- Katılım
- 2 Ocak 2026
- Mesajlar
- 106
- Tepkime puanı
- 122
- Puan
- 43
https://zekikayaalp.medium.com/?sou...0f1d34---------------------------------------
Uzun zamandır Siber güvenlik/Pentest dünyasının içinde olan biri olarak bu yazıda pentest yaparken yapılan bazı hatalardan bahsedeceğiz.
Özellikle yeni başlayanların sıklıkla yaptığı bu hatalar uzun süreçte yıpratıcı ve motive düşürücü oluyor.
Bu yazının özellikle yeni başlayan arkadaşlara faydalı olmasını umuyor, keyifli okumalar diliyorum.
Bismillah.
Değerli dostum sen bu alana girdikten sonra şunu iyice kabullenmen gerekiyor.
Senin profesyonelliğe taşıyacak bu yol bir bilgi birikim yoludur. Öğreneceğin her bir bilgi seni dünden daha iyi daha güçlü ve daha motive kılacaktır.
Udemy, youtube, bootcamp üzerinden izlediğin herhangi bir ders serisi, kamp veyahut video seni hızlıca bir bughunter yapmaz, yapamaz.
Her bir eğitiminin bir aşama olduğunu ve daha kat edecek yolunun var olduğunu bilmen gerekiyor.
Udemy üzerinden bir kurs satın alıyorsun , kurs bittikten sonra hemen bugbounty kazanmayı diliyorsun. MÜMKÜN DEĞİL. Bunu kabullen artık. O senin için sadece bir aşamaydı. Sıradaki aşama öğrendiklerini iyice pekiştirip, uygulama gerektiren yerleri pratiğe dökmendir.
İnternet üzerinden göreceğin her eğitim temel-orta seviyedir.
Hemen hemen hiçbir sosyal mecra eğitimi seni ileriye taşımaz. Çünkü çoğu eğitmen daha fazla kişiye ulaşsın diye her konuyu sıfırdan alarak bu işi geliştirir. Sen de sıfırdan başladın, eğitimin hakkını vererek bitirdin ve şimdi düne göre çok daha farklı bir noktadasın.
BİR SONRAKİ AŞAMAYA GEÇ
Neden bir hedef çizelgen yok?
Bu kurstan sonraki aşaman neden belli değil?
Oturup bir kariyer planı çizmenin saçma ve gereksiz olduğunu düşünüyorsan şimdi içinde bulunduğun duruma bak, gerçekten de bir kariyer planı gerektirmeyen bir seviyede misin şu an?
Sen planlı olmak zorundasın dostum. Ne olursa olsun senin bir hedef planın olmalı ve kendini bir programa göre geliştirmen gerekiyor. Yoksa şu an olduğu gibi moralsiz, motivesiz, disiplinsiz, hedefsiz ve en önemlisi başarısız birşekilde yalpalanır durursun.
Gelecek kaygısı taşıyorsun çünkü hedefsiz, plansız ve programsızsın. Sen reels kaydırmaktan öte hakkını vererek ne iş yapıyorsun?
Doktor bir arkadaşım YKS sürecini anlatırken şunu demişti: “Ben derse başlamadan önce 2–3 hafta nasıl çalışacağımı oturup planlamıştım. Ondan sonra yola koyulmuştum.” Tıp fakültesini çok iyi bir üniversitede okuyup bitirdi ve şu an kendisi doktor.
Hocam Çetin Binici' (@cetinerboga )nin özellikle son dönemlerde disiplini beni en çok motive eden şeydir. Gündüzleri çalışır, akşam eve geldiği gibi yemek yer ve bir çalışanmış gibi pc başına oturup Microsoftta zafiyet taraması yapar. Bu disiplinle beraber microsoft üzerinden bir çok zafiyet bulup raporladı ve çok kısa bir sürede kendisini Globalde Onur listelerinin zirvesinde göreceğiz inşallah. Bu disiplinin kendisine getirdiği başarı sadece microsoftla sınırlı değil.
Google,Apple, ABD sistemleri, AB, BM, NASA, UNESCO gibi devlerinde onur listelerinde şu an kendisi.
