Wordpress ve kişisel olmayan web sitelerinizi izniniz dahilinde ücretsiz (işte zaman geçirmek için
) olarak test ediyorum..forumda şu ana kadar 8-9 web sitesine bakmışımdır, ve şaşırdım çünkü toplam 4 tane sitede web zafiyeti tespit ettim ayrı ayrı
birinde login bypass, birinde xss, sql injection, ssrf ve idor buldum.
Login bypass olan yerde sql injection kaçınılmazdır. Login bypass ile direkt admin oldum sitede.
Diğerinde reflected xss buldum. (Zararlı ama çok stored kadar değil)
idor bulduğum siteyi bi ajans yapmış. Başka bir hesabın bilgilerini güncelleyip o usere erişim sağlayabiliyordum. Yani 1 ıd olan hesabı sıfırladım ve admin oldum.
SSRF ise uzaktan bi dosya yüklemeye izin veriyordu bende ssrf ile etc passwd dosyasını okuyabildim.(http://localhost gibi payloadlarla)
