男的舔女的下面视频在线播放-少妇愉情理仑片高潮日本-久久久久久国产一区二区三区-麻豆精品一区二区综合-国产精品超碰在线观看-网红极品女神精品视频在线-国产亚洲综合777-高清性视频一区二区播放-中文字幕第一页亚洲天堂

Discuz! 官方交流社區(qū)

標(biāo)題: 在github上活捉一只黑客兼做盜版插件的狗，3315款插件受害！ [打印本頁]

作者: 安全專員 時(shí)間: 2019-7-18 16:14
標(biāo)題: 在github上活捉一只黑客兼做盜版插件的狗，3315款插件受害！
傳送門：安全小知識(shí)：為什么使用盜版插件容易被掛馬！

標(biāo)題侮辱了狗，我鄭重向狗道歉！
該黑客的github項(xiàng)目地址：

https://github.com/code-scan/dzscan

復(fù)制代碼

這個(gè)項(xiàng)目是一個(gè)后門掃描工具，是專門針對(duì)discuz!
項(xiàng)目作者還專門放了一個(gè)盜版插件清單，涉及3315款Discuz!經(jīng)典插件...

(, 下載次數(shù): 92)

問題來了，他的盜版插件，你敢安裝嗎？

傳送門：安全小知識(shí)：為什么使用盜版插件容易被掛馬！

作者: wuyou 時(shí)間: 2019-7-18 17:03
哈哈，懂技術(shù)的心術(shù)不正屬于危險(xiǎn)品。。。。

作者: czwhehehe 時(shí)間: 2019-7-18 17:06
臥槽，真有些人才……

作者: 購啊購 時(shí)間: 2019-7-18 17:12
感覺你是官方的水軍，就嚇站長(zhǎng)去買正版

作者: 安全專員 時(shí)間: 2019-7-18 17:18

購啊購發(fā)表于 2019-7-18 17:12
感覺你是官方的水軍，就嚇站長(zhǎng)去買正版

他強(qiáng)由他強(qiáng)，清風(fēng)拂山崗
他橫由他橫，明月照大江
擺事實(shí)，講道理，別人怎么說，隨它去...

作者: 老魏 時(shí)間: 2019-7-18 17:24
他這個(gè)是不是說明這些插件都是有漏洞的

作者: 安全專員 時(shí)間: 2019-7-18 17:33

老魏發(fā)表于 2019-7-18 17:24
他這個(gè)是不是說明這些插件都是有漏洞的

你覺得他做義工？給你提供盜版插件，還幫你掃描網(wǎng)站后門免費(fèi)檢測(cè)網(wǎng)站安全？

作者: 老魏 時(shí)間: 2019-7-18 19:04

安全專員發(fā)表于 2019-7-18 17:33
你覺得他做義工？給你提供盜版插件，還幫你掃描網(wǎng)站后門免費(fèi)檢測(cè)網(wǎng)站安全？ ...

我的意思是他獲取的這些插件，是不是說明這些插件有漏洞

作者: pptts 時(shí)間: 2019-7-18 19:27
從源碼看並沒有提供盜版插件下載，adds.txt是插件數(shù)據(jù)庫

從dzscan.py的源碼可以看到，會(huì)從DZ舊有應(yīng)用中心收集DZ目前所有插件名稱和代號(hào)
(, 下載次數(shù): 88)

然後從fetchvul的功能可以看到，他其實(shí)就是把應(yīng)用中心上有的插件掃描後，丟到自己的數(shù)據(jù)庫去判斷有沒有在黑名單裡。
(, 下載次數(shù): 93)

不過該站dzscan.org已死，自然就沒用了。

另外這東西不需要裝在網(wǎng)站上，可以在電腦執(zhí)行，網(wǎng)站密碼FTP密碼什麼的也不需要提供。

他掃描的DZ漏洞也都是非常非常的舊，應(yīng)該都在X3.2上被修過了。

作者: TG123999 時(shí)間: 2019-7-18 19:32
看的老子膽都抖出來了

作者: 安全專員 時(shí)間: 2019-7-18 19:37

pptts 發(fā)表于 2019-7-18 19:27
從源碼看並沒有提供盜版插件下載，adds.txt是插件數(shù)據(jù)庫

從dzscan.py的源碼可以看到，會(huì)從DZ舊有應(yīng)用中心 ...