Senin dışında hiç kimse plansız programsız ve hedefsiz çalışmaz ve kendisini geliştirmeye başlamaz. Öyle yapan arkadaşların var biliyorum ve şu an onlar da senin gibiler. Bir yere varmış değiller ,onlar da sağa sola yalpalanıp duruyorlar.
Siz bu hedefsizlik programsızlığın bedelini ilerde ödersiniz. İleride acı çekmemek ve pişman olmamak için lütfen kalk ve bir sonraki aşaması belli olan plan program çiz.
Program yapmakta zorlanıyorsa lütfen bana mail at beraber hazırlayalım
Teorik olarak öğrendiğin bilgileri hemen pratiğe dökmeni istiyorsun, biliyorum. Lakin neden sürekli hedef değiştiriyorsun?
Sıklıkla karşılaştığım ve benim de bu alana başlarken yaptığım en büyük hatalardan biri bir hedefe 2–3 saat bakıp herhangi bir bulguya rastlamayınca hedef değiştirmekti.
Bir süreden sonra gerçekten çok yorulmuştum. Bu işin aslında tamamıyla sabır işi olduğunu kabullendiğim anda artık bir hedefe haftalarca bakabiliyordum. Elbette insan sıkılıyor bir noktadan sonra. İstersen arada dinlenmek için daha basit, farklı bir hedefe bakabilirsin ama geri dönmek şartıyla tabiki.
Eğer uzun bir süredir bir hedefe pentest yapıyor ve herhangi bir bulguya rastlamıyorsan belki de zafiyet yaklaşımını değiştirmen gerekiyordur. Tüm subdomainlere tek tek bakma devri çokta geçti.
Herhangi bir zafiyet sıralaman var mı yoksa “Allah ne verdiyse” metodunu mu uyguluyorsun?
Bir önceki başlıkta bir plana sadık olman gerektiğini aksi taktirde sen sadece bu işi değil hiç bir işi başaramayacığını, başarsan bile çok fazla yorulacağını söylemiştik.
Bu planı bir hedefe bakarken de uygula. Bir siteyi hedefe koyduğunda ona yaklaşım şeklin de belli olsun.
Rastgele sağa sola xss, sql payloadları serpiştirme. Gözüne kestirdiğin subdomainin içini kontrol et ve hangi zafiyet uygun olacaksa neye açık ise onu dene.
1592 subdomaine tek tek bakamazsın. Otomatik toollar ile rakiplerin çoktan bir sonraki aşamaya geçmişler bile.
SpaceX!e bakıyordum geçen aylarda. Yaklaşık 15 bin subdomain vardı yanlış hatırlamıyorsam. Tek tek bakmam imkansız. Hangi subdomanin hangi durum kodu döndüğünü anlayacak httpx gibi toollar kullanmam gerekir ve subdomainleri sınıflandırmam gerekiyordu elbette.
Hedef daha önce nasıl bulgular kabul etmiş kontrol et.
İş mantığı hataları yoğun raporlanmışsa ona odaklan değilse ona göre metod geliştir
Rastgele subdomain kontrolü yapma, yorulursun.
Bugbounty(BBP) yapabilmek için bugbounty’nin ne demek olduğunu anlamak lazım. Yaptığının işin tam olarak ne olduğunu çözmeden udemy kursundan sonra çıkıp BBP yapamazsın hocam, kabullen.
Burada globalde en sık karşılaşılan zafiyetlerin olduğu ve 4 yılda bir güncellenen liste var. Bu liste senin yol haritan olmalı. Senin güncel kalman ve hedeflere nasıl bakmam bir hedefte neye bakman gerektiğini söyleyen yol arkadaşındır.
Çoğu arkadaşımın 2021 den önce yaklaşık 2012 gibi popüler olan zafiyetleri hala denediğine şahit oluyordum .Hepsi işin sonunda owasp top10'i takip etmek zorunda kaldı. Bu işin kilit noktası güncel kalmaktır.
Zafiyet arayan acemi pentesterlar github üzerinden ctrl+c ctrl+v yaptığı payloadları search kısmına yapıştırmayı severler.
Seni heckır seniiii
Bir sistem neden XSS yer desem cevaplayabilir misin?
