Intigriti bug Bytes #232 – Ocak 2026 🚀

   Ocak 16, 2026  Posted in Mix


Bug Bytes’ın son baskısına (ve 2026’nın ilk baskısına) hoş geldiniz! Bu ayki sayımızda şunları tanıtacağız:

  • Resmi AWS GitHub depolarının ele geçirilmesi

  • Yeni anonim hata ödül forumu

  • Benzersiz bir metodoloji kullanarak daha fazla IDOR ve SSRF bulma

  • Gizli uç noktaları bulmak için yeni JavaScript dosya tarayıcısı

Ve çok daha fazlası! Hadi dalalım!

Aralık 2025 bir patlamaydı! Yüksek düzeyde katılım gösteren topluluk üyelerimiz sayesinde, bir ayda 2 CTF yarışmasına başarıyla ev sahipliği yaptık. Ödül havuzunu değiştirdiğimiz için SantaCloud CTF özeldi. Kazananlar, her zamanki hediye kuponları yerine sınırlı sayıda üretilen bir tişörtle evlerine döndü.

Hızlı özet:

  • 84 bilgisayar korsanı doğru bayrağı bildirdi

  • 6 kazanan havalı bir tişört aldı

  • Ve 20 hacker güzel bir yazı yazdı

Bu CTF mücadelesi, Noel Baba’nın teslim etmesi gereken tüm paketlerin yönetimini ve dağıtımını sağlayan bir yönetim bulut portalını temsil ediyordu. Araştırmacılara ilk erişimi (kaba kuvvet uygulamadan) elde etme ve iki ayrı güvenlik açığından yararlanarak bayrağı ele geçirme görevi verildi.

Keşif becerilerinizi teste tabi tutmak istiyorsanız, araştırmacıların sunduğu tüm çözümleri bulabileceğiniz Bugology’ye gitmeden önce SantaCloud CTF’yi mutlaka deneyin.

Yazıları okuyun

Renwa’nın Intigriti 1225 Thanos temalı CTF’si, zincirlendiğinde kök etki alanında XSS’ye izin veren 6 farklı istemci tarafı güvenlik açığı içeriyordu. Bu CTF’yi yalnızca 6 bilgisayar korsanı çözmeyi başardı.

Intigriti 1225’i çözmek için neler gerektiği hakkında derinlemesine bilgi edinmek istiyorsanız, meydan okumanın yazarı tarafından incelenen teknik makalemize mutlaka göz atın.

Aralık CTF Mücadelesi: Zincirleme XS sızıntıları ve PostMessage XSS Kapak Resmi

Resmi yazıyı okuyun

Araştırmacıların hata ödülüne nasıl girdiğini paylaşmak ve yeni başlayanlar ve orta düzey avcılar için ara sıra pratik ipuçları vermek üzere yeni bir aylık hacker tanıtım serisini başlattık.

İlk hacker tanıtım konuğumuz Isira Adithya. 16 yaşında başlayıp 21 yaşında finansal bağımsızlığa kavuşup gelişen bir güvenlik kariyerine nasıl ulaştığını öğrenmek için onunla sohbet ettik:

• Böcek ödülü yolculuğuna nasıl başladı?
• Adanmışlık ve merak inanılmaz fırsatların kapısını nasıl açtı?
• “Hacker zihniyeti” onun için ne anlama geliyor?
• Hata avlamayı siber güvenliğe giden bir yol olarak düşünen herkes için pratik ipuçları

İlk hatadan finansal bağımsızlığa kadar. Böcek ödülü avcılığı Isira’nın yolunu nasıl şekillendirdi?

Hikayesinin derinliklerine inin

Dün Ofis Saatleri’nin ilk bölümü vardı. Bu yeni podcast serisinde, hata ödülü avcıları ve güvenlik araştırmacılarıyla birlikte oturup SİZİN hata ödülü ve web güvenliğiyle ilgili sorularınızı Discord ve Twitter/X Spaces’ta yanıtlayacağız!

