İçeriğe atla
ÖzelliklerFiyatlandırmaİş OrtaklığıBlogYardımHakkımızdaİletişim
BaşlaGiriş Yap
Bloga Dön
industry2026-05-239 dk okuma

Affiliate kuponunu üç gün önce sildim, DevTools'tan tek PATCH ile geri açtım — Supabase RLS'in WITH CHECK boşluğu

Antwerp'te 31 yaşında affiliate marketer Lucas, sildiği kuponu DevTools'tan tek `PATCH /rest/v1/affiliate_coupons` ile geri açtı. Privately bildirdi. Forensic dört exploit shape buldu: soft-delete bypass, affiliate_id reassign (coupon theft), stripe_promotion_code_id hijack, code swap. Aynı sweep `affiliate_profiles.postback_secret/url/prev/rotated_at`'in da PR #524 GG trigger'ında eksik olduğunu buldu — PR #609 CCC-B dual-secret OCC bypass + HMAC forge vector. PR #616 batch EEE F1+F2: yeni `affiliate_coupons_block_privileged_update` trigger + `affiliate_profiles` trigger CREATE OR REPLACE extend. Pattern: USING alone is a footgun.

th

thMenu Ekibi

thmenu.com

Faydalı buldunuz mu? Paylaşın.

İlgili makaleler

🔻
industry

Müşteri Aboneliğini Düşürünce Eski Özellikler Ne Olur? — SaaS Sessiz Feature-Drift Problemi

Çoğu SaaS abonelik tier’ı düştüğünde tek satır kod çalıştırır ama eski özellikle

🛡️
industry

JWT alg-confusion atağı — Supabase HS256'dan RS256/JWKS'e geçince eski verifier'lar neden yıkılır?

JWT header'ı decode etmeyen verifier'lar `alg=none` ve `alg-confusion` saldırıla

📒
industry

Her bakiye değişikliğinin neden bir 'journal row'u olmalı? — SaaS finansal audit'in temel taşı

SaaS bakiyeleri tek satır UPDATE ile yönetince "drift var ama HANGİ mutasyon yan