googleを利用して侵入と浸透を行う(呉魯加から)


http://risker.org/tech/GoogleHacking/index.html
googleが検索エンジンの代名詞となった今日、聡明な人々がgoogleの新しい用途を発掘し続け、2004年にラスベガスで行われたBlackHat大会では、2人の安全専門家がそれぞれYou found that on google?google atacksというテーマ講演を行った.個人的には非常に素晴らしいと思いますので、簡単に紹介します.
1.観点
グーグルや似たような検索エンジンは、多くの便利さを提供するとともに、潜在的なリスクをもたらしている.
  • ネット上の「心ある人」の数が多いです.
  • は、検索エンジンを利用して、脆弱性のあるホストおよび他のデバイスを迅速に検索することができる.
  • は、検索エンジンを利用して敏感なデータを含む情報を迅速に検索することができる.
  • は検索エンジンの「スキャン」を利用して非常に隠れています.そして、archive、cacheなどの機能を持っているため、データ量がより多いです.
  • そのためには、警戒心を高め、検索エンジンを上手に使うとともに、自分を守ることができるということです.
    2.判例
    2.1基礎
    「仕事がよくなりたいなら、まずその器を使う」ということで、googleで「浸透テスト」を行うには、まずgoogleを深く知る必要があります.googleをよく知らない人には、まずこのGoogle検索入門からマスターまでを参考にしてみてください.
    そしてグーグルの操作符のいくつかを簡単に理解します.例えば、site、inurl、filetype、intitleなどです.
    2.2プレゼンテーション
    デモは複雑ではない.浸透テスト員は攻撃を行う前に、まず情報収集を行い、その後に穴の確認と最終的な穴の利用を行い、戦果を拡大することが多い.ここで私たちの目標は、googleを通じて、php webshellのバックドアが設置されているホストコンピュータを検索し、使用できるかどうかをテストすることです.
    googleの検索ボックスに記入します.
    intitle:"php shell*" "Enable stderr" filetype:php
    
    検索結果では、直接機械で命令を実行できるウェブshellを見つけられます.
    これはハッカーのようなツールの操作です.You found that on google?では、実際のケースがたくさん見られます.googleは大量のパスワード、クレジットカードのアカウント、ネット管理情報などを見つけました.
    2.3ツール
    攻撃と防御の両方にとって、自動化のツールは効率を高めることができます.ここでいくつかのツールを紹介します.
  • gooducanは検索結果を処理するための小さなコマンドラインプログラムで、googleを検索する際の「肉体労働」の負担をある程度軽減することができる.画面は以下の通りです.
  • sitediggerこれはFoundStoneの無料ソフトウェアです.googleのapiインターフェイスを代用しています.利用者はまずgoogleアプリウェブサイトに登録してアカウントを登録して許可書を取ってから正常に使用できます.使用前に、まず自動的にネットワークに接続してルールライブラリを更新することを提案しています.SiteDiggerのルールライブラリには7つのルールが含まれています.分類は詳細で、かなり良い製品です.まず、白書を参照してもいいです.
  • アスナは、SiteDiggerと同様に、検索エンジンによって情報が誤用されたり、悪用されたりするツールで、多検索エンジンをサポートする.
  • 3.解決
    3.1どうすればいいですか?
    私たちの資料はこんなに簡単に入手できますが、どのような方法で攻撃やデータ収集を避けるべきですか?
  • 情報公開の厳格な審査と責任追及.
  • は関連ツールを利用してインターネットで検索し、もし情報が悪用されたら、googleからページ履歴を削除します。に削除したい情報を提出する.
  • は、robots.txtを制御し、サーチエンジンのロボットのクエリを制御する.
  • 3.2まとめ
    やはりFreeMindで描いた絵でこの短い紹介を終わらせましょう.