Arkada ne dönüyor da alert veriyor bizlere?
Backend developer neyi eksik bıraktı veya neyi yanlış yaptı?
HTML senin payloadını nasıl algıladı da engelledi?
Neden her payload alert vermez?
Bunları öğrenmeden vallahi iyi bir pentester olamazsın. E ben dedim gerisine de karışmıyorum.
Bir noktadan sonra hazır paylaodların seni ezber bir pentester yaptığını ve sana daha fazla payload lazım olduğunu anlıyorsun. İşte tam da bu noktada kendi scriptini yazmak farz oğlu farz oluyor.
Bu nokta senin planının ileri seviye noktasında dursun. Kesinlikle ihmal etme. Ezber ezber nereye kadar?
Zaten şu an aktif pentest yapıyorsan çoğu sisteme bilinen payloadların işlemediğini de fark ediyorsundur. Az önce dediğim başlığa geri dön.
Ben senin rakiplerinden çok daha hızlı ilerlemeni istiyorum. Dediklerimi sadece Xss üzerinden algılama.
Developer’ın neyi unutup unutmayacağını nasıl iş mantık hataları yapacağını anla. Bunu anlaman için de önce sistemin nasıl tasarlandığını anlaman lazım.
Bir web sitesi nasıl inşa edilir’i bilemezsen sisteme sızamazsın da. Zor olacak ama çok da güzel olacak.
Sağa sola yalpalanacağına dediklerimi yap ,3 ay sonra bugbountyden dolarları kazan.
çampiyon
Eğer buraya kadar okuduysan bir feedback yaparsın artık
Seni en iyi sen tanırsın. Kendinle istişare et ve eğer hala hedeflerin yoksa veya iyi bir pentester değilsen kalk ve çalış.
Bu sadece bir motivasyon yazısı değil, hakikatin ta kendisidir.
Özellikle yeni başlayanların sıklıkla yaptığı bu hatalar uzun süreçte yıpratıcı ve motive düşürücü oluyor.
Bu yazının özellikle yeni başlayan arkadaşlara faydalı olmasını umuyor, keyifli okumalar diliyorum.
Bismillah.
Motivasyon Değil Disiplin: Bu İşin Gerçeği
Değerli dostum sen bu alana girdikten sonra şunu iyice kabullenmen gerekiyor.Senin profesyonelliğe taşıyacak bu yol bir bilgi birikim yoludur. Öğreneceğin her bir bilgi seni dünden daha iyi daha güçlü ve daha motive kılacaktır.
Udemy, youtube, bootcamp üzerinden izlediğin herhangi bir ders serisi, kamp veyahut video seni hızlıca bir bughunter yapmaz, yapamaz.
Her bir eğitiminin bir aşama olduğunu ve daha kat edecek yolunun var olduğunu bilmen gerekiyor.
Udemy üzerinden bir kurs satın alıyorsun , kurs bittikten sonra hemen bugbounty kazanmayı diliyorsun. MÜMKÜN DEĞİL. Bunu kabullen artık. O senin için sadece bir aşamaydı. Sıradaki aşama öğrendiklerini iyice pekiştirip, uygulama gerektiren yerleri pratiğe dökmendir.
İnternet üzerinden göreceğin her eğitim temel-orta seviyedir.
Hemen hemen hiçbir sosyal mecra eğitimi seni ileriye taşımaz. Çünkü çoğu eğitmen daha fazla kişiye ulaşsın diye her konuyu sıfırdan alarak bu işi geliştirir. Sen de sıfırdan başladın, eğitimin hakkını vererek bitirdin ve şimdi düne göre çok daha farklı bir noktadasın.
BİR SONRAKİ AŞAMAYA GEÇ
Neden bir hedef çizelgen yok?
Bu kurstan sonraki aşaman neden belli değil?
Oturup bir kariyer planı çizmenin saçma ve gereksiz olduğunu düşünüyorsan şimdi içinde bulunduğun duruma bak, gerçekten de bir kariyer planı gerektirmeyen bir seviyede misin şu an?
