- Katılım
- 2 Ocak 2026
- Mesajlar
- 55
- Tepkime puanı
- 185
- Puan
- 33
Merhaba Değerli Bughane Üyeleri,
Bugün sizlerle, Amerika Birleşik Devletleri Jeoloji Araştırmaları Kurumu (U.S. Geological Survey - USGS) sistemlerinde gerçekleştirdiğim güvenlik testleri sırasında tespit ettiğim kritik seviyedeki bir GraphQL konfigürasyon zafiyetini paylaşmak istiyorum.Keşfettiğim bu güvenlik açığını vakit kaybetmeden ilgili birime raporladım ve bunun sonucunda ismimi Onur Listesi'ne (Hall of Fame) yazdırmayı başardım. Tespit ettiğim bu zafiyet, herhangi bir kimlik doğrulaması gerektirmeksizin saldırgana tam veritabanı okuma yetkisi sağlıyordu.Bütün attığım sorguları burada paylaşamam çok fazla görsel olur en önemlilerini paylaştım sadece.
Derinlemesine incelemek isteyenler BURADAN BAKABİLİR
ERİŞİM SAĞLADIĞIM VERİLER:
1.) 57+ database tablosunun tam enumerasyonu
2.) Araştırmacı PII verileri - İsim, kurum, pozisyon, rol bilgileri
3.) Akademik araştırma metadata'sı
4.) DOI ve IGSN identifier'ları
5.) Sistem URL'leri ve erişim yolları
6.) Tablo ilişkileri ve business logic - Veritabanı bağlantı haritası
Bugün sizlerle, Amerika Birleşik Devletleri Jeoloji Araştırmaları Kurumu (U.S. Geological Survey - USGS) sistemlerinde gerçekleştirdiğim güvenlik testleri sırasında tespit ettiğim kritik seviyedeki bir GraphQL konfigürasyon zafiyetini paylaşmak istiyorum.Keşfettiğim bu güvenlik açığını vakit kaybetmeden ilgili birime raporladım ve bunun sonucunda ismimi Onur Listesi'ne (Hall of Fame) yazdırmayı başardım. Tespit ettiğim bu zafiyet, herhangi bir kimlik doğrulaması gerektirmeksizin saldırgana tam veritabanı okuma yetkisi sağlıyordu.Bütün attığım sorguları burada paylaşamam çok fazla görsel olur en önemlilerini paylaştım sadece.
Derinlemesine incelemek isteyenler BURADAN BAKABİLİR
ERİŞİM SAĞLADIĞIM VERİLER:
1.) 57+ database tablosunun tam enumerasyonu
2.) Araştırmacı PII verileri - İsim, kurum, pozisyon, rol bilgileri
3.) Akademik araştırma metadata'sı
4.) DOI ve IGSN identifier'ları
5.) Sistem URL'leri ve erişim yolları
6.) Tablo ilişkileri ve business logic - Veritabanı bağlantı haritası