在github上活捉一只黑客兼做盗版插件的狗，3315款插件受害！

安全专员

pptts 发表于 2019-7-18 19:27
從源碼看並沒有提供盜版插件下載，adds.txt是插件數據庫

從dzscan.py的源碼可以看到，會從DZ舊有應用中心 ...

只扫描discuz系统漏洞，是不需要插件列表的
黑客通过分发大量含有后门的盗版插件，变相给网站植入后门
就等着人中招！

pptts

安全专员 发表于 2019-7-18 19:37
只扫描discuz系统漏洞，是不需要插件列表的
黑客通过分发大量含有后门的盗版插件，变相给网站植入后门
就 ...

他除了掃描DZ本身漏洞，也掃描了應用中心的應用列表啊，最終告知哪款應用有漏洞。

這一部分源碼內只透過連線回 http://dzscan.org/index.php/welcome/view?plugin=%s 返回json資料而已

源碼中並沒有提供插件分發啊，您如果有看到相關源碼，可以提出來參考。

但我並沒有在其源碼有看到分發盜版插件

安全专员

pptts 发表于 2019-7-18 19:43
他除了掃描DZ本身漏洞，也掃描了應用中心的應用列表啊，最終告知哪款應用有漏洞。

這一部分源碼內只透過 ...

对方会傻到把含有后门的盗版插件放到github上吗？当然有其他渠道分发了，网上那么多盗版站的盗版插件哪里来得，你以为都是做盗版的人一个一个买来得？
总结起来就一句话：提高安全意识，拒绝盗版插件！

pptts

安全专员 发表于 2019-7-18 19:58
对方会傻到把含有后门的盗版插件放到github上吗？当然有其他渠道分发了，网上那么多盗版站的盗版插件哪里 ...

我同意支持正版，拒絕盜版，也認同您之前所發的文章，提倡正版支持開發者。

但不是看到黑影就開槍。就事論事，DZSCAN這個專案全擺在Github開源，源碼內也沒有提供插件分發。

Adds.txt的用處也已經在源碼內解釋，這個專案是無害的毋庸置疑。但隨著DZSCAN解散，這個專案目前一點用處也沒有

安全专员

pptts 发表于 2019-7-18 20:13
我同意支持正版，拒絕盜版，也認同您之前所發的文章，提倡正版支持開發者。

但不是看到黑影就開槍。就事 ...

网上通过 DZSCAN 入侵网站的案例，一搜一大把，受害的站长找谁说理去？站长的损失谁负责？
如果你一定要为一个专门上你家偷东西的工具辩护，那只能祝愿您家里天天进小偷了...
青天白日下，走路请小心

pptts

安全专员 发表于 2019-7-18 20:25
网上通过 DZSCAN 入侵网站的案例，一搜一大把，受害的站长找谁说理去？站长的损失谁负责？
如果你一定要 ...

我說的都有拿出證據啊，源碼就寫在那邊，任何懂技術的去分析就知道了。

DZSCAN 入侵网站？我百度 Google都沒有找到案例，煩請賜教

再說一遍，我說的話都有拿出真憑實據，都是解析源碼之後說的，做人要有點素質啊

安全专员

pptts 发表于 2019-7-18 20:32
我說的都有拿出證據啊，源碼就寫在那邊，任何懂技術的去分析就知道了。

DZSCAN 入侵网站？我百度 Google ...

请问他在干嘛

1. https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=13121

复制代码

不要说他只是自己测试，教程发出来，多少人看了，又有多少网站遭殃了
如果还要为这些垃圾辩护，就不要再回复我的帖子了，免得您遭雷劈的时候连累到我

pptts

安全专员 发表于 2019-7-18 20:41
请问他在干嘛

不要说他只是自己测试，教程发出来，多少人看了，又有多少网站遭殃了

笑了，文章內也寫明了這是安全檢測工具，被濫用也算在工具頭上？刀子可以殺人，所以當初做出刀子的是壞人

记得年前有个基佬写了一款工具名为《Dzscan》针对Discuz论坛安全检测的工具。        Dzscan项目设计的初衷，一方面是向wpscan,jmscan的等国外优秀作品的致敬,另一方面是更符合国情的量身定做。针对国内知名bbs建站系统discuz，所精心打造的一款漏洞扫描框架.

如果您要堅持安全檢測就是入侵工具，那我也不會再回復您的帖子，道不同不相為謀。

安全专员

pptts 发表于 2019-7-18 20:50
笑了，文章內也寫明了這是安全檢測工具，被濫用也算在工具頭上？刀子可以殺人，所以當初做出刀子的是壞人 ...

你睁大眼睛看看他的教程是检测还是入侵从没见过如此厚颜无耻，睁眼说瞎话的人

pptts

安全专员 发表于 2019-7-18 20:54
你睁大眼睛看看他的教程是检测还是入侵从没见过如此厚颜无耻，睁眼说瞎话的人
...

睜眼說瞎話的是你吧，把內文看完吧，他只用DZscan檢測了該站有utility文件的存在，而DZutility當時是有Getshell漏洞
也就是說真正執行入侵不是工具，是人！拿刀殺人，不把怪人卻只怪刀，我還真沒見過那麼厚顏無恥的人