- Katılım
- 2 Ocak 2026
- Mesajlar
- 14
- Tepkime puanı
- 34
- Puan
- 13
Bug bounty yaparken bu kadar çok aracı aynı anda kullanmana gerek yok. Hatta çoğu zaman gerek bile yok. Asıl farkı yaratan şey; doğru metodoloji, hedefi anlayabilme, manuel test refleksi ve az ama etkili araçları derinlemesine kullanabilme becerisidir. Araç listeleri bir noktadan sonra insanı tool içinde boğar, “çalışıyormuş gibi hissettirir” ama gerçek bulgu üretmez. İyi bir hunter; önce manuel bakar, mantığı kurar, sonra gerektiği yerde aracı devreye sokar. Bug bounty’de başarı, kaç araç bildiğinle değil, ne aradığını ne zaman arayacağını bilmenle gelir.
Her aracı çalıştırmak verim değildir, otomasyon → manuel düşüncenin yerine geçmez, tool sadece büyüteçtir, akıl değildir.
Aşağıdaki liste bir ansiklopedi gibidir; hepsini kullanmak zorunda değilsin, bilmen yeterlidir, araçlar bilgi amaçlıdır.
"The quieter you become, the more you are able to hear." — Kali Linux
BÖLÜM 9 – DOSYA YÜKLEME, MIME & POLYGLOT SALDIRILAR
Polyglot Payload’lar
File Upload (Dosya Yükleme Zafiyetleri)
BÖLÜM 10 – AUTHENTICATION, PAROLA & ERİŞİM KONTROLLERİ
Password Attacks (Parola Saldırıları)
Bruteforce & MFA Bypass
Authentication (Kimlik Doğrulama Zafiyetleri)
BÖLÜM 11 – CLOUD, CONTAINER & CI/CD GÜVENLİĞİ
Cloud Security (Bulut Güvenliği)
CI/CD Security
Container & Kubernetes Security
Her aracı çalıştırmak verim değildir, otomasyon → manuel düşüncenin yerine geçmez, tool sadece büyüteçtir, akıl değildir.
Aşağıdaki liste bir ansiklopedi gibidir; hepsini kullanmak zorunda değilsin, bilmen yeterlidir, araçlar bilgi amaçlıdır.
"The quieter you become, the more you are able to hear." — Kali Linux
BÖLÜM 9 – DOSYA YÜKLEME, MIME & POLYGLOT SALDIRILAR
Polyglot Payload’lar
| ARAÇ | ÖZELLİK | ADRES |
| polyglot-images | Görsel + script içeren polyglot dosya koleksiyonu. | |
| PayloadsAllTheThings – Upload Bypass | Dosya yükleme bypass payload’ları içerir. |
PayloadsAllTheThings/Upload Insecure Files at master · swisskyrepo/PayloadsAllTheThingsA list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings
github.com
|
File Upload (Dosya Yükleme Zafiyetleri)
| ARAÇ | ÖZELLİK | ADRES |
| fuxploider | Dosya yükleme zafiyetlerini tespit ve sömürmek için kullanılan otomatik araçtır. |
GitHub - almandin/fuxploider: File upload vulnerability scanner and exploitation tool.File upload vulnerability scanner and exploitation tool. - almandin/fuxploider
github.com
|
| Burp Upload Scanner | Burp Suite üzerinden upload zafiyetlerini test eder. |
GitHub - PortSwigger/upload-scanner: HTTP file upload scanner for Burp ProxyHTTP file upload scanner for Burp Proxy. Contribute to PortSwigger/upload-scanner development by creating an account on GitHub.
github.com
|
BÖLÜM 10 – AUTHENTICATION, PAROLA & ERİŞİM KONTROLLERİ
Password Attacks (Parola Saldırıları)
| ARAÇ | ÖZELLİK | ADRES |
| Hydra | Birçok protokol için paralel parola brute-force aracı. |
GitHub - vanhauser-thc/thc-hydra: hydrahydra. Contribute to vanhauser-thc/thc-hydra development by creating an account on GitHub.
github.com
|
| Medusa | Hızlı ve modüler parola brute-force aracıdır. |
GitHub - jmk-foofus/medusa: Medusa is a speedy, parallel, and modular, login brute-forcer.Medusa is a speedy, parallel, and modular, login brute-forcer. - GitHub - jmk-foofus/medusa: Medusa is a speedy, parallel, and modular, login brute-forcer.
github.com
|
| Ncrack | Network servisleri için parola brute-force aracı. |
GitHub - nmap/ncrack: Ncrack network authentication toolNcrack network authentication tool. Contribute to nmap/ncrack development by creating an account on GitHub.
