在github上活捉一只黑客兼做盗版插件的狗,3315款插件受害!
<strong>传送门:</strong>安全小知识:为什么使用盗版插件容易被挂马!<br /><br /><font size="5"><strong>标题侮辱了狗,我郑重向狗道歉!</strong></font><br />该黑客的github项目地址:<br /><ol><li>https://github.com/code-scan/dzscan</ol><br /><br />这个项目是一个后门扫描工具,是专门针对discuz!<br />项目作者还专门放了一个盗版插件清单,涉及<strong><font size="5"><font color="#ff0000">3315</font></font></strong>款Discuz!经典插件...<br /><br /><img title="QQ截图20190718160930.jpg" id="aimg_1551" aid="1551" src1="static/image/common/none.gif" zoom="https://www.dismall.com/data/attachment/forum/201907/18/161039lk7707svso46p7vl.jpg" src="https://www.dismall.com/data/attachment/forum/201907/18/161039lk7707svso46p7vl.jpg" class="zoom" onclick="zoom(this, this.src, 0, 0, 0)" width="600" inpost="1" onmouseover="showMenu({'ctrlid':this.id,'pos':'12'})" /><br /><br /><font size="5"><font color="#ff0000"><strong>问题来了,他的盗版插件,你敢安装吗?</strong></font></font><br /><br /><br /><strong>传送门:</strong>安全小知识:为什么使用盗版插件容易被挂马!<br /><br />插件<em>, </em>size<em>, </em>盗版<em>, </em>url<em>, </em>项目 哈哈,懂技术的心术不正属于危险品。。。。 卧槽,真有些人才…… 感觉你是官方的水军,就吓站长去买正版 <br />他强由他强,清风拂山岗<br />他横由他横,明月照大江<br />摆事实,讲道理,别人怎么说,随它去... 他这个是不是说明这些插件都是有漏洞的 <br />你觉得他做义工?给你提供盗版插件,还帮你扫描网站后门免费检测网站安全? <br />我的意思是他获取的这些插件,是不是说明这些插件有漏洞 從源碼看並沒有提供盜版插件下載,adds.txt是插件數據庫<br /><br />從dzscan.py的源碼可以看到,會從DZ舊有應用中心收集DZ目前所有插件名稱和代號<br /><img title="截圖 2019-07-18 下午7.03.04.png" id="aimg_1557" aid="1557" src1="static/image/common/none.gif" zoom="https://www.dismall.com/data/attachment/forum/201907/18/191124ymmmf6p9m6mg1b61.png" src="https://www.dismall.com/data/attachment/forum/201907/18/191124ymmmf6p9m6mg1b61.png" class="zoom" onclick="zoom(this, this.src, 0, 0, 0)" width="600" inpost="1" onmouseover="showMenu({'ctrlid':this.id,'pos':'12'})" /><br /><br />然後從fetchvul的功能可以看到,他其實就是把應用中心上有的插件掃描後,丟到自己的數據庫去判斷有沒有在黑名單裡。<br /><img title="截圖 2019-07-18 下午7.19.43.png" id="aimg_1558" aid="1558" src1="static/image/common/none.gif" zoom="https://www.dismall.com/data/attachment/forum/201907/18/192321h88z6oxg8vcubmyf.png" src="https://www.dismall.com/data/attachment/forum/201907/18/192321h88z6oxg8vcubmyf.png" class="zoom" onclick="zoom(this, this.src, 0, 0, 0)" width="600" inpost="1" onmouseover="showMenu({'ctrlid':this.id,'pos':'12'})" /><br /><br />不過該站dzscan.org已死,自然就沒用了。<br /><br />另外這東西不需要裝在網站上,可以在電腦執行,網站密碼FTP密碼什麼的也不需要提供。<br /><br />他掃描的DZ漏洞也都是非常非常的舊,應該都在X3.2上被修過了。<br /> 看的老子胆都抖出来了
頁:
[1]