Sen planlı olmak zorundasın dostum. Ne olursa olsun senin bir hedef planın olmalı ve kendini bir programa göre geliştirmen gerekiyor. Yoksa şu an olduğu gibi moralsiz, motivesiz, disiplinsiz, hedefsiz ve en önemlisi başarısız birşekilde yalpalanır durursun.
Gelecek kaygısı taşıyorsun çünkü hedefsiz, plansız ve programsızsın. Sen reels kaydırmaktan öte hakkını vererek ne iş yapıyorsun?
Doktor bir arkadaşım YKS sürecini anlatırken şunu demişti: “Ben derse başlamadan önce 2–3 hafta nasıl çalışacağımı oturup planlamıştım. Ondan sonra yola koyulmuştum.” Tıp fakültesini çok iyi bir üniversitede okuyup bitirdi ve şu an kendisi doktor.
Hocam Çetin Binici' (@cetinerboga )nin özellikle son dönemlerde disiplini beni en çok motive eden şeydir. Gündüzleri çalışır, akşam eve geldiği gibi yemek yer ve bir çalışanmış gibi pc başına oturup Microsoftta zafiyet taraması yapar. Bu disiplinle beraber microsoft üzerinden bir çok zafiyet bulup raporladı ve çok kısa bir sürede kendisini Globalde Onur listelerinin zirvesinde göreceğiz inşallah. Bu disiplinin kendisine getirdiği başarı sadece microsoftla sınırlı değil.
Google,Apple, ABD sistemleri, AB, BM, NASA, UNESCO gibi devlerinde onur listelerinde şu an kendisi.
Senin dışında hiç kimse plansız programsız ve hedefsiz çalışmaz ve kendisini geliştirmeye başlamaz. Öyle yapan arkadaşların var biliyorum ve şu an onlar da senin gibiler. Bir yere varmış değiller ,onlar da sağa sola yalpalanıp duruyorlar.
Siz bu hedefsizlik programsızlığın bedelini ilerde ödersiniz. İleride acı çekmemek ve pişman olmamak için lütfen kalk ve bir sonraki aşaması belli olan plan program çiz.
Program yapmakta zorlanıyorsa lütfen bana mail at beraber hazırlayalım
zekikayaalp1@gmail.com
Sürekli Hedef Değiştiriyorsun, Yapma!
Teorik olarak öğrendiğin bilgileri hemen pratiğe dökmeni istiyorsun, biliyorum. Lakin neden sürekli hedef değiştiriyorsun?
Sıklıkla karşılaştığım ve benim de bu alana başlarken yaptığım en büyük hatalardan biri bir hedefe 2–3 saat bakıp herhangi bir bulguya rastlamayınca hedef değiştirmekti.
Bir süreden sonra gerçekten çok yorulmuştum. Bu işin aslında tamamıyla sabır işi olduğunu kabullendiğim anda artık bir hedefe haftalarca bakabiliyordum. Elbette insan sıkılıyor bir noktadan sonra. İstersen arada dinlenmek için daha basit, farklı bir hedefe bakabilirsin ama geri dönmek şartıyla tabiki.
Herhangi bir metodun var mı?
Eğer uzun bir süredir bir hedefe pentest yapıyor ve herhangi bir bulguya rastlamıyorsan belki de zafiyet yaklaşımını değiştirmen gerekiyordur. Tüm subdomainlere tek tek bakma devri çokta geçti.Herhangi bir zafiyet sıralaman var mı yoksa “Allah ne verdiyse” metodunu mu uyguluyorsun?
Bir önceki başlıkta bir plana sadık olman gerektiğini aksi taktirde sen sadece bu işi değil hiç bir işi başaramayacığını, başarsan bile çok fazla yorulacağını söylemiştik.
Bu planı bir hedefe bakarken de uygula. Bir siteyi hedefe koyduğunda ona yaklaşım şeklin de belli olsun.
Rastgele sağa sola xss, sql payloadları serpiştirme. Gözüne kestirdiğin subdomainin içini kontrol et ve hangi zafiyet uygun olacaksa neye açık ise onu dene.
1592 subdomaine tek tek bakamazsın. Otomatik toollar ile rakiplerin çoktan bir sonraki aşamaya geçmişler bile.
