İlyas ORAK, Ethical Hacker, IT Security Consultant, Researcher, Coder
Sistem Bildirimlerini Aç

CVE-2022-38225 - Roxy-WI - RCE

Roxy-WI `app/options.py` uygulamasında bulunan `viewlogs/exgrep` fonksiyonunda uzaktan komut çalıştırma zafiyeti tespit ettim ve raporladım. Üretici firma ile iletişime geçtim ve saatler sürmeden hızlıca yama geçtiler. Bu güvenlik açığı için CVE: `CVE-2022-38225`... | Devamı için tıklayınız..

15.08.2022 09:19:31 io io

Oracle New Vulnerability Report 2022

Oracle süreci biraz uzun sürse de 0day zafiyeti çözüp duyuruyu yayınladı.
https://www.oracle.com/security-alerts/cpujul2022.html
https://twitter.com/ilyasorak_/status/1552239104661901316.. | Devamı için tıklayınız..

27.07.2022 13:27:56 io io

Microsoft 2022 - SQLi, Xpath, RCE, XSS, SMTP Relay, Default password

SQL, Xpath, RCE, XSS, Mail Relay, Default password gibi çok sayıda güvenlik açığı raporladım.
Microsoft çoğu güvenlik açığını önemli veri yok deyip reddetmiş olsada daha sonrasında bir kaçını kabul ettiği görülüyor. Twitter hesabımda bir kısmını paylaştım.
https://twitter.com/ilyasorak_.. | Devamı için tıklayınız..

27.07.2022 13:24:10 io io

Microsoft XSS 2021

Yılın sonuna doğru microsoft kayıtlarında olmadan 2021 bitmemeli :) Microsoft açtığı ticketi kapatıp onayladıktan sonra zafiyetlerin videolarını yüklemeyi düşünüyorum. Bilindiği üzere güvenlik açıklarının herkese açık olması için zafiyetin firmalar tarafından yayınlanmasına onay vermeleri gerekiyor... | Devamı için tıklayınız..

28.12.2021 17:57:28 io io

Microsoft Azure SQL Injection Vulnerability

Microsoftun azure alan adlarından birinde SQL Injection güvenlik açığı tespit ettim. Bakalım ne zaman cevaplanacak ve çözümlenecek... | Devamı için tıklayınız..

28.12.2021 17:09:29 io io

Microsoft Multi XSS Report

Microsoft sorunu henüz çözemedi, yakında çözeceklerdir :)
https://www.microsoft.com/en-us/msrc/researcher-acknowledgments-online-services-archive.. | Devamı için tıklayınız..

25.11.2020 12:39:53 io io

T-mobile Telekom RCE - SQL Injection

Telekom tarafında bulduğum RCE ve SQL injection problemleri giderildi ve duyurusu yayınlandı.
https://www.telekom.com/en/corporate-responsibility/data-protection-data-security/security/details/closing-security-gaps-360054
.. | Devamı için tıklayınız..

14.12.2020 19:07:57 io io

Wartsila PSIRT Vulnerability Report

Wärtsilä tarafından gelen cevap:
Thank you for contacting Wärtsilä and reporting a vulnerability through our vulnerability disclosure form.
Our experts have validated your findings and a fix has been issued.
Once again thank you for your valuable input.
Wärtsilä PSIRT
https://www.wartsila.com/.. | Devamı için tıklayınız..

25.11.2020 12:33:46 io io

Oracle Multiple SQL Injection Report - Fixed

Sonuçlanması çok uzun bir sürece girmiş olsada, bildirdiğim SQL Injection bulguları giderildi ve duyurusu yayımlandı.
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/a/tech/docs/cpujul2020cvrf.xml.. | Devamı için tıklayınız..

15.07.2020 19:28:35 io io

T-Mobile SQL Injection and XSS Vulnerabiltiy Report

T-Mobile sistemlerinde bulmuş olduğum zafiyetlere dair yayınlanan duyurular ve teşekkür mesajları.
https://www.t-mobile.cz/bug-bounty/zed-slavy/
https://www.telekom.com/en/corporate-responsibility/data-protection-data-security/security/details/acknowledgements-358300#I.. | Devamı için tıklayınız..

20.05.2020 23:52:44 io io

SQL Injection Nedir ve SQL Injection Riskleri

SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. Vikipedi.. | Devamı için tıklayınız..

10.12.2019 13:09:21 io io

OneDrive Office File Upload Stored XSS Vulnerability

OneDrive Office sistemlerinde file upload stored XSS problemi bulup ilettim, zafiyet kabul edildi. Microsoft ödeme sistemini değiştirmiş not olarak kalsın :)

Microsoft ödeme sistemi hatalı olduğu durumlarda
1 - hackerone
2 - bugcrowd
Seçenekleri ile ödeme yapıyor... | Devamı için tıklayınız..

18.12.2019 11:38:31 io io

T-mobile Telekom Reflected XSS Problemi

T-mobile Telekom sistemlerinde tespit ettiğim reflected XSS zafiyete karşılık küçük bir € ödemesi yaptılar. Cevaplama ve dönüş süreci gayet hızlı.

