🎴 Trick Kartlari
10 trickXSS via SVG Upload
Dosya yukleme fonksiyonlarinda SVG dosyalari icinde JavaScript calistirilabilir. Bircok uygulama SVG'yi resim olarak kabul eder ama icindeki script taglerini filtrelemez.
IDOR in API Endpoints
REST API'lerde /api/users/123/profile gibi endpoint'lerde ID degistirerek baska kullanicilarin verilerine erisim saglanabilir. Ozellikle mobile app'lerin backend API'lerinde yaygindir.
SSRF via PDF Generator
PDF olusturma ozelligi olan uygulamalar genellikle HTML-to-PDF kutuphaneleri kullanir. Bu kutuphaneler URL'leri fetch edebilir, bu da SSRF'e yol acar.
SQL Injection via JSON Body
Modern API'ler JSON body kullanir ve gelistiriciler genellikle sadece URL parametrelerini sanitize eder. JSON icindeki degerler dogrudan SQL sorgularina gidebilir.
Host Header Injection
Parola sifirlama linklerinde Host header'i kullaniliyorsa, saldirgan kendi domain'ini enjekte ederek reset token'ini calabilir.
Blind XSS via Contact Form
Iletisim formlari, destek ticket'lari ve feedback formlari admin panelinde goruntulenir. Blind XSS payload'i admin panelinde calisabilir.
LFI to RCE via Log Poisoning
LFI buldugunuzda, log dosyalarina PHP kodu enjekte ederek RCE'ye yukseltebilirsiniz. Access log'a User-Agent uzerinden PHP kodu yazilir.
Race Condition in Coupon Redemption
Kupon veya promosyon kodu kullaniminda race condition ile ayni kodu birden fazla kez kullanabilirsiniz. Ayni istegi paralel gondermeniz yeterli.
CRLF Injection to XSS
HTTP header injection (CRLF) ile response header'larina yeni satirlar ekleyerek XSS'e donusturulebilir.
GraphQL Introspection Leak
GraphQL endpoint'lerinde introspection query ile tum sema, type'lar ve mutation'lar ortaya cikarilabilir. Bircok uygulama bunu production'da kapatmayi unutur.