Özet: Ülkemizin büyük hastaneler zincirinin birinde (kod adı: Sıhhat Bahçesi), tüm hastaların tahlil/işlem sonuçlarının sızabileceği bir güvenlik açığı keşfettim. Bu güvenlik açığı yüzbinlerce insanın verisinin ifşasına ve ilgili hastane zincirinin para ve prestij kaybına yol açacaktı. Hastane ile iletişime geçip açığı kapattırdım. Fakat karşılığında bir para ödülü vermedikleri gibi bu…


Geçen sene yine bu zamanlarda yaptığım maaş anketini tekrar gerçekleştirdim. Geçen yıldan farklı olarak bu yıl, çalışılan kurumun kategorisini de sorulara ekledim. Yazım yanlışı olan ve gerçek dışı girdileri temizledikten sonra elimde 174 maaş bilgisi kaldı. Veri setini buradan indirebilirsiniz.

Ankette insanlar, aşağıdaki rollerden birini seçerek maaş bilgilerini girdi:

  • Ofansif…

Son bir yıldır kişisel veri sızmalarına fazlasıyla maruz kaldık. Veriler, büyük şirketlerin hacklenmesiyle sızabildiği gibi, irili ufaklı pek çok küçük e-ticaret sitesinin hacklenmesiyle de gerçekleşti. Bu sızıntıların sebepleri içerisinde farklı metodlar bulunsa da, bunların en yaygını ve en önlenebiliri web temelli güvenlik açıklarıdır. …


I was always a big fan of “Crack The Hash” contests where all participants are given a hash value, some hints and they try to crack it in a short amount of time. I wanted to make a similar contest for my Twitch followers. While hash cracking contests are fun…


Giriş

Bildiğiniz gibi geçen sene, Rockyou wordlistindeki Türkçe kelime içeren parolaları bulmak için bir çalışma yapmıştım. Bu çalışmanın iki önemli eksiği vardı:

Bu iki problemin üstesinden gelmek için gönüllülerle birlikte Ahmet Külekçi, Rauf Giray Doğan, Murat Öztürk) çeşitli Hack forumlarında dolaşıp sızdırılmış veri tabanlarının dehashed (kırılmış) versiyonlarını indirdik. …


Giriş

Son bir senedir siber güvenlik sektöründeki maaşlarla ilgili çok sayıda şikayet ve soru aldım. Genel olarak insanlar sektördeki maaş dağılımlarına hakim değil ve aldıkları ücretin iyi mi kötü mü olduğuna karar veremiyorlar. Ben de bu bilgiye çok hakim değildim. …


🔥 This article widely discussed at Hackernews and Reddit

In the information security field, we have developed lots of thoughts that can’t be discussed (or rarely discussed):

And goes like this. Most of them are very generally correct. However, I started to think that people are telling those because everyone…


This article contains my experiences on testing amusement arcade’s security. I found a DoS vulnerability on Intercard devices. An attacker can take down entire arcade machines by using this vulnerability.

Me and my girlfriend love to spend hours in local arcades. I always wanted to know how their network works…


Two months ago, I was planning to publish a mobile app for both Android and iOS devices. However, I didn’t know how to code mobile apps natively. I found that there is an app type called “Webview” in which you just prepare a mobile friendly website and serve it inside…


I coded an Empire module which detects PII data in given Office documents. You can access to the pull request of mine which includes the module from here: https://github.com/BC-SECURITY/Empire/pull/4

Or, you can get the powershell script alone in here: https://gist.github.com/utkusen/03c8ff388e76d45c1ec79580772d8a78

Originally published at https://utkusen.com on October 29, 2019.

Utku Şen

computer security, programming, music. Website: https://utkusen.com

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store