2025-66019
PDF’ler içeriği sıkıştırmak için farklı algoritmalar kullanır; bu da dosya boyutunu düşürür ama güvenlik tarafında risk de yaratır. pypdf üzerinde güvenlik araştırması yaparken LZW (Lempel-Ziv-Welch) decompression tarafında bir DoS (Denial of Service) zafiyeti buldum. Bu yazıda önce LZW’nin nasıl çalıştığını ve neden bu zafiyete yol açtığını anlatıyorum, sonra ZLIB gibi...
-
PassDetective: Shell Geçmişinizdeki Parolaları ve Secret'ları Tespit Etmek
Shell geçmişinde yanlışlıkla yazılan parolalar, API key’ler veya secret’lar kalabiliyor; bunlar history dosyanda duruyor ve risk oluşturuyor. PassDetective, shell history’ni tarayıp bu tür hassas bilgileri tespit eden bir CLI aracı. Kali Linux ve NixOS’ta kullanılabiliyor; regex ile 40’tan fazla secret tipini tanıyabiliyor.
-
AI ile CAPTCHA bypass: GPT-4o ve Gemini ile otomatik çözüm
CAPTCHA’ların ne kadar dayanıklı olduğunu test etmek istedim; modern çok modlu modeller (LMM) görsel ve metin CAPTCHA’ları ne kadar iyi çözüyor merak ettim. Bu yüzden GPT-4o ve Gemini kullanarak çeşitli CAPTCHA türlerini otomatik çözen bir araç yazdım. Selenium ile tarayıcıyı açıp CAPTCHA’yı çözüyor, başarılı denemeleri GIF olarak kaydediyor. Araştırma Black...
-
exifLooter: Fotoğraflardan gizli konum bilgilerini çıkarmak
OSINT araştırmalarında fotoğrafların metadata’sından ne kadar bilgi çıktığını fark ettim. exiftool’u daha kullanışlı hale getiren exifLooter adında bir araç yazdım. Fotoğrafların EXIF verisinden GPS koordinatlarını çıkarıyor, OpenStreetMap ile entegre çalışıyor. Araç Kali Linux’un resmi araçları arasında.
-
Instagram Dolandırıcılarını Hacklemek
Son zamanlarda çok fazla phishing sitesi ve mesaj görüyorum. Bu yüzden dolandırıcıların nasıl çalıştığını ve yüzlerce Instagram hesabını nasıl çaldıklarını araştırmaya karar verdim. Bu siteler muhtemelen anormal aktiviteleri fark ettikleri için kapatılmış.
-
Kapı Şifrelerini Atlama
Anahtar yerine, bu tür kilit sistemleri bir yere giriş için sayısal bir kod istiyor. Kodu, hesap makinesine benzer bir tuş takımından giriyorsunuz. Doğru kodu girerseniz kapı açılıyor. Bazıları kilidi açmak için pil veya küçük bir elektrik akımı kullanıyor.