在github上活捉一只黑客兼做盜版插件的狗，3315款插件受害！

安全專員

傳送門：安全小知識(shí)：為什么使用盜版插件容易被掛馬！

標(biāo)題侮辱了狗，我鄭重向狗道歉！
該黑客的github項(xiàng)目地址：

1. https://github.com/code-scan/dzscan

復(fù)制代碼

這個(gè)項(xiàng)目是一個(gè)后門掃描工具，是專門針對(duì)discuz!
項(xiàng)目作者還專門放了一個(gè)盜版插件清單，涉及3315款Discuz!經(jīng)典插件...



問(wèn)題來(lái)了，他的盜版插件，你敢安裝嗎？


傳送門：安全小知識(shí)：為什么使用盜版插件容易被掛馬！

wuyou

哈哈，懂技術(shù)的心術(shù)不正屬于危險(xiǎn)品。。。。

czwhehehe

臥槽，真有些人才……

購(gòu)啊購(gòu)

感覺(jué)你是官方的水軍，就嚇站長(zhǎng)去買正版

安全專員

購(gòu)啊購(gòu) 發(fā)表于 2019-7-18 17:12
感覺(jué)你是官方的水軍，就嚇站長(zhǎng)去買正版

他強(qiáng)由他強(qiáng)，清風(fēng)拂山崗
他橫由他橫，明月照大江
擺事實(shí)，講道理，別人怎么說(shuō)，隨它去...

老魏

他這個(gè)是不是說(shuō)明這些插件都是有漏洞的

安全專員

老魏 發(fā)表于 2019-7-18 17:24
他這個(gè)是不是說(shuō)明這些插件都是有漏洞的

你覺(jué)得他做義工？給你提供盜版插件，還幫你掃描網(wǎng)站后門免費(fèi)檢測(cè)網(wǎng)站安全？

老魏

安全專員 發(fā)表于 2019-7-18 17:33
你覺(jué)得他做義工？給你提供盜版插件，還幫你掃描網(wǎng)站后門免費(fèi)檢測(cè)網(wǎng)站安全？ ...

我的意思是他獲取的這些插件，是不是說(shuō)明這些插件有漏洞

pptts

從源碼看並沒(méi)有提供盜版插件下載，adds.txt是插件數(shù)據(jù)庫(kù)

從dzscan.py的源碼可以看到，會(huì)從DZ舊有應(yīng)用中心收集DZ目前所有插件名稱和代號(hào)


然後從fetchvul的功能可以看到，他其實(shí)就是把應(yīng)用中心上有的插件掃描後，丟到自己的數(shù)據(jù)庫(kù)去判斷有沒(méi)有在黑名單裡。


不過(guò)該站dzscan.org已死，自然就沒(méi)用了。

另外這東西不需要裝在網(wǎng)站上，可以在電腦執(zhí)行，網(wǎng)站密碼FTP密碼什麼的也不需要提供。

他掃描的DZ漏洞也都是非常非常的舊，應(yīng)該都在X3.2上被修過(guò)了。

TG123999

看的老子膽都抖出來(lái)了