- Katılım
- 11 Ocak 2026
- Mesajlar
- 87
- Tepkime puanı
- 25
- Puan
- 18
Bİ HİKAYE ANLATMAK İSTERİM.
Geçen günlerde başıma şöyle bişi geldi xiaomi üzerinde zafiyet arıyorum neyse , farklı 2 domain gözüme kestim
1. domainde cors hatası
2. html injection (HİÇBİR ESPİRİSİ OLMAYAN)
1. domain request response , gelen giden paketlere bakarken sadece arama yerinde bişi farkettim http isteğinde body kısmına origin eklediğimde response da da bunu ekliyor
fakat sıkıntı şu gelen response html response özel bi veri bişi veriyormu diye baktığımda sadece csrf token veriyor
2. ise bi proje alanı var ve alanın yorum kısmına ne yazarsam ya text olarak kaydediyor yada <h1> atıyorum işte <u> ne bilim <li> gibi tagları ekleyebiliyorum yoruma fakat inline olarak hiçbirşey yapamıyorum
bypass etmeyi de denedim olmadı kodu direk siliyor burp ile yakalayıp düzeltsemde bişi değişmiyor arka tarafta değiştiriyor sanırım
öyle yani bi içimden geleni yazıyım dedim , bilidğin ne vatana nede millete hayrı olmayan zafiyetler...
Gizliliği kalkmış bilgiler ; CORS RAPORLADIM DA, HTML İNJECTİON RAPORLAMADIM (sövmesinler diye)
Geçen günlerde başıma şöyle bişi geldi xiaomi üzerinde zafiyet arıyorum neyse , farklı 2 domain gözüme kestim
1. domainde cors hatası
2. html injection (HİÇBİR ESPİRİSİ OLMAYAN)
1. domain request response , gelen giden paketlere bakarken sadece arama yerinde bişi farkettim http isteğinde body kısmına origin eklediğimde response da da bunu ekliyor
fakat sıkıntı şu gelen response html response özel bi veri bişi veriyormu diye baktığımda sadece csrf token veriyor
2. ise bi proje alanı var ve alanın yorum kısmına ne yazarsam ya text olarak kaydediyor yada <h1> atıyorum işte <u> ne bilim <li> gibi tagları ekleyebiliyorum yoruma fakat inline olarak hiçbirşey yapamıyorum
bypass etmeyi de denedim olmadı kodu direk siliyor burp ile yakalayıp düzeltsemde bişi değişmiyor arka tarafta değiştiriyor sanırım
öyle yani bi içimden geleni yazıyım dedim , bilidğin ne vatana nede millete hayrı olmayan zafiyetler...
Gizliliği kalkmış bilgiler ; CORS RAPORLADIM DA, HTML İNJECTİON RAPORLAMADIM (sövmesinler diye)
