- Katılım
- 2 Ocak 2026
- Mesajlar
- 14
- Tepkime puanı
- 34
- Puan
- 13
Bug bounty yaparken bu kadar çok aracı aynı anda kullanmana gerek yok. Hatta çoğu zaman gerek bile yok. Asıl farkı yaratan şey; doğru metodoloji, hedefi anlayabilme, manuel test refleksi ve az ama etkili araçları derinlemesine kullanabilme becerisidir. Araç listeleri bir noktadan sonra insanı tool içinde boğar, “çalışıyormuş gibi hissettirir” ama gerçek bulgu üretmez. İyi bir hunter; önce manuel bakar, mantığı kurar, sonra gerektiği yerde aracı devreye sokar. Bug bounty’de başarı, kaç araç bildiğinle değil, ne aradığını ne zaman arayacağını bilmenle gelir.
Her aracı çalıştırmak verim değildir, otomasyon → manuel düşüncenin yerine geçmez, tool sadece büyüteçtir, akıl değildir.
Aşağıdaki liste bir ansiklopedi gibidir; hepsini kullanmak zorunda değilsin, bilmen yeterlidir, araçlar bilgi amaçlıdır.
"The quieter you become, the more you are able to hear." — Kali Linux
BÖLÜM 7 – TEMPLATE, XML & QUERY TABANLI ENJEKSİYONLAR
Template Injection
XPath Injection
XML External Entity – XXE
Server-Side Template Injection – SSTI
BÖLÜM 8 –
CSP (Content Security Policy) Bypass
Clickjacking
Cross-Site Scripting – XSS
Her aracı çalıştırmak verim değildir, otomasyon → manuel düşüncenin yerine geçmez, tool sadece büyüteçtir, akıl değildir.
Aşağıdaki liste bir ansiklopedi gibidir; hepsini kullanmak zorunda değilsin, bilmen yeterlidir, araçlar bilgi amaçlıdır.
"The quieter you become, the more you are able to hear." — Kali Linux
BÖLÜM 7 – TEMPLATE, XML & QUERY TABANLI ENJEKSİYONLAR
Template Injection
| tplmap | Birden fazla template motoru için injection testleri yapar. |
GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation ToolServer-Side Template Injection and Code Injection Detection and Exploitation Tool - epinna/tplmap
github.com
|
XPath Injection
| xcat | XPath injection zafiyetlerini tespit ve sömürmek için kullanılır. |
GitHub - orf/xcat: XPath injection toolXPath injection tool. Contribute to orf/xcat development by creating an account on GitHub.
github.com
|
XML External Entity – XXE
| ARAÇ | ÖZELLİK | ADRES |
| XXEinjector | Blind ve out-of-band XXE testleri için gelişmiş araçtır. |
GitHub - enjoiz/XXEinjector: Tool for automatic exploitation of XXE vulnerability using direct and different out of band methods.Tool for automatic exploitation of XXE vulnerability using direct and different out of band methods. - enjoiz/XXEinjector
github.com
|
| oxml_xxe | Microsoft Office belgeleri üzerinden XXE testleri için kullanılır. |
GitHub - BuffaloWill/oxml_xxe: A tool for embedding XXE/XML exploits into different filetypesA tool for embedding XXE/XML exploits into different filetypes - BuffaloWill/oxml_xxe
github.com
|
Server-Side Template Injection – SSTI
| ARAÇ | ÖZELLİK | ADRES |
| tplmap | SSTI zafiyetlerini tespit ve sömürü için kullanılan otomatik araçtır. |
GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation ToolServer-Side Template Injection and Code Injection Detection and Exploitation Tool - epinna/tplmap
github.com
|
| SSTImap | Server-side template injection testlerine odaklanır. |
GitHub - vladko312/SSTImap: Automatic SSTI detection tool with interactive interfaceAutomatic SSTI detection tool with interactive interface - vladko312/SSTImap
github.com
|
| Flask-SSTI | Flask uygulamalarında SSTI öğrenme ve test amacıyla kullanılır. |
vulhub/flask/ssti at master · vulhub/vulhubPre-Built Vulnerable Environments Based on Docker-Compose - vulhub/vulhub
github.com
|
BÖLÜM 8 –
View hidden content is available for registered users!
CSP (Content Security Policy) Bypass
| CSP Evaluator | CSP yapılandırmalarını analiz eden Google aracıdır. |
GitHub - google/csp-evaluatorContribute to google/csp-evaluator development by creating an account on GitHub.
github.com
|
Clickjacking
| ARAÇ | ÖZELLİK | ADRES |
| Clickjacking-Tester | Frame ve iframe zafiyetlerini test eder. |
GitHub - D4Vinci/Clickjacking-Tester: A python script designed to check if the website if vulnerable of clickjacking and create a pocA python script designed to check if the website if vulnerable of clickjacking and create a poc - D4Vinci/Clickjacking-Tester
github.com
|
Cross-Site Scripting – XSS
| ARAÇ | ÖZELLİK | ADRES |
| XSStrike | Akıllı payload üretimiyle XSS zafiyetlerini tespit eder. |
GitHub - s0md3v/XSStrike: Most advanced XSS scanner.Most advanced XSS scanner. Contribute to s0md3v/XSStrike development by creating an account on GitHub.
github.com
|
| DalFox | Otomatik XSS tarayıcısı ve payload yönetim aracıdır. |
GitHub - hahwul/dalfox: 🌙🦊 Dalfox is a powerful open-source XSS scanner and utility focused on automation.🌙🦊 Dalfox is a powerful open-source XSS scanner and utility focused on automation. - hahwul/dalfox
github.com
|
| xsscrapy | Spider + XSS taraması yapar. |
GitHub - DanMcInerney/xsscrapy: XSS spider - 66/66 wavsep XSS detectedXSS spider - 66/66 wavsep XSS detected. Contribute to DanMcInerney/xsscrapy development by creating an account on GitHub.
github.com
|
| XSSer | Klasik ve kapsamlı XSS framework’üdür. |
GitHub - epsylon/xsser: Cross Site "Scripter" (aka XSSer) is an automatic -framework- to detect, exploit and report XSS vulnerabilities in web-based applications.Cross Site "Scripter" (aka XSSer) is an automatic -framework- to detect, exploit and report XSS vulnerabilities in web-based applications. - epsylon/xsser
github.com
|
| js-xss | JavaScript tabanlı XSS test aracı. |
GitHub - leizongmin/js-xss: Sanitize untrusted HTML (to prevent XSS) with a configuration specified by a WhitelistSanitize untrusted HTML (to prevent XSS) with a configuration specified by a Whitelist - leizongmin/js-xss
github.com
|
