As a traditional application security engineer, I’m trying to adapt myself to the AI mayhem. This post covers my thoughts about prompt injection attacks on LLM (Large Language Model) systems. I’m no expert in this field. So you should double-check everything I say here. Prompt injection came into our lives…

CSRF (Cross-Side-Request-Forgery) vulnerabilities are with us since the beginning of the web. However, things are highly changed since then. New web technologies, stacks, communication methods etc. are developed. Also, browsers are integrating built-in mechanisms to protect users from vulnerabilities by default. CSRF vulnerabilities are affected by that as well. However…

Özet: Ülkemizin büyük hastaneler zincirinin birinde (kod adı: Sıhhat Bahçesi), tüm hastaların tahlil/işlem sonuçlarının sızabileceği bir güvenlik açığı keşfettim. Bu güvenlik açığı yüzbinlerce insanın verisinin ifşasına ve ilgili hastane zincirinin para ve prestij kaybına yol açacaktı. Hastane ile iletişime geçip açığı kapattırdım. Fakat karşılığında bir para ödülü vermedikleri gibi bu…

Geçen sene yine bu zamanlarda yaptığım maaş anketini tekrar gerçekleştirdim. Geçen yıldan farklı olarak bu yıl, çalışılan kurumun kategorisini de sorulara ekledim. Yazım yanlışı olan ve gerçek dışı girdileri temizledikten sonra elimde 174 maaş bilgisi kaldı. Veri setini buradan indirebilirsiniz. Ankette insanlar, aşağıdaki rollerden birini seçerek maaş bilgilerini girdi: Ofansif…

Son bir yıldır kişisel veri sızmalarına fazlasıyla maruz kaldık. Veriler, büyük şirketlerin hacklenmesiyle sızabildiği gibi, irili ufaklı pek çok küçük e-ticaret sitesinin hacklenmesiyle de gerçekleşti. Bu sızıntıların sebepleri içerisinde farklı metodlar bulunsa da, bunların en yaygını ve en önlenebiliri web temelli güvenlik açıklarıdır. Burada saldırgan, SQL Injection ya da benzeri…

I was always a big fan of “Crack The Hash” contests where all participants are given a hash value, some hints and they try to crack it in a short amount of time. I wanted to make a similar contest for my Twitch followers. While hash cracking contests are fun…

Giriş Bildiğiniz gibi geçen sene, Rockyou wordlistindeki Türkçe kelime içeren parolaları bulmak için bir çalışma yapmıştım. Bu çalışmanın iki önemli eksiği vardı: Bu iki problemin üstesinden gelmek için gönüllülerle birlikte Ahmet Külekçi, Rauf Giray Doğan, Murat Öztürk) çeşitli Hack forumlarında dolaşıp sızdırılmış veri tabanlarının dehashed (kırılmış) versiyonlarını indirdik. …

Giriş Son bir senedir siber güvenlik sektöründeki maaşlarla ilgili çok sayıda şikayet ve soru aldım. Genel olarak insanlar sektördeki maaş dağılımlarına hakim değil ve aldıkları ücretin iyi mi kötü mü olduğuna karar veremiyorlar. Ben de bu bilgiye çok hakim değildim. …

🔥 This article widely discussed at Hackernews and Reddit In the information security field, we have developed lots of thoughts that can’t be discussed (or rarely discussed): And goes like this. Most of them are very generally correct. However, I started to think that people are telling those because everyone…