Dünkü bölümde Caido’nun kurucu ortağı Émile yer aldı. Hataları bulmak için proxy müdahalesinin kullanılmasından, Caido’nun geleceğinden ve bunun güvenlik testleri sırasında sizin gibi hata ödül avcılarını ve güvenlik araştırmacılarını nasıl güçlendireceğinden bahsettik.

Kayıtlar yakında yayınlanacak. Sosyal medyalarımızdan haberdar olmak için takip etmeyi unutmayın.

Discord topluluğumuza katılın

2025’teki zaferler, alınan dersler ve 2026’da Intigriti’nin başına neler geleceği hakkında konuşmak üzere üst düzey yöneticilerimizle bir araya geldik.

Sohbetimizde şunları tartıştık:

  • 2025’in en büyük kilometre taşları

  • Bu yılın stratejik öncelikleri

  • Yeni ortaklıklar ve platform yenilikleri

  • 2026’da hata ödülü araştırmacılarını nasıl güçlendiriyoruz?

2025’i düşünmek, 2026’yı şekillendirmek. Intigriti liderliğinin söyleyecekleri.

Röportajın tamamına dalın

2025’te pek çok şey yaşandı ve 2026’da siber güvenliğin geleceğini şekillendirecek en önemli temel unsurları tek bir birleşik raporda toplamak için çok çalıştık.

Gerçek verilerle gürültüyü ortadan kaldırın:

2026 Güvenlik tahmini raporu

Kopyanızı indirin

Yeni araştırmacı kazanç API’si

Güvenlik araştırmacılarına ödeme ayrıntılarına ilişkin kapsamlı bir genel bakış sunmak için özel olarak tasarlanmış yeni bir API uç noktasını duyurmaktan heyecan duyuyoruz. Bu uç nokta, tüm ödülleriniz, bonuslarınız ve pentest ödemeleriniz için kapsamlı ayrıntılara ulaşmanızı sağlar. Kazançlarınızı takip etmenize ve ödeme verilerini kişisel iş akışlarınıza entegre etmenize olanak tanır.

Daha fazla bilgi edin

Yeni: Geliştirilmiş hacker profilleri

Etik bilgisayar korsanlarının Intigriti başarılarının yanı sıra diğer büyük hata ödül platformlarından aldıkları itibar puanlarını da görüntülemelerine olanak tanıyan yeni bir profil geliştirmesi sunduk. Bu isteğe bağlı özellik, bilgisayar korsanlarına deneyimlerinin ve uzmanlıklarının daha eksiksiz bir görünümünü sergilemek için tam kontrol sağlarken, Intigriti’nin yerleşik itibarının açıkça temsil edilmesini sağlar. Parçalanmış itibar verilerini birleştirerek, bilgisayar korsanlarının araştırmacı topluluğu genelinde güveni ve tanınmayı güçlendiren eksiksiz bir profesyonel profil sunmalarına yardımcı oluyoruz.

Hesabınızda oturum açın

Yeni: Azaltılmış güvenlik açığı hakkında bildirim

Tekrarlanan gönderimler çözümlendiğinde araştırmacıları uyaran, sizi düzeltmeyi test etmeye ve olası atlamaları aramaya davet eden yeni bir bildirim sistemi uyguladık.

Bu özellik, bilgisayar korsanlarının çözüm durumu hakkında bilgi sahibi olmasını sağlar ve ilk düzeltmeye yönelik yeni geçiş noktalarını belirleyerek ek ödüller kazanma fırsatları yaratır.

Intigriti’de avlanmaya başlayın

Bloglar ve videolar

Zincirleme XS sızıntıları ve PostMessage XSS

Aralık CTF Mücadelesi: Zincirleme XS sızıntıları ve PostMessage XSS Kapak Resmi

XS-Leaks ve postMessage güvenlik açıkları bir araya getirildiğinde aldatıcı derecede güçlüdür, ancak birçok araştırmacı daha belirgin saldırı vektörleri lehine bunları gözden kaçırmaktadır. Bu Aralık ayındaki CTF mücadelesinde, ana etki alanında XSS elde etmek için istemci tarafı zamanlama saldırılarını, CSP atlamalarını ve DOM manipülasyonunu birleştiren çok aşamalı bir yararlanma tekniği yer alıyor. İstemci tarafı bilgisayar korsanlığı becerilerinizi geliştirmek istiyorsanız, bu ayrıntılı izlenecek yol, Intigriti 1225 CTF sorununu çözmek için gereken adımları ayrıntılı olarak açıklamaktadır.

