+- Dopal.org - Forum Dyskusyjne o Używkach i RC (https://dopal.org)
+-- Dział: Na temat używek (https://dopal.org/forumdisplay.php?fid=7)
+--- Dział: Bezpieczeństwo w sieci (https://dopal.org/forumdisplay.php?fid=12)
+--- Wątek: • -» Analiza ruchu przez obrazki, MyCode -(BBCode) (/showthread.php?tid=6511)
• -» Analiza ruchu przez obrazki, MyCode -(BBCode) - Inferno - 10.03.2026
🔹 Analiza bezpieczeństwa MyBB
1. Wprowadzenie
MyBB to popularne oprogramowanie forum, które pozwala wstawiać posty przy użyciu BBCode.
- Tag -[-IMG] czyli obrazek wklejony i wyświetlany gdziekolwiek→ przeglądarka wysyła GET do serwera zewnętrznego.
›. Serwer może logować IP, czas, user-agent i referer.
Cytat:GET /picture.png HTTP/1.1Każdy obrazek jest więc zewnętrznym requestem, który może służyć do śledzenia aktywności użytkowników.
Host: example.com
User-Agent: Mozilla/5.0
Referer: https://forum.com/thread/123
3. Typowe nadużycia
• Content Switch Attack – zmiana obrazu po publikacji np. w poradniku.
• External Resource Manipulation – podmiana obrazów w postach lub shoutboxie.
• Mutable external content – dynamiczny content, np. phishing wizualny lub malware.
🗼 » Przykłady scenariuszy
- Podmiana treści posta poprzez zmianę obrazu.
- Socjotechnika: fałszywe komunikaty typu "twoje konto wygasło".
- Phishing wizualny i QR code malware.
- Tracking użytkowników: IP, referer, user-agent.
- Pixel tracking: 1×1 obrazki.
- Fingerprinting przeglądarek.
- Wymuszone zapytania HTTP do serwera atakującego.
- Podmiana obrazów na treści nielegalne.
4. Problemy techniczne MyBB
• SQL Error 1366 – baza ustawiona na utf8, a wstawione emoji (4 bajty) np. 🎖.
Cytat:SQL Error: 1366 - Incorrect string value '\xF0\x9F\x8E\x96...' for column 'subject'• Quote bomb – zbyt głęboko zagnieżdżone [quote] spowalnia parser i obciąża CPU.
• Duże sygnatury / shoutbox – setki requestów HTTP dla obrazków.
• Automatyczne embedowanie linków – linki do obrazów mogą omijać limit [img]. <br />• BBCode flood – ogromne posty z dziesiątkami zagnieżdżonych [quote] i [img] mogą obciążyć forum.<br />
<br /><br />5. Limity i zabezpieczenia<br />• Limit obrazów w poście: 5–15 <br />• Limit głębokości [quote]: max quote depth = 10 <br />• Limit sygnatur: 1–2 obrazki <br />• Image proxy / cache <br />• Whitelist hostów <br />• Wyłączenie HTML dla użytkowników <br />• Blokowanie dużych GIF <br />• Logowanie błędów zamiast pokazywania szczegółowych zapytań SQL<br /><br />· Limit załączników został poprawiony ale też można było się nadziać na duże bomby plików, gdyby ktoś wykorzystał.<br />
<br /><br />6. Rekomendacje dla technika<br />• Zmiana bazy na utf8mb4 aby obsłużyć emoji <br />• Włączenie logów zamiast pokazywania błędów SQL <br />• Ograniczenie liczby obrazów i głębokości cytatów <br />• Cache i proxy dla zewnętrznych obrazów <br />• Archiwizacja obrazów wewnętrznych zamiast polegania na linkach zewnętrznych <br />
<br /><br />7. Podsumowanie<br />Problemy z [-img], [-quote] i emoji w MyBB nie są klasycznymi exploitami, ale mogą: <br /><br />
- <br />
- - ujawniać strukturę bazy SQL <br />
- - spowalniać forum <br />
- - umożliwiać śledzenie użytkowników <br />
- - służyć do manipulacji treścią <br />
Zastosowanie powyższych limitów i pluginów znacząco poprawia bezpieczeństwo i wydajność forum.
<br />Dużo już zostało poprawione po zgłoszeniach dlatego można zamieścić to w poście i nie wygląda to jako poradnik 
<br /><br />Właśnie teraz wypierdziela mysql'a na stronie głównej.<br />Dodaje post żeby technik mógł sprawdzić po godzinie logi później.<br />
<br />
![[Obrazek: e9ab2cdef3ed99dc9a2fef5c74a90ce0.png]](https://gekkk.co/storage/v/e9ab2cdef3ed99dc9a2fef5c74a90ce0.png)
[/size]oho to ładnie się porobiło, post mi edytowalo, ucięło i tryb widoku w edycji.
Kopie se niżej dodałem...
Poprawie i wkleje w
Kod PHP:
Code