Duyuru: https://www.telekom.com/en/corporate-responsibility/data-protection-data-security/security/deta.. | Devamı için tıklayınız..

18.12.2019 11:37:54 io io

IKEA SQL Injection Güvenlik Problemi

IKEA sistemlerinde bulmuş olduğum SQL Injection zafiyetine karşılık Euro(€) ödemesinde bulundular. Süreç Zerocopter tarafından yürütüldü ve yaklaşık 6 ay sürdü. .. | Devamı için tıklayınız..

08.12.2019 13:42:07 io io

Microsoft Çoklu Zafiyet Raporlama Temmuz 2018

Microsoft sistemlerinde zafiyet keşif çalışmalarımda bulmuş olduğum Stored XSS, Reflected XSS ve SQL Injection güvenlik problemi çözümlendi. Microsoft güvenlik bülteninde duyurdu.

Duyuru bağlantısı için Security Researcher Acknowledgments for Microsoft Online Services
.. | Devamı için tıklayınız..

18.12.2019 11:37:29 io io

Microsoft Azure SQL Injection Zafiyeti

Microsoft Azure adresinde bulmuş olduğum SQL injection problemi iletildi. İlgili problem giderildi. Mayıs ayı ortasında yayınlanacak bülten ile duyuracaklar.

Microsoft duyuruyu yayınladı. Duyuru bağlantısı için Security Researcher Acknowledgments for Microsoft Online Services.. | Devamı için tıklayınız..

08.12.2019 13:41:14 io io

MailEnable Reflected Xss Vulnerability

MailEnable servis hizmetinde bulmuş olduğum Reflected XSS güvenlik problemi MailEnable yetkilileri tarafından kapatıldı. .. | Devamı için tıklayınız..

18.12.2019 11:36:44 io io

Office365 Güvenlik Problemi

Microsoft Office 365 uygulamasında bulmuş olduğum reflected XSS güvenlik problemi Microsoft tarafına bildirildi.
Önümüzdeki hafta aşağıdaki bağlantıdan duyurulacağını iletmişler.

Microsoft duyuruyu yayınladı. Duyuru bağlantısı için Security Researcher Acknowledgments.. | Devamı için tıklayınız..

18.12.2019 11:36:30 io io

CVE-2015-2229 DSpace Security Advisory

DSPACE Güvenlik açığı bir üst sürümüyle kapatıldı, bildirim teşekkür edilip CVE kodu ile yayınlandı

DSPACE Securty Advisory | CVE-2015-2229.. | Devamı için tıklayınız..

08.12.2019 13:40:26 io io

CVE-2014-2535 Mcafee Web Gateway

Mcafee Web Gateway ürünü web trafiğini bilgi sızıntısı, uygun olmayan içerik, virüs ve malware gibi zararlı aktivitelere karşı kontrol etmek için yaygın olarak kullanılan bir yazılımdır.

Söz konusu yazılıma özel olarak hazırlanan istekler yollanarak, normalde web arabirimi üzerinden görülmesine izin verilmeyen önemli sistem yapılandırma dosyalarına erişim yapı.. | Devamı için tıklayınız..

08.12.2019 13:40:17 io io

[1]2 Sonraki> Son sayfa>>

Güvenlik Açıkları Bildirimlerim

io CVE-2022-38225 - Roxy-WI - RCE
io Oracle New Vulnerability Report 2022
io Microsoft 2022 - SQLi, Xpath, RCE, XSS, SMTP Relay, Default password
io Microsoft XSS 2021
io Microsoft Azure SQL Injection Vulnerability
io Microsoft Multi XSS Report
io T-mobile Telekom RCE - SQL Injection
io Wartsila PSIRT Vulnerability Report
io Oracle Multiple SQL Injection Report - Fixed
io T-Mobile SQL Injection and XSS Vulnerabiltiy Report
io OneDrive Office File Upload Stored XSS Vulnerability
io T-mobile Telekom Reflected XSS Problemi
io IKEA SQL Injection Güvenlik Problemi
io Microsoft Çoklu Zafiyet Raporlama Temmuz 2018
io Microsoft Azure SQL Injection Zafiyeti
io MailEnable Reflected Xss Vulnerability
io Office365 Güvenlik Problemi
io CVE-2015-2229 DSpace Security Advisory
io CVE-2014-2535 Mcafee Web Gateway
io Outlook Kullanıcılarının Telefon Numarası Bilgisine Ulaşma Problemi

Güvenliğe İlişkin Kategoriler

io Uzak Yönetim Servisleri
io Firewall/IPS, WAF, IDS, SNORT, MODSECURITY
io Wireless Güvenliği
io Ağ Güvenliği ve Yapılandırılması
io DDoS Atakları/Çeşitleri
io Web Uygulama Güvenliği
io Mobil Uygulama Güvenliği
io Network,Web,DDos Pentest