久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區

標題: 在github上活捉一只黑客兼做盜版插件的狗，3315款插件受害！ [打印本頁]

作者: 安全專員 時間: 2019-7-18 16:14
標題: 在github上活捉一只黑客兼做盜版插件的狗，3315款插件受害！
傳送門：安全小知識：為什么使用盜版插件容易被掛馬！

標題侮辱了狗，我鄭重向狗道歉！
該黑客的github項目地址：

https://github.com/code-scan/dzscan

復制代碼

這個項目是一個后門掃描工具，是專門針對discuz!
項目作者還專門放了一個盜版插件清單，涉及3315款Discuz!經典插件...

(, 下載次數: 58)

問題來了，他的盜版插件，你敢安裝嗎？

傳送門：安全小知識：為什么使用盜版插件容易被掛馬！

作者: wuyou 時間: 2019-7-18 17:03
哈哈，懂技術的心術不正屬于危險品。。。。

作者: czwhehehe 時間: 2019-7-18 17:06
臥槽，真有些人才……

作者: 購啊購 時間: 2019-7-18 17:12
感覺你是官方的水軍，就嚇站長去買正版

作者: 安全專員 時間: 2019-7-18 17:18

購啊購發表于 2019-7-18 17:12
感覺你是官方的水軍，就嚇站長去買正版

他強由他強，清風拂山崗
他橫由他橫，明月照大江
擺事實，講道理，別人怎么說，隨它去...

作者: 老魏 時間: 2019-7-18 17:24
他這個是不是說明這些插件都是有漏洞的

作者: 安全專員 時間: 2019-7-18 17:33

老魏發表于 2019-7-18 17:24
他這個是不是說明這些插件都是有漏洞的

你覺得他做義工？給你提供盜版插件，還幫你掃描網站后門免費檢測網站安全？

作者: 老魏 時間: 2019-7-18 19:04

安全專員發表于 2019-7-18 17:33
你覺得他做義工？給你提供盜版插件，還幫你掃描網站后門免費檢測網站安全？ ...

我的意思是他獲取的這些插件，是不是說明這些插件有漏洞

作者: pptts 時間: 2019-7-18 19:27
從源碼看並沒有提供盜版插件下載，adds.txt是插件數據庫

從dzscan.py的源碼可以看到，會從DZ舊有應用中心收集DZ目前所有插件名稱和代號
(, 下載次數: 56)

然後從fetchvul的功能可以看到，他其實就是把應用中心上有的插件掃描後，丟到自己的數據庫去判斷有沒有在黑名單裡。
(, 下載次數: 62)

不過該站dzscan.org已死，自然就沒用了。

另外這東西不需要裝在網站上，可以在電腦執行，網站密碼FTP密碼什麼的也不需要提供。

他掃描的DZ漏洞也都是非常非常的舊，應該都在X3.2上被修過了。

作者: TG123999 時間: 2019-7-18 19:32
看的老子膽都抖出來了

作者: 安全專員 時間: 2019-7-18 19:37

pptts 發表于 2019-7-18 19:27
從源碼看並沒有提供盜版插件下載，adds.txt是插件數據庫

從dzscan.py的源碼可以看到，會從DZ舊有應用中心 ...

只掃描discuz系統漏洞，是不需要插件列表的
黑客通過分發大量含有后門的盜版插件，變相給網站植入后門
就等著人中招！

作者: pptts 時間: 2019-7-18 19:43

安全專員發表于 2019-7-18 19:37
只掃描discuz系統漏洞，是不需要插件列表的
黑客通過分發大量含有后門的盜版插件，變相給網站植入后門
就 ...

他除了掃描DZ本身漏洞，也掃描了應用中心的應用列表啊，最終告知哪款應用有漏洞。

這一部分源碼內只透過連線回 http://dzscan.org/index.php/welcome/view?plugin=%s 返回json資料而已

源碼中並沒有提供插件分發啊，您如果有看到相關源碼，可以提出來參考。

但我並沒有在其源碼有看到分發盜版插件

作者: 安全專員 時間: 2019-7-18 19:58

pptts 發表于 2019-7-18 19:43
他除了掃描DZ本身漏洞，也掃描了應用中心的應用列表啊，最終告知哪款應用有漏洞。

這一部分源碼內只透過 ...