SpaceX!e bakıyordum geçen aylarda. Yaklaşık 15 bin subdomain vardı yanlış hatırlamıyorsam. Tek tek bakmam imkansız. Hangi subdomanin hangi durum kodu döndüğünü anlayacak httpx gibi toollar kullanmam gerekir ve subdomainleri sınıflandırmam gerekiyordu elbette.
Hedef daha önce nasıl bulgular kabul etmiş kontrol et.
İş mantığı hataları yoğun raporlanmışsa ona odaklan değilse ona göre metod geliştir
Rastgele subdomain kontrolü yapma, yorulursun.
Owasp Top10'e hakim misin?
Bugbounty(BBP) yapabilmek için bugbounty’nin ne demek olduğunu anlamak lazım. Yaptığının işin tam olarak ne olduğunu çözmeden udemy kursundan sonra çıkıp BBP yapamazsın hocam, kabullen.
OWASP Top 10:2025owasp.orgBurada globalde en sık karşılaşılan zafiyetlerin olduğu ve 4 yılda bir güncellenen liste var. Bu liste senin yol haritan olmalı. Senin güncel kalman ve hedeflere nasıl bakmam bir hedefte neye bakman gerektiğini söyleyen yol arkadaşındır.
Çoğu arkadaşımın 2021 den önce yaklaşık 2012 gibi popüler olan zafiyetleri hala denediğine şahit oluyordum .Hepsi işin sonunda owasp top10'i takip etmek zorunda kaldı. Bu işin kilit noktası güncel kalmaktır.
XSS’e hakim değilsin ama her yerde de xss arıyorsun, yapma!
Gerçekten de zafiyetin tam olarak ne manaya geldiğini biliyor musun?Zafiyet arayan acemi pentesterlar github üzerinden ctrl+c ctrl+v yaptığı payloadları search kısmına yapıştırmayı severler.
Seni heckır seniiii
Bir sistem neden XSS yer desem cevaplayabilir misin?
Arkada ne dönüyor da alert veriyor bizlere?
Backend developer neyi eksik bıraktı veya neyi yanlış yaptı?
HTML senin payloadını nasıl algıladı da engelledi?
Neden her payload alert vermez?
Bunları öğrenmeden vallahi iyi bir pentester olamazsın. E ben dedim gerisine de karışmıyorum.
Ne zamana kadar Ctrl+C / Ctrl+V yapacaksın?
Bir noktadan sonra hazır paylaodların seni ezber bir pentester yaptığını ve sana daha fazla payload lazım olduğunu anlıyorsun. İşte tam da bu noktada kendi scriptini yazmak farz oğlu farz oluyor.
Bu nokta senin planının ileri seviye noktasında dursun. Kesinlikle ihmal etme. Ezber ezber nereye kadar?
Zaten şu an aktif pentest yapıyorsan çoğu sisteme bilinen payloadların işlemediğini de fark ediyorsundur. Az önce dediğim başlığa geri dön.
Şunu iyi anla:
Sistemin nasıl çalıştığını anla. Html’in senin payloadı nasıl algıladığını ve hangi durumlarda manipüle olacağını anlaman lazım. Aksi takdirde klasik bir pentester olur kalırsın.Ben senin rakiplerinden çok daha hızlı ilerlemeni istiyorum. Dediklerimi sadece Xss üzerinden algılama.
Developer’ın neyi unutup unutmayacağını nasıl iş mantık hataları yapacağını anla. Bunu anlaman için de önce sistemin nasıl tasarlandığını anlaman lazım.
Bir web sitesi nasıl inşa edilir’i bilemezsen sisteme sızamazsın da. Zor olacak ama çok da güzel olacak.
Sağa sola yalpalanacağına dediklerimi yap ,3 ay sonra bugbountyden dolarları kazan.
çampiyon
Eğer buraya kadar okuduysan bir feedback yaparsın artık
Seni en iyi sen tanırsın. Kendinle istişare et ve eğer hala hedeflerin yoksa veya iyi bir pentester değilsen kalk ve çalış.
Bu sadece bir motivasyon yazısı değil, hakikatin ta kendisidir.
