Hoe beveiligingslekken te dichten voordat anderen ze vinden
Stel je voor: je bent bereikbaar voor noodgevallen, en plotseling komt er een melding binnen over een geslaagde inbraak in een oude CMS-versie die iedereen allang vergeten is. Een onaangenaam scenario, toch? In de praktijk verliest beveiliging het vaak van de ontwikkelsnelheid, en beheerders kunnen simpelweg de stroom van nieuwe CVE's niet bijhouden. Gelukkig zijn er enthousiastelingen die alle aanvals"wapens" op één plek verzamelen. Vandaag bekijken we de PoC-repository van gebruiker eeeeeeeeee-code — een enorm archief met kant-en-klare exploits en scripts voor het testen van kwetsbaarheden.
Wat is dit project en waarom heb je het nodig
De repository is een levende Proof of Concept (PoC) database. Oorspronkelijk was het project een backup van de bekende wy876 kwetsbaarheidsbibliotheek, maar de auteur besloot om niet alleen het archief te bewaren — ze kozen ervoor om het actief te ontwikkelen. Nu is het één van de meest actuele verzamelingen van aanvalsscenario's die gericht zijn op zowel Chinese als internationale software.
Waarom heeft een ontwikkelaar of systeembeheerder dit nodig? Het antwoord is simpel: om je systemen "in de praktijk" te testen. In plaats van droge beschrijvingen in CVE-databases te lezen, pak je een kant-en-klaar scenario en kijk je of het werkt tegen je server. Als dat zo is — is het tijd om dringend te updaten of die poort te sluiten.
Waar moet je binnen kijken
De repository heeft honderden mappen, opgesplitst per leverancier en systeemtype. Er is hier alles: van routergaten tot kritieke bugs in moderne AI-frameworks zoals Langflow.
Ieders favoriet: SQL-injectie
De database zit letterlijk vol met SQL-injectievoorbeelden. Dit geldt voor zowel CRM-systemen als zakelijke energiebeheerportals. Na het zien van deze voorbeelden besef je dat klassieke parameterfilterfouten nog steeds zeer actief zijn.
Remote Code Execution (RCE)
De gevaarlijkste zaken. De database heeft actuele scenario's voor Zhiyuan OA-systemen en zelfs kritieke bugs in Kubernetes Ingress-Nginx. Kwetsbaarheid CVE-2025-1974 demonstreert bijvoorbeeld duidelijk hoe verkeerde configuratie kan leiden tot het overnemen van controle over een cluster.
Willekeurige bestandslezen
Een vaak onderschat probleem. Scenario's voor systemen zoals MasterSAM of DeepFlow laten zien hoe een aanvaller configuratiebestanden met databasewachtwoorden kan extraheren door simpelweg een bepaald endpoint te benaderen.
Praktische waarde voor het team
Meestal worden zulke repositories gebruikt door pentesters, maar er is hier ook veel nuttigs voor een gewoon ontwikkelteam.
- Beveiliging regressietesten. Als je bedrijf specifieke software gebruikt (bijvoorbeeld Dify of Langflow-systemen), kun je controles uit deze repository toevoegen aan je CI/CD-pipelines.
- Leren van de fouten van anderen. De bestanden binnenin zijn uitstekend leermateriaal. Je opent een map met een WordPress- of Grafana-kwetsbaarheid en ziet precies waar de ontwikkelaar de fout in ging.
- Snelle infrastructuurcontroles. Wanneer het nieuws bekendmaakt over een nieuwe CVE in een framework, verschijnt er hier waarschijnlijk binnen een paar dagen een werkende PoC.
Bekijk het update-log van de afgelopen maand — er zijn tientallen vermeldingen.
Enkele beveiligingsoverwegingen
Bij het werken met dergelijke tools is het belangrijk om twee dingen te onthouden. Ten eerste is het een "tweesnijdend zwaard." Gebruik het alleen in je eigen sandbox of op systemen waar je officiële toestemming hebt voor bug hunting. Ten tweede is de README van het project in het Chinees, wat de navigatie iets kan bemoeilijken, maar de mappenstructuur wpoc/VendorName/VulnerabilityName.md is intuïtief.
Binnen elk .md bestand vind je meestal een kwetsbaarheidsbeschrijving, requestparameters en een payload-voorbeeld. Alles is zo specifiek mogelijk, zonder onnodige ballast.
Is het de moeite waard om te proberen
Als je verantwoordelijk bent voor infrastructuurbeveiliging of zakelijke diensten bouwt, is deze repository het bookmarken waard. Het is niet zomaar een "lijst van gaten" — het is een tool voor actieve verdediging.
Het project wordt actief bijgewerkt — letterlijk nog maar een paar dagen geleden werden verse authenticatie-bypassmethoden voor WordPress-plugins en RCE in SSH-servers op Erlang-OTP toegevoegd. Dat is een goede reden om je afhankelijkheden te auditen en ervoor te zorgen dat je geen software van tien jaar oud gebruikt die met één enkele HTTP-request gekraakt kan worden.
De documentatie is hier en daar wat summier, en sommige links leiden naar externe Chinese bronnen, maar voor een technisch specialist is er meer dan genoeg code en requestvoorbeelden. Onthoud: het is beter om het gat zelf te vinden met PoC dan om erachter te komen van hackers.
Gerelateerde projecten