  • Aralık ayı boyunca, (yeni) hata ödülü avcılarının 2026’daki ilk hatalarını bulmalarına yardımcı olmak amacıyla 31 hata ödülü ipucu paylaştık. Kaçırmış olmanız durumunda, 31 ipucunun tümünü tek bir belgede birleştiren bir kaynak yayınlamayı planlıyoruz. Haberdar olmak için bizi sosyal hesaplarımızdan takip etmeyi unutmayın.

  • Next.js, popüler ve yaygın olarak kullanılan bir React çerçevesidir; karmaşıklığı, Sunucu Tarafı İstek Sahteciliği (SSRF) gibi kritik güvenlik kusurlarına neden olabilir. Bu makalede Next.js uygulamalarını hedef alan gelişmiş SSRF yararlanma teknikleri ayrıntılı olarak ele alınmaktadır.

Aletler

JSAnalayzer

JavaScript dosyalarını analiz etmeyi çok mu zor buluyorsunuz? JSAnalyzer, JS’den API uç noktalarını, URL’leri ve hassas bağlantıları otomatik olarak çıkaran, @_jensec tarafından geliştirilen yeni bir Burp Suite uzantısıdır. Ayrıca yanlış pozitifleri en aza indirmek ve rastgele, ayrıntılı dizelerin raporlanmasını önlemek için akıllı gürültü filtrelemesi de gerçekleştirir.

  • Bazı hedeflerin XSS saldırılarına karşı giriş uzunluklarını kısıtlamak da dahil olmak üzere sertleştirilmiş önlemler aldığını biliyoruz. Tiny XSS Payloads, @terjanq tarafından hazırlanan, her türlü kısa yükün yer aldığı, en kısa yükün yalnızca 17 karakterden oluştuğu bir kısa bilgi sayfasıdır!

  • BugBounty.Forum, araştırmacıların bilgi paylaştığı, hata ödülüyle ilgili sorular sorduğu ve birbirlerine yardım ettiği, yeni başlatılan bağımsız bir topluluk forumudur. Başkalarının deneyimlerinden öğrenebileceğiniz ve güvenilir topluluk üyeleriyle tartışmalara girebileceğiniz yerdir.

  • SSRF’leri bulmak eğlencelidir ancak bunları RCE’lere iletmek her zaman güzeldir. Surf by @assetnote, bulut ortamlarındaki gizli SSRF hedeflerini keşfetmenize yardımcı olur. Yalnızca dahili kaynaklardan gelen trafiği kabul edecek şekilde yapılandırılmış, geleneksel IP tabanlı filtreleri atlayan SSRF kullanımı için mükemmel adaylar olan etki alanlarını belirlemek üzere bir ana bilgisayar listesini tarayarak çalışır.

Daha fazla IDOR bulma

Bazı durumlarda kullanıcı oturumlarının üzerine, IDOR’lar gibi kolay yetkilendirme geçişlerine izin veren önemsiz yollarla yazılabilir. @the_IDORminator, belirli uygulama içi bileşenlerin kötüye kullanılmasının oturumun dolmasına nasıl yol açabileceğini ve daha fazla IDOR’un belirlenmesine nasıl yardımcı olabileceğini açıklıyor.

  • IDOR’ların kullanımı basit ancak bulunması oldukça karmaşıktır. Bu araştırmacı, güvenlik açığı bulunan istek için gerekli olan geçerli şifre karmalarını numaralandıramadı, ancak bu parametrenin SSO bağlantılı hesaplar için doğrulanmadığını ve bu durumun yetkisiz hesap silme işlemine izin verdiğini öğrendi.