對方會傻到把含有后門的盜版插件放到github上嗎？當然有其他渠道分發了，網上那么多盜版站的盜版插件哪里來得，你以為都是做盜版的人一個一個買來得？
總結起來就一句話：提高安全意識，拒絕盜版插件！

作者: pptts 時間: 2019-7-18 20:13

安全專員發表于 2019-7-18 19:58
對方會傻到把含有后門的盜版插件放到github上嗎？當然有其他渠道分發了，網上那么多盜版站的盜版插件哪里 ...

我同意支持正版，拒絕盜版，也認同您之前所發的文章，提倡正版支持開發者。

但不是看到黑影就開槍。就事論事，DZSCAN這個專案全擺在Github開源，源碼內也沒有提供插件分發。

Adds.txt的用處也已經在源碼內解釋，這個專案是無害的毋庸置疑。但隨著DZSCAN解散，這個專案目前一點用處也沒有

作者: 安全專員 時間: 2019-7-18 20:25

pptts 發表于 2019-7-18 20:13
我同意支持正版，拒絕盜版，也認同您之前所發的文章，提倡正版支持開發者。

但不是看到黑影就開槍。就事 ...

網上通過 DZSCAN 入侵網站的案例，一搜一大把，受害的站長找誰說理去？站長的損失誰負責？
如果你一定要為一個專門上你家偷東西的工具辯護，那只能祝愿您家里天天進小偷了...
青天白日下，走路請小心

作者: pptts 時間: 2019-7-18 20:32

安全專員發表于 2019-7-18 20:25
網上通過 DZSCAN 入侵網站的案例，一搜一大把，受害的站長找誰說理去？站長的損失誰負責？
如果你一定要 ...

我說的都有拿出證據啊，源碼就寫在那邊，任何懂技術的去分析就知道了。

DZSCAN 入侵網站？我百度 Google都沒有找到案例，煩請賜教

再說一遍，我說的話都有拿出真憑實據，都是解析源碼之後說的，做人要有點素質啊

作者: 安全專員 時間: 2019-7-18 20:41

pptts 發表于 2019-7-18 20:32
我說的都有拿出證據啊，源碼就寫在那邊，任何懂技術的去分析就知道了。

DZSCAN 入侵網站？我百度 Google ...

請問他在干嘛

https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=13121

復制代碼

不要說他只是自己測試，教程發出來，多少人看了，又有多少網站遭殃了
如果還要為這些垃圾辯護，就不要再回復我的帖子了，免得您遭雷劈的時候連累到我

作者: pptts 時間: 2019-7-18 20:50

安全專員發表于 2019-7-18 20:41
請問他在干嘛

不要說他只是自己測試，教程發出來，多少人看了，又有多少網站遭殃了

笑了，文章內也寫明了這是安全檢測工具，被濫用也算在工具頭上？刀子可以殺人，所以當初做出刀子的是壞人

記得年前有個基佬寫了一款工具名為《Dzscan》針對Discuz論壇安全檢測的工具。 Dzscan項目設計的初衷，一方面是向wpscan,jmscan的等國外優秀作品的致敬,另一方面是更符合國情的量身定做。針對國內知名bbs建站系統discuz，所精心打造的一款漏洞掃描框架.

如果您要堅持安全檢測就是入侵工具，那我也不會再回復您的帖子，道不同不相為謀。

作者: 安全專員 時間: 2019-7-18 20:54

pptts 發表于 2019-7-18 20:50
笑了，文章內也寫明了這是安全檢測工具，被濫用也算在工具頭上？刀子可以殺人，所以當初做出刀子的是壞人 ...

你睜大眼睛看看他的教程是檢測還是入侵從沒見過如此厚顏無恥，睜眼說瞎話的人

作者: pptts 時間: 2019-7-18 21:02

安全專員發表于 2019-7-18 20:54
你睜大眼睛看看他的教程是檢測還是入侵從沒見過如此厚顏無恥，睜眼說瞎話的人
...

睜眼說瞎話的是你吧，把內文看完吧，他只用DZscan檢測了該站有utility文件的存在，而DZutility當時是有Getshell漏洞
也就是說真正執行入侵不是工具，是人！拿刀殺人，不把怪人卻只怪刀，我還真沒見過那麼厚顏無恥的人

(, 下載次數: 21)

作者: 安全專員 時間: 2019-7-18 21:12

pptts 發表于 2019-7-18 21:02
睜眼說瞎話的是你吧，把內文看完吧，他只用DZscan檢測了該站有utility文件的存在，而DZutility當時是有Ge ...

