在github上活捉一只黑客兼做盜版插件的狗，3315款插件受害！

安全專員

pptts 發(fā)表于 2019-7-18 19:27
從源碼看並沒(méi)有提供盜版插件下載，adds.txt是插件數(shù)據(jù)庫(kù)

從dzscan.py的源碼可以看到，會(huì)從DZ舊有應(yīng)用中心 ...

只掃描discuz系統(tǒng)漏洞，是不需要插件列表的
黑客通過(guò)分發(fā)大量含有后門的盜版插件，變相給網(wǎng)站植入后門
就等著人中招！

pptts

安全專員 發(fā)表于 2019-7-18 19:37
只掃描discuz系統(tǒng)漏洞，是不需要插件列表的
黑客通過(guò)分發(fā)大量含有后門的盜版插件，變相給網(wǎng)站植入后門
就 ...

他除了掃描DZ本身漏洞，也掃描了應(yīng)用中心的應(yīng)用列表啊，最終告知哪款應(yīng)用有漏洞。

這一部分源碼內(nèi)只透過(guò)連線回 http://dzscan.org/index.php/welcome/view?plugin=%s 返回json資料而已

源碼中並沒(méi)有提供插件分發(fā)啊，您如果有看到相關(guān)源碼，可以提出來(lái)參考。

但我並沒(méi)有在其源碼有看到分發(fā)盜版插件

安全專員

pptts 發(fā)表于 2019-7-18 19:43
他除了掃描DZ本身漏洞，也掃描了應(yīng)用中心的應(yīng)用列表啊，最終告知哪款應(yīng)用有漏洞。

這一部分源碼內(nèi)只透過(guò) ...

對(duì)方會(huì)傻到把含有后門的盜版插件放到github上嗎？當(dāng)然有其他渠道分發(fā)了，網(wǎng)上那么多盜版站的盜版插件哪里來(lái)得，你以為都是做盜版的人一個(gè)一個(gè)買來(lái)得？
總結(jié)起來(lái)就一句話：提高安全意識(shí)，拒絕盜版插件！

pptts

安全專員 發(fā)表于 2019-7-18 19:58
對(duì)方會(huì)傻到把含有后門的盜版插件放到github上嗎？當(dāng)然有其他渠道分發(fā)了，網(wǎng)上那么多盜版站的盜版插件哪里 ...

我同意支持正版，拒絕盜版，也認(rèn)同您之前所發(fā)的文章，提倡正版支持開(kāi)發(fā)者。

但不是看到黑影就開(kāi)槍。就事論事，DZSCAN這個(gè)專案全擺在Github開(kāi)源，源碼內(nèi)也沒(méi)有提供插件分發(fā)。

Adds.txt的用處也已經(jīng)在源碼內(nèi)解釋，這個(gè)專案是無(wú)害的毋庸置疑。但隨著DZSCAN解散，這個(gè)專案目前一點(diǎn)用處也沒(méi)有

安全專員

pptts 發(fā)表于 2019-7-18 20:13
我同意支持正版，拒絕盜版，也認(rèn)同您之前所發(fā)的文章，提倡正版支持開(kāi)發(fā)者。

但不是看到黑影就開(kāi)槍。就事 ...

網(wǎng)上通過(guò) DZSCAN 入侵網(wǎng)站的案例，一搜一大把，受害的站長(zhǎng)找誰(shuí)說(shuō)理去？站長(zhǎng)的損失誰(shuí)負(fù)責(zé)？
如果你一定要為一個(gè)專門上你家偷東西的工具辯護(hù)，那只能祝愿您家里天天進(jìn)小偷了...
青天白日下，走路請(qǐng)小心

pptts

安全專員 發(fā)表于 2019-7-18 20:25
網(wǎng)上通過(guò) DZSCAN 入侵網(wǎng)站的案例，一搜一大把，受害的站長(zhǎng)找誰(shuí)說(shuō)理去？站長(zhǎng)的損失誰(shuí)負(fù)責(zé)？
如果你一定要 ...

我說(shuō)的都有拿出證據(jù)啊，源碼就寫在那邊，任何懂技術(shù)的去分析就知道了。

DZSCAN 入侵網(wǎng)站？我百度 Google都沒(méi)有找到案例，煩請(qǐng)賜教

再說(shuō)一遍，我說(shuō)的話都有拿出真憑實(shí)據(jù)，都是解析源碼之後說(shuō)的，做人要有點(diǎn)素質(zhì)啊

安全專員

pptts 發(fā)表于 2019-7-18 20:32
我說(shuō)的都有拿出證據(jù)啊，源碼就寫在那邊，任何懂技術(shù)的去分析就知道了。

DZSCAN 入侵網(wǎng)站？我百度 Google ...

請(qǐng)問(wèn)他在干嘛

1. https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=13121

復(fù)制代碼

不要說(shuō)他只是自己測(cè)試，教程發(fā)出來(lái)，多少人看了，又有多少網(wǎng)站遭殃了
如果還要為這些垃圾辯護(hù)，就不要再回復(fù)我的帖子了，免得您遭雷劈的時(shí)候連累到我

pptts

安全專員 發(fā)表于 2019-7-18 20:41
請(qǐng)問(wèn)他在干嘛

不要說(shuō)他只是自己測(cè)試，教程發(fā)出來(lái)，多少人看了，又有多少網(wǎng)站遭殃了

笑了，文章內(nèi)也寫明了這是安全檢測(cè)工具，被濫用也算在工具頭上？刀子可以殺人，所以當(dāng)初做出刀子的是壞人

記得年前有個(gè)基佬寫了一款工具名為《Dzscan》針對(duì)Discuz論壇安全檢測(cè)的工具。        Dzscan項(xiàng)目設(shè)計(jì)的初衷，一方面是向wpscan,jmscan的等國(guó)外優(yōu)秀作品的致敬,另一方面是更符合國(guó)情的量身定做。針對(duì)國(guó)內(nèi)知名bbs建站系統(tǒng)discuz，所精心打造的一款漏洞掃描框架.

如果您要堅(jiān)持安全檢測(cè)就是入侵工具，那我也不會(huì)再回復(fù)您的帖子，道不同不相為謀。

安全專員

pptts 發(fā)表于 2019-7-18 20:50
笑了，文章內(nèi)也寫明了這是安全檢測(cè)工具，被濫用也算在工具頭上？刀子可以殺人，所以當(dāng)初做出刀子的是壞人 ...

你睜大眼睛看看他的教程是檢測(cè)還是入侵從沒(méi)見(jiàn)過(guò)如此厚顏無(wú)恥，睜眼說(shuō)瞎話的人

pptts

安全專員 發(fā)表于 2019-7-18 20:54
你睜大眼睛看看他的教程是檢測(cè)還是入侵從沒(méi)見(jiàn)過(guò)如此厚顏無(wú)恥，睜眼說(shuō)瞎話的人
...

睜眼說(shuō)瞎話的是你吧，把內(nèi)文看完吧，他只用DZscan檢測(cè)了該站有utility文件的存在，而DZutility當(dāng)時(shí)是有Getshell漏洞
也就是說(shuō)真正執(zhí)行入侵不是工具，是人！拿刀殺人，不把怪人卻只怪刀，我還真沒(méi)見(jiàn)過(guò)那麼厚顏無(wú)恥的人