  • SSRF’ler harika böceklerdir ve çok para kazandırırlar. @thedawgyg, yalnızca SSRF açıklarını bildirerek 1 milyon doların üzerinde kazanç elde etme öyküsünü paylaşıyor.

  • @sl4x0, genel CMS yanlış yapılandırmaları zincirinin nasıl tam uzaktan yönetici erişimine yol açabileceğini gösteriyor. Bu makale, daha küçük sorunların nasıl daha kritik güvenlik açıklarına dönüştürülebileceğini anlamanın açık bir örneğidir.

  • @_bergee_, tek bir .zip dosyasında komut ekleme yoluyla RCE de dahil olmak üzere iki kritik güvenlik açığının bulunmasına ilişkin büyüleyici bir hikaye paylaşıyor. Dosya yüklemelerinizi çeşitli güvenlik açıklarına karşı her zaman kapsamlı bir şekilde test etmeniz gerektiğini hatırlatıcınız.

  • @H4cktus, görünüşte masum/sağlık uç noktasının bile milyarlarca dolarlık bir şirketi tehlikeye atmak için nasıl silah haline getirilebileceğini araştırıyor.

  • Hepimizin bir yerden başlaması gerekiyordu. @jugnupanchal2812, sızdırılan sırları etkili bir şekilde arayarak başlangıç ​​seviyesinden ilk rozetini kazanmaya kadar olan yolculuğunu belgeliyor. 2026’da hata ödülüne başlamayı planlıyorsanız bu makaleden bir iki şey öğrenebilirsiniz.

  • @BourAbdelhadi, Rep+ (istekleri engellemek için hafif bir Chrome DevTools uzantısı) kullanmanın, kritik bir Supabase JWT maruziyetini tanımlamaya ve tabloların ve hassas verilerin numaralandırılmasına nasıl olanak sağladığını gösteriyor.

  • @zhero___ başarılı böcek ödülü avcılığının ardındaki zihniyet, stratejiler ve simyaya dair paha biçilmez içgörüleri paylaşıyor, aynı zamanda sürekli öğrenmenin ve ışıkta yinelemenin önemini vurguluyor. Bu teknik olmayan bir makale olmasına rağmen, hata bulma becerilerini geliştirmeye çalışan herkes için son derece bilgilendirici bir okuma olmaya devam ediyor.

  • @iamgk808, hata ödülü yolculuğunun inanılmaz bir öyküsünü paylaşıyor ve başarısızlıklar karşısında ısrar etmenin sonuçta nasıl önemli kazançlara yol açtığını ayrıntılarıyla anlatıyor. Makale, böcekleri daha iyi avlamak için uygulayabileceğiniz birkaç ipucu içermektedir.

  • Wiz, AWS CodeBuild’da saldırganların resmi AWS GitHub depolarını ele geçirmesine ve derleme günlüklerindeki sırları sızdırmasına olanak tanıyan kritik bir güvenlik açığını ortaya çıkardı.

  • Bizi 2025’te Twitter’da takip ettiyseniz, paylaştığımız çok sayıda hata ödülü ipucundan ve web hackleme püf noktalarından bizi hatırlayacaksınız. Zaman çizelgemizi inceledik ve 2025’te paylaştığımız en faydalı 20 hata ödülü ipucunu tek bir başlıkta listeledik. İçeriklerimizi beğendiyseniz takip etmeyi unutmayın.

Tıklamadan önce: Geri bildiriminiz var mı veya teknik içeriğinizin bir sonraki Bug Bytes sayısında öne çıkmasını mı istiyorsunuz? Sizden haber almak istiyoruz. Bize [email protected] adresinden e-posta göndermekten çekinmeyin veya DM X/Twitter’dayız ve oradan devam edeceğiz.

Bu Bug Bytes sayısını beğendiniz mi? Bunu arkadaşlarınızla paylaşmayı ve bizi X/Twitter, Instagram veya LinkedIn’de etiketlemeyi düşünün.

Şimdiden bereketli bir ay geçirmenizi dilerim

Sallanmaya devam edin!





Source link