只掃描discuz系統(tǒng)漏洞，是不需要插件列表的
黑客通過分發(fā)大量含有后門的盜版插件，變相給網(wǎng)站植入后門
就等著人中招！

作者: pptts 時(shí)間: 2019-7-18 19:43

安全專員發(fā)表于 2019-7-18 19:37
只掃描discuz系統(tǒng)漏洞，是不需要插件列表的
黑客通過分發(fā)大量含有后門的盜版插件，變相給網(wǎng)站植入后門
就 ...

他除了掃描DZ本身漏洞，也掃描了應(yīng)用中心的應(yīng)用列表啊，最終告知哪款應(yīng)用有漏洞。

這一部分源碼內(nèi)只透過連線回 http://dzscan.org/index.php/welcome/view?plugin=%s 返回json資料而已

源碼中並沒有提供插件分發(fā)啊，您如果有看到相關(guān)源碼，可以提出來參考。

但我並沒有在其源碼有看到分發(fā)盜版插件

作者: 安全專員 時(shí)間: 2019-7-18 19:58

pptts 發(fā)表于 2019-7-18 19:43
他除了掃描DZ本身漏洞，也掃描了應(yīng)用中心的應(yīng)用列表啊，最終告知哪款應(yīng)用有漏洞。

這一部分源碼內(nèi)只透過 ...

對(duì)方會(huì)傻到把含有后門的盜版插件放到github上嗎？當(dāng)然有其他渠道分發(fā)了，網(wǎng)上那么多盜版站的盜版插件哪里來得，你以為都是做盜版的人一個(gè)一個(gè)買來得？
總結(jié)起來就一句話：提高安全意識(shí)，拒絕盜版插件！

作者: pptts 時(shí)間: 2019-7-18 20:13

安全專員發(fā)表于 2019-7-18 19:58
對(duì)方會(huì)傻到把含有后門的盜版插件放到github上嗎？當(dāng)然有其他渠道分發(fā)了，網(wǎng)上那么多盜版站的盜版插件哪里 ...

我同意支持正版，拒絕盜版，也認(rèn)同您之前所發(fā)的文章，提倡正版支持開發(fā)者。

但不是看到黑影就開槍。就事論事，DZSCAN這個(gè)專案全擺在Github開源，源碼內(nèi)也沒有提供插件分發(fā)。

Adds.txt的用處也已經(jīng)在源碼內(nèi)解釋，這個(gè)專案是無害的毋庸置疑。但隨著DZSCAN解散，這個(gè)專案目前一點(diǎn)用處也沒有

作者: 安全專員 時(shí)間: 2019-7-18 20:25

pptts 發(fā)表于 2019-7-18 20:13
我同意支持正版，拒絕盜版，也認(rèn)同您之前所發(fā)的文章，提倡正版支持開發(fā)者。

但不是看到黑影就開槍。就事 ...

網(wǎng)上通過 DZSCAN 入侵網(wǎng)站的案例，一搜一大把，受害的站長(zhǎng)找誰說理去？站長(zhǎng)的損失誰負(fù)責(zé)？
如果你一定要為一個(gè)專門上你家偷東西的工具辯護(hù)，那只能祝愿您家里天天進(jìn)小偷了...
青天白日下，走路請(qǐng)小心

作者: pptts 時(shí)間: 2019-7-18 20:32

安全專員發(fā)表于 2019-7-18 20:25
網(wǎng)上通過 DZSCAN 入侵網(wǎng)站的案例，一搜一大把，受害的站長(zhǎng)找誰說理去？站長(zhǎng)的損失誰負(fù)責(zé)？
如果你一定要 ...

我說的都有拿出證據(jù)啊，源碼就寫在那邊，任何懂技術(shù)的去分析就知道了。

DZSCAN 入侵網(wǎng)站？我百度 Google都沒有找到案例，煩請(qǐng)賜教

再說一遍，我說的話都有拿出真憑實(shí)據(jù)，都是解析源碼之後說的，做人要有點(diǎn)素質(zhì)啊

作者: 安全專員 時(shí)間: 2019-7-18 20:41

pptts 發(fā)表于 2019-7-18 20:32
我說的都有拿出證據(jù)啊，源碼就寫在那邊，任何懂技術(shù)的去分析就知道了。

DZSCAN 入侵網(wǎng)站？我百度 Google ...

請(qǐng)問他在干嘛

https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=13121

復(fù)制代碼

不要說他只是自己測(cè)試，教程發(fā)出來，多少人看了，又有多少網(wǎng)站遭殃了
如果還要為這些垃圾辯護(hù)，就不要再回復(fù)我的帖子了，免得您遭雷劈的時(shí)候連累到我

作者: pptts 時(shí)間: 2019-7-18 20:50

安全專員發(fā)表于 2019-7-18 20:41
請(qǐng)問他在干嘛

不要說他只是自己測(cè)試，教程發(fā)出來，多少人看了，又有多少網(wǎng)站遭殃了

笑了，文章內(nèi)也寫明了這是安全檢測(cè)工具，被濫用也算在工具頭上？刀子可以殺人，所以當(dāng)初做出刀子的是壞人

記得年前有個(gè)基佬寫了一款工具名為《Dzscan》針對(duì)Discuz論壇安全檢測(cè)的工具。 Dzscan項(xiàng)目設(shè)計(jì)的初衷，一方面是向wpscan,jmscan的等國(guó)外優(yōu)秀作品的致敬,另一方面是更符合國(guó)情的量身定做。針對(duì)國(guó)內(nèi)知名bbs建站系統(tǒng)discuz，所精心打造的一款漏洞掃描框架.

如果您要堅(jiān)持安全檢測(cè)就是入侵工具，那我也不會(huì)再回復(fù)您的帖子，道不同不相為謀。

作者: 安全專員 時(shí)間: 2019-7-18 20:54

pptts 發(fā)表于 2019-7-18 20:50
笑了，文章內(nèi)也寫明了這是安全檢測(cè)工具，被濫用也算在工具頭上？刀子可以殺人，所以當(dāng)初做出刀子的是壞人 ...

你睜大眼睛看看他的教程是檢測(cè)還是入侵從沒見過如此厚顏無恥，睜眼說瞎話的人

作者: pptts 時(shí)間: 2019-7-18 21:02

安全專員發(fā)表于 2019-7-18 20:54
你睜大眼睛看看他的教程是檢測(cè)還是入侵從沒見過如此厚顏無恥，睜眼說瞎話的人
...

睜眼說瞎話的是你吧，把內(nèi)文看完吧，他只用DZscan檢測(cè)了該站有utility文件的存在，而DZutility當(dāng)時(shí)是有Getshell漏洞
也就是說真正執(zhí)行入侵不是工具，是人！拿刀殺人，不把怪人卻只怪刀，我還真沒見過那麼厚顏無恥的人

(, 下載次數(shù): 48)

作者: 安全專員 時(shí)間: 2019-7-18 21:12

pptts 發(fā)表于 2019-7-18 21:02
睜眼說瞎話的是你吧，把內(nèi)文看完吧，他只用DZscan檢測(cè)了該站有utility文件的存在，而DZutility當(dāng)時(shí)是有Ge ...

掃描下一步就上菜刀了，你不要告訴我這個(gè)菜刀是切菜的菜刀吧？

真是無理取鬧啊
你說搜不到案例
我給你找個(gè)案例
看到案例還不死心
非要糾結(jié)工具壞，還是人壞，要抬杠

你的無理糾纏，我不會(huì)再做任何回復(fù)了，跟杠精實(shí)在談不下去了

另附菜刀網(wǎng)站被打臉
(, 下載次數(shù): 21)

(, 下載次數(shù): 25)

非說自己提供的工具沒有后門沒有木馬，轉(zhuǎn)眼就被打臉

做盜版插件的也是一樣，厚著臉皮說沒后門，其實(shí)分分鐘打臉
大家不信可以搜：盜版平臺(tái)的名字 + 后門
各個(gè)盜版站之間都在為后門利益互相咬對(duì)方，真熱鬧！

作者: pptts 時(shí)間: 2019-7-18 21:25

安全專員發(fā)表于 2019-7-18 21:12
掃描下一步就上菜刀了，你不要告訴我這個(gè)菜刀是切菜的菜刀吧？

真是無理取鬧啊

無理取鬧的是你吧，掃描下一步就不在DZSCAN這套工具的範(fàn)圍了，他用的是別家工具執(zhí)行入侵。

最終還是回到人的問題，如果今天使用的人是網(wǎng)站的安全技術(shù)員，使用DZSCAN之後，下一步是修正漏洞而不會(huì)是執(zhí)行入侵。以你說的案例，就是刪除utility文件夾。

安全工具本來就是兩面刃，有的人拿來修正漏洞，有的人拿來做壞事。

如果你的思想還是如此，那我覺得你配不上「安全專員」這四個(gè)字。

因?yàn)槟愀揪筒焕斫獍踩珯z測(cè)工具? 以偏概全，有人在微信、QQ上搞詐騙，微信、QQ就是詐騙工具？

「盜版有木馬後門」這是地球人都知道，然而跟DZSCAN這個(gè)工具完全無關(guān)。

作者: 杰瑞科技 時(shí)間: 2019-7-19 11:52

pptts 發(fā)表于 2019-07-18 21:25
無理取鬧的是你吧，掃描下一步就不在DZSCAN這套工具的範(fàn)圍了，他用的是別家工具執(zhí)行入侵。

最終還是回到人的問題，如果今天使用的人是網(wǎng)站的安全技術(shù)員，使用DZSCAN之後，下一步是修正漏洞而不會(huì)是執(zhí)行入侵。以你說的案例，就是刪除utility文件夾。

安全工具本來就是兩面刃，有的人拿來修正漏洞，有的人拿來做壞事。

如果你的思想還是如此，那我覺得你配不上「安全專員」這四個(gè)字。

因?yàn)槟愀揪筒焕斫獍踩珯z測(cè)工具? 以偏概全，有人在微信、QQ上搞詐騙，微信、QQ就是詐騙工具？

「盜版有木馬後門」這是地球人都知道，然而跟DZSCAN這個(gè)工具完全無關(guān)。

請(qǐng)問這個(gè)作者從哪個(gè)渠道獲取這么多插件進(jìn)行掃描漏洞？
自己買，那得幾百萬吧？

作者: 琴對(duì)誰彈 時(shí)間: 2019-7-19 12:21
注意安全是必要的。

作者: pptts 時(shí)間: 2019-7-19 13:08

杰瑞科技發(fā)表于 2019-7-19 11:52
請(qǐng)問這個(gè)作者從哪個(gè)渠道獲取這么多插件進(jìn)行掃描漏洞？
自己買，那得幾百萬吧？ ...

列表只是數(shù)據(jù)庫，從應(yīng)用中心抓的ID和名字，不是代表3315個(gè)都有漏洞。

最終僅是從http://dzscan.org/index.php/welcome/view?plugin=[插件ID]取得json資料（返回該插件是否有漏洞的數(shù)據(jù)）

實(shí)際有多少插件有漏洞，已不得而知。

從GitHub上的描述來看，應(yīng)不到一百個(gè)。

本來的打算是等我的漏洞庫存夠一百個(gè)漏洞就公開項(xiàng)目的，但是看到已經(jīng)有人發(fā)布了類似的小玩意我就覺得沒必要藏著掖著了，不如拿出來大家一起維護(hù)提意見。
首先是漏洞褲首頁 http://dzscan.org/ ，因?yàn)檫@里的漏洞全部都是團(tuán)隊(duì)成員或者自己獨(dú)立發(fā)現(xiàn)的，所以現(xiàn)在其實(shí)并沒有多少漏洞，因?yàn)橐恢睕]有太多的時(shí)間去專心的挖漏洞，希望大家知道什么漏洞可以告知我一份，感謝。 codescan@yeah.net 若有朋友有興趣一起長(zhǎng)期做下去也可以聯(lián)系我。

復(fù)制代碼

作者: canon 時(shí)間: 2019-8-18 22:07
真是無恥之徒

作者: wenetm 時(shí)間: 2019-9-26 14:11
是有點(diǎn)危險(xiǎn)，官方應(yīng)用中心有時(shí)我也擔(dān)心安全，怕有漏洞。是不是過度擔(dān)心了

歡迎光臨 Discuz! 官方交流社區(qū) (http://m.sdtechgong.com.cn/)