掃描下一步就上菜刀了，你不要告訴我這個菜刀是切菜的菜刀吧？

真是無理取鬧啊
你說搜不到案例
我給你找個案例
看到案例還不死心
非要糾結工具壞，還是人壞，要抬杠

你的無理糾纏，我不會再做任何回復了，跟杠精實在談不下去了

另附菜刀網站被打臉
(, 下載次數: 12)

(, 下載次數: 13)

非說自己提供的工具沒有后門沒有木馬，轉眼就被打臉

做盜版插件的也是一樣，厚著臉皮說沒后門，其實分分鐘打臉
大家不信可以搜：盜版平臺的名字 + 后門
各個盜版站之間都在為后門利益互相咬對方，真熱鬧！

作者: pptts 時間: 2019-7-18 21:25

安全專員發表于 2019-7-18 21:12
掃描下一步就上菜刀了，你不要告訴我這個菜刀是切菜的菜刀吧？

真是無理取鬧啊

無理取鬧的是你吧，掃描下一步就不在DZSCAN這套工具的範圍了，他用的是別家工具執行入侵。

最終還是回到人的問題，如果今天使用的人是網站的安全技術員，使用DZSCAN之後，下一步是修正漏洞而不會是執行入侵。以你說的案例，就是刪除utility文件夾。

安全工具本來就是兩面刃，有的人拿來修正漏洞，有的人拿來做壞事。

如果你的思想還是如此，那我覺得你配不上「安全專員」這四個字。

因為你根本就不理解安全檢測工具? 以偏概全，有人在微信、QQ上搞詐騙，微信、QQ就是詐騙工具？

「盜版有木馬後門」這是地球人都知道，然而跟DZSCAN這個工具完全無關。

作者: 杰瑞科技 時間: 2019-7-19 11:52

pptts 發表于 2019-07-18 21:25
無理取鬧的是你吧，掃描下一步就不在DZSCAN這套工具的範圍了，他用的是別家工具執行入侵。

最終還是回到人的問題，如果今天使用的人是網站的安全技術員，使用DZSCAN之後，下一步是修正漏洞而不會是執行入侵。以你說的案例，就是刪除utility文件夾。

安全工具本來就是兩面刃，有的人拿來修正漏洞，有的人拿來做壞事。

如果你的思想還是如此，那我覺得你配不上「安全專員」這四個字。

因為你根本就不理解安全檢測工具? 以偏概全，有人在微信、QQ上搞詐騙，微信、QQ就是詐騙工具？

「盜版有木馬後門」這是地球人都知道，然而跟DZSCAN這個工具完全無關。

請問這個作者從哪個渠道獲取這么多插件進行掃描漏洞？
自己買，那得幾百萬吧？

作者: 琴對誰彈 時間: 2019-7-19 12:21
注意安全是必要的。

作者: pptts 時間: 2019-7-19 13:08

杰瑞科技發表于 2019-7-19 11:52
請問這個作者從哪個渠道獲取這么多插件進行掃描漏洞？
自己買，那得幾百萬吧？ ...

列表只是數據庫，從應用中心抓的ID和名字，不是代表3315個都有漏洞。

最終僅是從http://dzscan.org/index.php/welcome/view?plugin=[插件ID]取得json資料（返回該插件是否有漏洞的數據）

實際有多少插件有漏洞，已不得而知。

從GitHub上的描述來看，應不到一百個。

本來的打算是等我的漏洞庫存夠一百個漏洞就公開項目的，但是看到已經有人發布了類似的小玩意我就覺得沒必要藏著掖著了，不如拿出來大家一起維護提意見。
首先是漏洞褲首頁 http://dzscan.org/ ，因為這里的漏洞全部都是團隊成員或者自己獨立發現的，所以現在其實并沒有多少漏洞，因為一直沒有太多的時間去專心的挖漏洞，希望大家知道什么漏洞可以告知我一份，感謝。 codescan@yeah.net 若有朋友有興趣一起長期做下去也可以聯系我。

復制代碼

作者: canon 時間: 2019-8-18 22:07
真是無恥之徒

作者: wenetm 時間: 2019-9-26 14:11
是有點危險，官方應用中心有時我也擔心安全，怕有漏洞。是不是過度擔心了

歡迎光臨 Discuz! 官方交流社區 (http://www.9999xn.com/)