Bug Bounty Playground
Trick kartlari, quizler ve cheat sheet'ler ile bug bounty becerilerini gelistir
XSS via SVG Upload
Dosya yukleme fonksiyonlarinda SVG dosyalari icinde JavaScript calistirilabilir. Bircok uygulama SVG'yi resim olarak kabul eder ama icindeki script taglerini filtrelemez.
π‘ Ipucu: SVG dosyasini upload edin, sonra dosyanin URL'sine gidin. Alert gorunuyorsa XSS var.
Son Trick'ler
Tumunu Gor βXSS via SVG Upload
Dosya yukleme fonksiyonlarinda SVG dosyalari icinde JavaScript calistirilabilir. Bircok uygulama SVG'yi resim olarak kabul eder ama icindeki script taglerini filtrelemez.
IDOR in API Endpoints
REST API'lerde /api/users/123/profile gibi endpoint'lerde ID degistirerek baska kullanicilarin verilerine erisim saglanabilir. Ozellikle mobile app'lerin backend API'lerinde yaygindir.
SSRF via PDF Generator
PDF olusturma ozelligi olan uygulamalar genellikle HTML-to-PDF kutuphaneleri kullanir. Bu kutuphaneler URL'leri fetch edebilir, bu da SSRF'e yol acar.
SQL Injection via JSON Body
Modern API'ler JSON body kullanir ve gelistiriciler genellikle sadece URL parametrelerini sanitize eder. JSON icindeki degerler dogrudan SQL sorgularina gidebilir.
Host Header Injection
Parola sifirlama linklerinde Host header'i kullaniliyorsa, saldirgan kendi domain'ini enjekte ederek reset token'ini calabilir.
Blind XSS via Contact Form
Iletisim formlari, destek ticket'lari ve feedback formlari admin panelinde goruntulenir. Blind XSS payload'i admin panelinde calisabilir.