Neler yeni
Kullanıcı:
Bughane Academy

Bughane Academy, bug bounty, web güvenliği ve sızma testi alanında kendini geliştirmek isteyenler için kurulmuş Türkçe odaklı bir topluluktur.

Burada; gerçek güvenlik açıkları, recon ve exploit teknikleri, payload & bypass yöntemleri, araçlar, scriptler ve write-up’lar topluluk tarafından paylaşılır ve tartışılır.

Birlikte öğren, birlikte üret, birlikte güçlen.

Hackeronedaki 2 ci ve 3 cü raporum.

  • Konuyu Başlatan Konuyu Başlatan Seslo
  • Başlangıç tarihi Başlangıç tarihi
S

Seslo

Aday
Katılım
30 Mart 2026
Mesajlar
10
Tepkime puanı
3
Puan
3
Selam . Dün gece hackerone daki 2 ci ve 3 cü raporlarımı gönderdim ve bu gün ikisinede N/A geldi. Birincinin yanlış olduğunu sonradan anladım . Olay şöyleydi login panelinde username test ve password test credentialları ile login olmayı başarmıştım . Hesaba girdiğimde api key, webhook , bank accounts tabların gördüğümde herhalde bişey buldum diye direkt raporladım. N/A gelince dedim girip bakayım. Ve hesab boşdu. api keys kısmı boş, kendim istesem ekleye biliyorum yeni api key, bank accounts kısmıda boşdu , users kısmında ise 3 tane test hesabı vardı example mailleri ile . Burdan çıkardığım ders kesin bişey bulmamış raporlamayacağım . Ama ikinci neden N/A aldı onu anlamadım pek. Ikincide olay şu login paneli yine username alıyor ve başarılı ve başarısız durumda farklı sonuçlar veriyor. Sonrasında admin userının olduğun buldum bir tane rastgele şifre denedim account locked 1 saatliğine. Bende bu ikisini birleştirip rapor hazırladım ki birisi bunu kullanarak username enumeration yapa bilir ve sistemdeki kullanıcıları DoS a maruz bıraka bilir. Ek bişey daha var ben bu bana gelen triageri bir search etdim google da ( ikisinede aynı triager bakmıştı ) . Reddit, linkedin ve twitterde şikayetler olduğunu gördüm . Sormak istedğim soru şu galiba hackerone arabuluculuk denilen sistemi var sizce oraya şikayet etsemmi? Bu açık şikayet etmeye değermi?
 
knk bence programların kurallarını oku bazı programlar elle tutulur bişiler ister , dom xss kabul etmeyen program bile gördüm ve bunun gibi raporladığın şeylere ya n/a yada informative girerler bug için programa tam anlamıyla zarar vermen lazım mesela xss gibi cookie çalabilirsin yada javascript çalıştırabilirsin
 
YOHOHOHOHOHO' Alıntı:
knk bence programların kurallarını oku bazı programlar elle tutulur bişiler ister , dom xss kabul etmeyen program bile gördüm ve bunun gibi raporladığın şeylere ya n/a yada informative girerler bug için programa tam anlamıyla zarar vermen lazım mesela xss gibi cookie çalabilirsin yada javascript çalıştırabilirsin
Genişletmek için tıkla ...
xss kritik bi açık olmasada bunun gibi şeyler mesela en düşük açık olarak redirect olabilir
 
Seslo' Alıntı:
Selam . Dün gece hackerone daki 2 ci ve 3 cü raporlarımı gönderdim ve bu gün ikisinede N/A geldi. Birincinin yanlış olduğunu sonradan anladım . Olay şöyleydi login panelinde username test ve password test credentialları ile login olmayı başarmıştım . Hesaba girdiğimde api key, webhook , bank accounts tabların gördüğümde herhalde bişey buldum diye direkt raporladım. N/A gelince dedim girip bakayım. Ve hesab boşdu. api keys kısmı boş, kendim istesem ekleye biliyorum yeni api key, bank accounts kısmıda boşdu , users kısmında ise 3 tinane test hesabı vardı example mailleri ile . Burdan çıkardığım ders kesin bişey bulmamış raporlamayacağım . Ama ikinci neden N/A aldı onu anlamadım pek. Ikincide olay şu login paneli yine username alıyor ve başarılı ve başarısız durumda farklı sonuçlar veriyor. Sonrasında admin userının olduğun buldum bir tane rastgele şifre denedim account locked 1 saatliğine. Bende bu ikisini birleştirip rapor hazırladım ki birisi bunu kullanarak username enumeration yapa bilir ve sistemdeki kullanıcıları DoS a maruz bıraka bilir. Ek bişey daha var ben bu bana gelen triageri bir search etdim google da ( ikisinede aynı triager bakmıştı ) . Reddit, linkedin ve twitterde şikayetler olduğunu gördüm . Sormak istedğim soru şu galiba hackerone arabuluculuk denilen sistemi var sizce oraya şikayet etsemmi? Bu açık şikayet etmeye değermi?
Genişletmek için tıkla ...
admin aktivitelerinin olduğu sayfa vardı ne yaptıklarını görüyordum adlarını da adamlar informative kapattı
 
YOHOHOHOHOHO' Alıntı:
knk bence programların kurallarını oku bazı programlar elle tutulur bişiler ister , dom xss kabul etmeyen program bile gördüm ve bunun gibi raporladığın şeylere ya n/a yada informative girerler bug için programa tam anlamıyla zarar vermen lazım mesela xss gibi cookie çalabilirsin yada javascript çalıştırabilirsin
Genişletmek için tıkla ...
DoS zarar saylımıyormu? Çünkü direkt basit script le sistemdeki hesapları kilitleye bilirsin ?
 
şikayet etsende değişen hiç bişey olmaz triyaj ekibinin yanında olurlar.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst