97久久国产亚洲精品超碰热,成人又色又爽的免费网站,色偷偷女人的天堂a,男女高潮喷水在线观看,国内精品一线二线三线区别在哪里

Discuz! 官方交流社區(qū)

標題: 在github上活捉一只黑客兼做盜版插件的狗，3315款插件受害！ [打印本頁]

作者: 安全專員 時間: 2019-7-18 16:14
標題: 在github上活捉一只黑客兼做盜版插件的狗，3315款插件受害！
傳送門：安全小知識：為什么使用盜版插件容易被掛馬！

標題侮辱了狗，我鄭重向狗道歉！
該黑客的github項目地址：

https://github.com/code-scan/dzscan

復制代碼

這個項目是一個后門掃描工具，是專門針對discuz!
項目作者還專門放了一個盜版插件清單，涉及3315款Discuz!經(jīng)典插件...

(, 下載次數(shù): 69)

問題來了，他的盜版插件，你敢安裝嗎？

傳送門：安全小知識：為什么使用盜版插件容易被掛馬！

作者: wuyou 時間: 2019-7-18 17:03
哈哈，懂技術(shù)的心術(shù)不正屬于危險品。。。。

作者: czwhehehe 時間: 2019-7-18 17:06
臥槽，真有些人才……

作者: 購啊購 時間: 2019-7-18 17:12
感覺你是官方的水軍，就嚇站長去買正版

作者: 安全專員 時間: 2019-7-18 17:18

購啊購發(fā)表于 2019-7-18 17:12
感覺你是官方的水軍，就嚇站長去買正版

他強由他強，清風拂山崗
他橫由他橫，明月照大江
擺事實，講道理，別人怎么說，隨它去...

作者: 老魏 時間: 2019-7-18 17:24
他這個是不是說明這些插件都是有漏洞的

作者: 安全專員 時間: 2019-7-18 17:33

老魏發(fā)表于 2019-7-18 17:24
他這個是不是說明這些插件都是有漏洞的

你覺得他做義工？給你提供盜版插件，還幫你掃描網(wǎng)站后門免費檢測網(wǎng)站安全？

作者: 老魏 時間: 2019-7-18 19:04

安全專員發(fā)表于 2019-7-18 17:33
你覺得他做義工？給你提供盜版插件，還幫你掃描網(wǎng)站后門免費檢測網(wǎng)站安全？ ...

我的意思是他獲取的這些插件，是不是說明這些插件有漏洞

作者: pptts 時間: 2019-7-18 19:27
從源碼看並沒有提供盜版插件下載，adds.txt是插件數(shù)據(jù)庫

從dzscan.py的源碼可以看到，會從DZ舊有應(yīng)用中心收集DZ目前所有插件名稱和代號
(, 下載次數(shù): 66)

然後從fetchvul的功能可以看到，他其實就是把應(yīng)用中心上有的插件掃描後，丟到自己的數(shù)據(jù)庫去判斷有沒有在黑名單裡。
(, 下載次數(shù): 68)

不過該站dzscan.org已死，自然就沒用了。

另外這東西不需要裝在網(wǎng)站上，可以在電腦執(zhí)行，網(wǎng)站密碼FTP密碼什麼的也不需要提供。

他掃描的DZ漏洞也都是非常非常的舊，應(yīng)該都在X3.2上被修過了。

作者: TG123999 時間: 2019-7-18 19:32
看的老子膽都抖出來了

作者: 安全專員 時間: 2019-7-18 19:37

pptts 發(fā)表于 2019-7-18 19:27
從源碼看並沒有提供盜版插件下載，adds.txt是插件數(shù)據(jù)庫

從dzscan.py的源碼可以看到，會從DZ舊有應(yīng)用中心 ...

只掃描discuz系統(tǒng)漏洞，是不需要插件列表的
黑客通過分發(fā)大量含有后門的盜版插件，變相給網(wǎng)站植入后門
就等著人中招！

作者: pptts 時間: 2019-7-18 19:43

安全專員發(fā)表于 2019-7-18 19:37
只掃描discuz系統(tǒng)漏洞，是不需要插件列表的
黑客通過分發(fā)大量含有后門的盜版插件，變相給網(wǎng)站植入后門
就 ...

他除了掃描DZ本身漏洞，也掃描了應(yīng)用中心的應(yīng)用列表啊，最終告知哪款應(yīng)用有漏洞。

這一部分源碼內(nèi)只透過連線回 http://dzscan.org/index.php/welcome/view?plugin=%s 返回json資料而已

源碼中並沒有提供插件分發(fā)啊，您如果有看到相關(guān)源碼，可以提出來參考。

但我並沒有在其源碼有看到分發(fā)盜版插件

作者: 安全專員 時間: 2019-7-18 19:58

pptts 發(fā)表于 2019-7-18 19:43
他除了掃描DZ本身漏洞，也掃描了應(yīng)用中心的應(yīng)用列表啊，最終告知哪款應(yīng)用有漏洞。

這一部分源碼內(nèi)只透過 ...

對方會傻到把含有后門的盜版插件放到github上嗎？當然有其他渠道分發(fā)了，網(wǎng)上那么多盜版站的盜版插件哪里來得，你以為都是做盜版的人一個一個買來得？
總結(jié)起來就一句話：提高安全意識，拒絕盜版插件！

作者: pptts 時間: 2019-7-18 20:13

安全專員發(fā)表于 2019-7-18 19:58
對方會傻到把含有后門的盜版插件放到github上嗎？當然有其他渠道分發(fā)了，網(wǎng)上那么多盜版站的盜版插件哪里 ...

我同意支持正版，拒絕盜版，也認同您之前所發(fā)的文章，提倡正版支持開發(fā)者。

但不是看到黑影就開槍。就事論事，DZSCAN這個專案全擺在Github開源，源碼內(nèi)也沒有提供插件分發(fā)。

Adds.txt的用處也已經(jīng)在源碼內(nèi)解釋，這個專案是無害的毋庸置疑。但隨著DZSCAN解散，這個專案目前一點用處也沒有

作者: 安全專員 時間: 2019-7-18 20:25

pptts 發(fā)表于 2019-7-18 20:13
我同意支持正版，拒絕盜版，也認同您之前所發(fā)的文章，提倡正版支持開發(fā)者。

但不是看到黑影就開槍。就事 ...

網(wǎng)上通過 DZSCAN 入侵網(wǎng)站的案例，一搜一大把，受害的站長找誰說理去？站長的損失誰負責？
如果你一定要為一個專門上你家偷東西的工具辯護，那只能祝愿您家里天天進小偷了...
青天白日下，走路請小心

作者: pptts 時間: 2019-7-18 20:32

安全專員發(fā)表于 2019-7-18 20:25
網(wǎng)上通過 DZSCAN 入侵網(wǎng)站的案例，一搜一大把，受害的站長找誰說理去？站長的損失誰負責？
如果你一定要 ...

我說的都有拿出證據(jù)啊，源碼就寫在那邊，任何懂技術(shù)的去分析就知道了。

DZSCAN 入侵網(wǎng)站？我百度 Google都沒有找到案例，煩請賜教

再說一遍，我說的話都有拿出真憑實據(jù)，都是解析源碼之後說的，做人要有點素質(zhì)啊

作者: 安全專員 時間: 2019-7-18 20:41

pptts 發(fā)表于 2019-7-18 20:32
我說的都有拿出證據(jù)啊，源碼就寫在那邊，任何懂技術(shù)的去分析就知道了。

DZSCAN 入侵網(wǎng)站？我百度 Google ...

請問他在干嘛

https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=13121

復制代碼

不要說他只是自己測試，教程發(fā)出來，多少人看了，又有多少網(wǎng)站遭殃了
如果還要為這些垃圾辯護，就不要再回復我的帖子了，免得您遭雷劈的時候連累到我

作者: pptts 時間: 2019-7-18 20:50

安全專員發(fā)表于 2019-7-18 20:41
請問他在干嘛

不要說他只是自己測試，教程發(fā)出來，多少人看了，又有多少網(wǎng)站遭殃了

笑了，文章內(nèi)也寫明了這是安全檢測工具，被濫用也算在工具頭上？刀子可以殺人，所以當初做出刀子的是壞人

記得年前有個基佬寫了一款工具名為《Dzscan》針對Discuz論壇安全檢測的工具。 Dzscan項目設(shè)計的初衷，一方面是向wpscan,jmscan的等國外優(yōu)秀作品的致敬,另一方面是更符合國情的量身定做。針對國內(nèi)知名bbs建站系統(tǒng)discuz，所精心打造的一款漏洞掃描框架.

如果您要堅持安全檢測就是入侵工具，那我也不會再回復您的帖子，道不同不相為謀。

作者: 安全專員 時間: 2019-7-18 20:54

pptts 發(fā)表于 2019-7-18 20:50
笑了，文章內(nèi)也寫明了這是安全檢測工具，被濫用也算在工具頭上？刀子可以殺人，所以當初做出刀子的是壞人 ...

你睜大眼睛看看他的教程是檢測還是入侵從沒見過如此厚顏無恥，睜眼說瞎話的人

作者: pptts 時間: 2019-7-18 21:02

安全專員發(fā)表于 2019-7-18 20:54
你睜大眼睛看看他的教程是檢測還是入侵從沒見過如此厚顏無恥，睜眼說瞎話的人
...

睜眼說瞎話的是你吧，把內(nèi)文看完吧，他只用DZscan檢測了該站有utility文件的存在，而DZutility當時是有Getshell漏洞
也就是說真正執(zhí)行入侵不是工具，是人！拿刀殺人，不把怪人卻只怪刀，我還真沒見過那麼厚顏無恥的人

(, 下載次數(shù): 31)

作者: 安全專員 時間: 2019-7-18 21:12

pptts 發(fā)表于 2019-7-18 21:02
睜眼說瞎話的是你吧，把內(nèi)文看完吧，他只用DZscan檢測了該站有utility文件的存在，而DZutility當時是有Ge ...

掃描下一步就上菜刀了，你不要告訴我這個菜刀是切菜的菜刀吧？

真是無理取鬧啊
你說搜不到案例
我給你找個案例
看到案例還不死心
非要糾結(jié)工具壞，還是人壞，要抬杠

你的無理糾纏，我不會再做任何回復了，跟杠精實在談不下去了

另附菜刀網(wǎng)站被打臉
(, 下載次數(shù): 14)

(, 下載次數(shù): 17)

非說自己提供的工具沒有后門沒有木馬，轉(zhuǎn)眼就被打臉

做盜版插件的也是一樣，厚著臉皮說沒后門，其實分分鐘打臉
大家不信可以搜：盜版平臺的名字 + 后門
各個盜版站之間都在為后門利益互相咬對方，真熱鬧！

作者: pptts 時間: 2019-7-18 21:25

安全專員發(fā)表于 2019-7-18 21:12
掃描下一步就上菜刀了，你不要告訴我這個菜刀是切菜的菜刀吧？

真是無理取鬧啊

無理取鬧的是你吧，掃描下一步就不在DZSCAN這套工具的範圍了，他用的是別家工具執(zhí)行入侵。

最終還是回到人的問題，如果今天使用的人是網(wǎng)站的安全技術(shù)員，使用DZSCAN之後，下一步是修正漏洞而不會是執(zhí)行入侵。以你說的案例，就是刪除utility文件夾。

安全工具本來就是兩面刃，有的人拿來修正漏洞，有的人拿來做壞事。

如果你的思想還是如此，那我覺得你配不上「安全專員」這四個字。

因為你根本就不理解安全檢測工具? 以偏概全，有人在微信、QQ上搞詐騙，微信、QQ就是詐騙工具？

「盜版有木馬後門」這是地球人都知道，然而跟DZSCAN這個工具完全無關(guān)。

作者: 杰瑞科技 時間: 2019-7-19 11:52

pptts 發(fā)表于 2019-07-18 21:25
無理取鬧的是你吧，掃描下一步就不在DZSCAN這套工具的範圍了，他用的是別家工具執(zhí)行入侵。

最終還是回到人的問題，如果今天使用的人是網(wǎng)站的安全技術(shù)員，使用DZSCAN之後，下一步是修正漏洞而不會是執(zhí)行入侵。以你說的案例，就是刪除utility文件夾。

安全工具本來就是兩面刃，有的人拿來修正漏洞，有的人拿來做壞事。

如果你的思想還是如此，那我覺得你配不上「安全專員」這四個字。

因為你根本就不理解安全檢測工具? 以偏概全，有人在微信、QQ上搞詐騙，微信、QQ就是詐騙工具？

「盜版有木馬後門」這是地球人都知道，然而跟DZSCAN這個工具完全無關(guān)。

請問這個作者從哪個渠道獲取這么多插件進行掃描漏洞？
自己買，那得幾百萬吧？

作者: 琴對誰彈 時間: 2019-7-19 12:21
注意安全是必要的。

作者: pptts 時間: 2019-7-19 13:08

杰瑞科技發(fā)表于 2019-7-19 11:52
請問這個作者從哪個渠道獲取這么多插件進行掃描漏洞？
自己買，那得幾百萬吧？ ...

列表只是數(shù)據(jù)庫，從應(yīng)用中心抓的ID和名字，不是代表3315個都有漏洞。

最終僅是從http://dzscan.org/index.php/welcome/view?plugin=[插件ID]取得json資料（返回該插件是否有漏洞的數(shù)據(jù)）

實際有多少插件有漏洞，已不得而知。

從GitHub上的描述來看，應(yīng)不到一百個。

本來的打算是等我的漏洞庫存夠一百個漏洞就公開項目的，但是看到已經(jīng)有人發(fā)布了類似的小玩意我就覺得沒必要藏著掖著了，不如拿出來大家一起維護提意見。
首先是漏洞褲首頁 http://dzscan.org/ ，因為這里的漏洞全部都是團隊成員或者自己獨立發(fā)現(xiàn)的，所以現(xiàn)在其實并沒有多少漏洞，因為一直沒有太多的時間去專心的挖漏洞，希望大家知道什么漏洞可以告知我一份，感謝。 codescan@yeah.net 若有朋友有興趣一起長期做下去也可以聯(lián)系我。

復制代碼

作者: canon 時間: 2019-8-18 22:07
真是無恥之徒

作者: wenetm 時間: 2019-9-26 14:11
是有點危險，官方應(yīng)用中心有時我也擔心安全，怕有漏洞。是不是過度擔心了

歡迎光臨 Discuz! 官方交流社區(qū) (http://r615.cn/)

<cite id="l42ga"><track id="l42ga"></track></cite>^{<blockquote id="l42ga"></blockquote>}