1. Wprowadzenie
MyBB to popularne oprogramowanie forum, które pozwala wstawiać posty przy użyciu BBCode. 
   

• Tag -[-IMG] czyli obrazek wklejony i wyświetlany gdziekolwiek→ przeglądarka wysyła GET do serwera zewnętrznego. 
  

  ›. Serwer może logować IP, czas, user-agent i referer.

Cytat:GET /picture.png HTTP/1.1 
Host: example.com 
User-Agent: Mozilla/5.0 
Referer: https://forum.com/thread/123

Każdy obrazek jest więc zewnętrznym requestem, który może służyć do śledzenia aktywności użytkowników.

---

3. Typowe nadużycia
• Content Switch Attack – zmiana obrazu po publikacji np. w poradniku. 
• External Resource Manipulation – podmiana obrazów w postach lub shoutboxie. 
• Mutable external content – dynamiczny content, np. phishing wizualny lub malware.

---

🗼 » Przykłady scenariuszy
- Podmiana treści posta poprzez zmianę obrazu. 
- Socjotechnika: fałszywe komunikaty typu "twoje konto wygasło". 
- Phishing wizualny i QR code malware. 
- Tracking użytkowników: IP, referer, user-agent. 
- Pixel tracking: 1×1 obrazki. 
- Fingerprinting przeglądarek. 
- Wymuszone zapytania HTTP do serwera atakującego. 
- Podmiana obrazów na treści nielegalne.

---

4. Problemy techniczne MyBB
• SQL Error 1366 – baza ustawiona na utf8, a wstawione emoji (4 bajty) np. 🎖. 

---

Cytat:SQL Error: 1366 - Incorrect string value '\xF0\x9F\x8E\x96...' for column 'subject'

• Quote bomb – zbyt głęboko zagnieżdżone [quote] spowalnia parser i obciąża CPU. 
• Duże sygnatury / shoutbox – setki requestów HTTP dla obrazków. 
• Automatyczne embedowanie linków – linki do obrazów mogą omijać limit [img].  <br />• BBCode flood – ogromne posty z dziesiątkami zagnieżdżonych [quote] i [img] mogą obciążyć forum.<br />

---

<br /><br />5. Limity i zabezpieczenia<br />• Limit obrazów w poście: 5–15  <br />• Limit głębokości [quote]: max quote depth = 10  <br />• Limit sygnatur: 1–2 obrazki  <br />• Image proxy / cache  <br />• Whitelist hostów  <br />• Wyłączenie HTML dla użytkowników  <br />• Blokowanie dużych GIF  <br />• Logowanie błędów zamiast pokazywania szczegółowych zapytań SQL<br /><br />· Limit załączników został poprawiony ale też można było się nadziać na duże bomby plików, gdyby ktoś wykorzystał.<br />

---

<br /><br />6. Rekomendacje dla technika<br />• Zmiana bazy na utf8mb4 aby obsłużyć emoji  <br />• Włączenie logów zamiast pokazywania błędów SQL  <br />• Ograniczenie liczby obrazów i głębokości cytatów  <br />• Cache i proxy dla zewnętrznych obrazów  <br />• Archiwizacja obrazów wewnętrznych zamiast polegania na linkach zewnętrznych <br />

---

<br /><br />7. Podsumowanie<br />Problemy z [-img], [-quote] i emoji w MyBB nie są klasycznymi exploitami, ale mogą:  <br /><br />

• <br />
• - ujawniać strukturę bazy SQL  <br />
• - spowalniać forum  <br />
• - umożliwiać śledzenie użytkowników  <br />
• - służyć do manipulacji treścią  <br />

<br /><br /><br /><br />

---

<br />Właśnie teraz wypierdziela mysql'a na stronie głównej.<br />Dodaje post żeby technik mógł sprawdzić po godzinie logi później.<br />

---

<br />[/size]

---

---

oho to ładnie się porobiło, post mi edytowalo, ucięło i tryb widoku w edycji.

Kopie se niżej dodałem...

---

Poprawie i wkleje w 
zeby edytować i oznacze Moderator'a ale tera to nie mam siły na to.