久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

在github上活捉一只黑客兼做盜版插件的狗,3315款插件受害!

20939 26 1提示:支持鍵盤翻頁<-左 右-> 安全專員 發(fā)表于 2019-7-18 16:14 帖子模式

傳送門:安全小知識:為什么使用盜版插件容易被掛馬! 標(biāo)題侮辱了狗,我鄭重向狗道歉! 該黑客的github項(xiàng)目地址: https://github.com/code-scan/dzscan復(fù)制代碼 這個項(xiàng)目是一個后門掃描工具,是專門針對discuz! 項(xiàng) ... 查看全文

    組圖打開中,請稍候......

評論26個評論

wenetm發(fā)表于  2019-9-26 14:11:01
是有點(diǎn)危險(xiǎn),官方應(yīng)用中心有時(shí)我也擔(dān)心安全,怕有漏洞。是不是過度擔(dān)心了
canon發(fā)表于  2019-8-18 22:07:27
真是無恥之徒
pptts發(fā)表于  2019-7-19 13:08:48
杰瑞科技 發(fā)表于 2019-7-19 11:52
請問這個作者從哪個渠道獲取這么多插件進(jìn)行掃描漏洞?
自己買,那得幾百萬吧? ...

列表只是數(shù)據(jù)庫,從應(yīng)用中心抓的ID和名字,不是代表3315個都有漏洞。

最終僅是從http://dzscan.org/index.php/welcome/view?plugin=[插件ID]取得json資料(返回該插件是否有漏洞的數(shù)據(jù))

實(shí)際有多少插件有漏洞,已不得而知。

從GitHub上的描述來看,應(yīng)不到一百個。

  1. 本來的打算是等我的漏洞庫存夠一百個漏洞就公開項(xiàng)目的,但是看到已經(jīng)有人發(fā)布了類似的小玩意我就覺得沒必要藏著掖著了,不如拿出來大家一起維護(hù)提意見。

  2. 首先是漏洞褲首頁 http://dzscan.org/ ,因?yàn)檫@里的漏洞全部都是團(tuán)隊(duì)成員或者自己獨(dú)立發(fā)現(xiàn)的,所以現(xiàn)在其實(shí)并沒有多少漏洞,因?yàn)橐恢睕]有太多的時(shí)間去專心的挖漏洞,希望大家知道什么漏洞可以告知我一份,感謝。 codescan@yeah.net 若有朋友有興趣一起長期做下去也可以聯(lián)系我。
復(fù)制代碼
琴對誰彈發(fā)表于  2019-7-19 12:21:19
注意安全是必要的。
杰瑞科技發(fā)表于  2019-7-19 11:52:30
pptts 發(fā)表于 2019-07-18 21:25
無理取鬧的是你吧,掃描下一步就不在DZSCAN這套工具的範(fàn)圍了,他用的是別家工具執(zhí)行入侵。

最終還是回到人的問題,如果今天使用的人是網(wǎng)站的安全技術(shù)員,使用DZSCAN之後,下一步是修正漏洞而不會是執(zhí)行入侵。以你說的案例,就是刪除utility文件夾。

安全工具本來就是兩面刃,有的人拿來修正漏洞,有的人拿來做壞事。

如果你的思想還是如此,那我覺得你配不上「安全專員」這四個字。

因?yàn)槟愀揪筒焕斫獍踩珯z測工具? 以偏概全,有人在微信、QQ上搞詐騙,微信、QQ就是詐騙工具?

「盜版有木馬後門」這是地球人都知道,然而跟DZSCAN這個工具完全無關(guān)。

請問這個作者從哪個渠道獲取這么多插件進(jìn)行掃描漏洞?
自己買,那得幾百萬吧?
pptts發(fā)表于  2019-7-18 21:25:57
安全專員 發(fā)表于 2019-7-18 21:12
掃描下一步就上菜刀了,你不要告訴我這個菜刀是切菜的菜刀吧?

真是無理取鬧啊

無理取鬧的是你吧,掃描下一步就不在DZSCAN這套工具的範(fàn)圍了,他用的是別家工具執(zhí)行入侵。

最終還是回到人的問題,如果今天使用的人是網(wǎng)站的安全技術(shù)員,使用DZSCAN之後,下一步是修正漏洞而不會是執(zhí)行入侵。以你說的案例,就是刪除utility文件夾。

安全工具本來就是兩面刃,有的人拿來修正漏洞,有的人拿來做壞事。

如果你的思想還是如此,那我覺得你配不上「安全專員」這四個字。

因?yàn)槟愀揪筒焕斫獍踩珯z測工具? 以偏概全,有人在微信、QQ上搞詐騙,微信、QQ就是詐騙工具?

「盜版有木馬後門」這是地球人都知道,然而跟DZSCAN這個工具完全無關(guān)。
pptts發(fā)表于  2019-7-18 21:02:10
安全專員 發(fā)表于 2019-7-18 20:54
你睜大眼睛看看他的教程是檢測還是入侵從沒見過如此厚顏無恥,睜眼說瞎話的人
...

睜眼說瞎話的是你吧,把內(nèi)文看完吧,他只用DZscan檢測了該站有utility文件的存在,而DZutility當(dāng)時(shí)是有Getshell漏洞
也就是說真正執(zhí)行入侵不是工具,是人!拿刀殺人,不把怪人卻只怪刀,我還真沒見過那麼厚顏無恥的人



安全專員發(fā)表于  2019-7-18 20:54:46
pptts 發(fā)表于 2019-7-18 20:50
笑了,文章內(nèi)也寫明了這是安全檢測工具,被濫用也算在工具頭上?刀子可以殺人,所以當(dāng)初做出刀子的是壞人 ...

你睜大眼睛看看他的教程是檢測還是入侵從沒見過如此厚顏無恥,睜眼說瞎話的人
  • 關(guān)注公眾號
  • 有償服務(wù)微信
  • 有償服務(wù)QQ

手機(jī)版|小黑屋|Discuz! 官方交流社區(qū) ( 皖I(lǐng)CP備16010102號 |皖公網(wǎng)安備34010302002376號 )|網(wǎng)站地圖|star

GMT+8, 2025-7-3 20:05 , Processed in 0.068269 second(s), 25 queries , Redis On.

Powered by Discuz! W1.0 Licensed

Cpoyright © 2001-2025 Discuz! Team.

關(guān)燈 在本版發(fā)帖
有償服務(wù)QQ
有償服務(wù)微信
返回頂部
快速回復(fù) 返回頂部 返回列表