github.com
|
Bruteforce & MFA Bypass
| ARAÇ | ÖZELLİK | ADRES |
| Patator | Modüler brute-force framework’üdür. |
GitHub - lanjelot/patator: Patator is a multi-purpose brute-forcer, with a modular design and a flexible usage.Patator is a multi-purpose brute-forcer, with a modular design and a flexible usage. - lanjelot/patator
github.com
|
| MFASweep | MFA yanlış yapılandırmalarını tespit eder. |
GitHub - dafthack/MFASweep: A tool for checking if MFA is enabled on multiple Microsoft ServicesA tool for checking if MFA is enabled on multiple Microsoft Services - dafthack/MFASweep
github.com
|
Authentication (Kimlik Doğrulama Zafiyetleri)
| ARAÇ | ÖZELLİK | ADRES |
| AuthMatrix | Yetkilendirme ve authentication testleri için Burp Suite eklentisidir. |
GitHub - SecurityInnovation/AuthMatrix: AuthMatrix is a Burp Suite extension that provides a simple way to test authorization in web applications and web services.AuthMatrix is a Burp Suite extension that provides a simple way to test authorization in web applications and web services. - SecurityInnovation/AuthMatrix
github.com
|
| jwt_tool | JWT token’larını analiz, brute-force ve manipulate etmek için kullanılır. |
GitHub - ticarpi/jwt_tool: :snake: A toolkit for testing, tweaking and cracking JSON Web Tokens:snake: A toolkit for testing, tweaking and cracking JSON Web Tokens - ticarpi/jwt_tool
github.com
|
| JSON Web Token Toolkit | JWT güvenlik testleri için araç setidir. |
GitHub - ticarpi/jwt_tool: :snake: A toolkit for testing, tweaking and cracking JSON Web Tokens:snake: A toolkit for testing, tweaking and cracking JSON Web Tokens - ticarpi/jwt_tool
github.com
|
| OWASP ZAP Authentication Tester | OWASP ZAP içindeki auth test modülleridir. |
|
BÖLÜM 11 – CLOUD, CONTAINER & CI/CD GÜVENLİĞİ
Cloud Security (Bulut Güvenliği)
| ARAÇ | ÖZELLİK | ADRES |
| ScoutSuite | AWS, Azure ve GCP ortamlarında yanlış yapılandırmaları analiz eder. |
GitHub - nccgroup/ScoutSuite: Multi-Cloud Security Auditing ToolMulti-Cloud Security Auditing Tool. Contribute to nccgroup/ScoutSuite development by creating an account on GitHub.
github.com
|
| Prowler | AWS güvenlik best-practice kontrolleri yapan araçtır. |
GitHub - prowler-cloud/prowler: Prowler is the world’s most widely used open-source cloud security platform that automates security and compliance across any cloud environment.Prowler is the world’s most widely used open-source cloud security platform that automates security and compliance across any cloud environment. - prowler-cloud/prowler
github.com
|
| CloudSploit | Bulut ortamlarında zafiyet ve misconfiguration taraması yapar. |
GitHub - aquasecurity/cloudsploit: Cloud Security Posture Management (CSPM)Cloud Security Posture Management (CSPM). Contribute to aquasecurity/cloudsploit development by creating an account on GitHub.
github.com
|
| PacBot | AWS hesaplarını sürekli güvenlik denetimine sokar. |
GitHub - tmobile/pacbot: PacBot (Policy as Code Bot)PacBot (Policy as Code Bot). Contribute to tmobile/pacbot development by creating an account on GitHub.
github.com
|
CI/CD Security
| ARAÇ | ÖZELLİK | ADRES |
| GitLeaks | Git repo’larda gizli bilgi ve secret sızıntısı tespit eder. |
GitHub - gitleaks/gitleaks: Find secrets with Gitleaks 🔑Find secrets with Gitleaks 🔑. Contribute to gitleaks/gitleaks development by creating an account on GitHub.
github.com
|
| TruffleHog | Commit geçmişinde secret avcılığı yapar. |
GitHub - trufflesecurity/trufflehog: Find, verify, and analyze leaked credentialsFind, verify, and analyze leaked credentials. Contribute to trufflesecurity/trufflehog development by creating an account on GitHub.
github.com
|
| Semgrep | Statik kod analizi ile güvenlik hatalarını tespit eder. |
GitHub - semgrep/semgrep: Lightweight static analysis for many languages. Find bug variants with patterns that look like source code.Lightweight static analysis for many languages. Find bug variants with patterns that look like source code. - semgrep/semgrep
github.com
|
Container & Kubernetes Security
| ARAÇ | ÖZELLİK | ADRES |
| kube-hunter | Kubernetes cluster’larında güvenlik açıklarını tespit eder. |
GitHub - aquasecurity/kube-hunter: Hunt for security weaknesses in Kubernetes clustersHunt for security weaknesses in Kubernetes clusters - aquasecurity/kube-hunter
github.com
|
| kube-bench | Kubernetes CIS benchmark kontrolleri yapar. |
GitHub - aquasecurity/kube-bench: Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes BenchmarkChecks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark - aquasecurity/kube-bench
github.com
|
| Trivy | Container image ve filesystem zafiyet tarayıcısıdır. |
GitHub - aquasecurity/trivy: Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and moreFind vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and more - aquasecurity/trivy
github.com
|
| Dockle | Docker image güvenlik analiz aracı. |
GitHub - goodwithtech/dockle: Container Image Linter for Security, Helping build the Best-Practice Docker Image, Easy to startContainer Image Linter for Security, Helping build the Best-Practice Docker Image, Easy to start - goodwithtech/dockle
github.com
|
