利用google进行入侵与渗透
2004-09-20 20:43
459 查看
转自wljhttp://risker.org/
在google已经成为搜索引擎代名词的今天,聪明的人们不断发掘google的新用途,2004年在拉斯维加斯举行的BlackHat大会上,有两位安全专家分别作了名为You found that on google ? 和google attacks 的主题演讲。个人觉得颇为精彩,因此编译整理,简单介绍,不求甚解,只是希望能够引起大家的重视。
1. 观点
google及类似的搜索引擎在为人们提供大量便捷的同时,也带来了一定潜在风险。
网络中的“有心人士”数目众多;
利用搜索引擎能够快速查找存在脆弱性的主机及其它设备;
利用搜索引擎能够快速查找包含敏感数据的信息;
利用搜索引擎的“扫描”极其隐蔽,并且由于其具有archive、cache等功能,往往数据量更大。
因此,需要人们提高警觉性,在善用搜索引擎的同时,也善于保护自己。
2. 案例
2.1 基础
所谓“工欲善其事,必先利其器”,要用google来进行“渗透测试”,首先当然要深入了解google了,建议对google不甚了解的人先参考这篇Google搜索从入门到精通。
而后简单了解google的一些操作符,如:site、inurl、filetype、intitle等……
2.2 演示
要做的演示并不复杂,渗透测试人员在实施攻击之前,往往会先进行信息搜集工作,而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们的目标是:通过google查找被人安装了php webshell后门的主机,并测试能否使用。
我们在google的搜索框中填入:
intitle:"php shell*" "Enable stderr" filetype:php
搜索结果中,或许你能找到一两够直接在机器上执行命令的web shell来。
这是类似黑客工具的操作方式。在You found that on google ? 中,你会看到大量的实际案例,google找到了大量的密码、信用卡帐号、网络管理信息等等……
2.3 工具
对攻与防两边来说,自动化的工具都是可以提高效率的,这里介绍几款工具:
gooscan
用来处理搜索结果的一个小命令行程序,能够一定程度上减轻查询google时的“体力劳动”负担。界面如下:
sitedigger
这是FoundStone出品的一款免费软件,代用了google的api接口,使用者需要先到google api网站注册帐号获取一个许可字串后,才可以正常使用。使用前建议先自动连接到网络更新规则库,SiteDigger的规则库包含了七大类规则,分类详细,是一款相当不错的小产品。你也可以先参考它的白皮书。
athena
与SiteDigger类似,是一款借助搜索引擎来查找信息被误用或滥用的工具,支持多搜索引擎。
3. 解决
3.1 我们该如何做?
我们的资料如此容易被人所获取,那该采用什么方式来避开这种攻击或数据搜集呢?
信息发布的严格审核与责任追查;
利用相关工具进行在互联网进行搜索,如果有信息被滥用,到从google中删除网页记录提交你希望删除的信息;
控制robots.txt,控制搜索引擎的机器人的查询。
3.2 总结
还是以一幅FreeMind绘制的图片来结束这则短短的介绍吧:
在google已经成为搜索引擎代名词的今天,聪明的人们不断发掘google的新用途,2004年在拉斯维加斯举行的BlackHat大会上,有两位安全专家分别作了名为You found that on google ? 和google attacks 的主题演讲。个人觉得颇为精彩,因此编译整理,简单介绍,不求甚解,只是希望能够引起大家的重视。
1. 观点
google及类似的搜索引擎在为人们提供大量便捷的同时,也带来了一定潜在风险。
网络中的“有心人士”数目众多;
利用搜索引擎能够快速查找存在脆弱性的主机及其它设备;
利用搜索引擎能够快速查找包含敏感数据的信息;
利用搜索引擎的“扫描”极其隐蔽,并且由于其具有archive、cache等功能,往往数据量更大。
因此,需要人们提高警觉性,在善用搜索引擎的同时,也善于保护自己。
2. 案例
2.1 基础
所谓“工欲善其事,必先利其器”,要用google来进行“渗透测试”,首先当然要深入了解google了,建议对google不甚了解的人先参考这篇Google搜索从入门到精通。
而后简单了解google的一些操作符,如:site、inurl、filetype、intitle等……
2.2 演示
要做的演示并不复杂,渗透测试人员在实施攻击之前,往往会先进行信息搜集工作,而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们的目标是:通过google查找被人安装了php webshell后门的主机,并测试能否使用。
我们在google的搜索框中填入:
intitle:"php shell*" "Enable stderr" filetype:php
搜索结果中,或许你能找到一两够直接在机器上执行命令的web shell来。
这是类似黑客工具的操作方式。在You found that on google ? 中,你会看到大量的实际案例,google找到了大量的密码、信用卡帐号、网络管理信息等等……
2.3 工具
对攻与防两边来说,自动化的工具都是可以提高效率的,这里介绍几款工具:
gooscan
用来处理搜索结果的一个小命令行程序,能够一定程度上减轻查询google时的“体力劳动”负担。界面如下:
sitedigger
这是FoundStone出品的一款免费软件,代用了google的api接口,使用者需要先到google api网站注册帐号获取一个许可字串后,才可以正常使用。使用前建议先自动连接到网络更新规则库,SiteDigger的规则库包含了七大类规则,分类详细,是一款相当不错的小产品。你也可以先参考它的白皮书。
athena
与SiteDigger类似,是一款借助搜索引擎来查找信息被误用或滥用的工具,支持多搜索引擎。
3. 解决
3.1 我们该如何做?
我们的资料如此容易被人所获取,那该采用什么方式来避开这种攻击或数据搜集呢?
信息发布的严格审核与责任追查;
利用相关工具进行在互联网进行搜索,如果有信息被滥用,到从google中删除网页记录提交你希望删除的信息;
控制robots.txt,控制搜索引擎的机器人的查询。
3.2 总结
还是以一幅FreeMind绘制的图片来结束这则短短的介绍吧:
相关文章推荐
- 利用google进行入侵与渗透
- 利用google进行入侵与渗透(来自吴鲁加)
- 利用Google进行入侵的原理
- 利用Google进行入侵的原理及防范
- 利用Google进行入侵的原理及防范
- 利用Google进行入侵的原理
- 如何利用445端口进行入侵渗透 445端口入侵原因详细解析。大家在进行入侵渗透个人电脑的时候,经常会碰到各种各样的端口,比如135,1433,445,3306等端口,现在小编就给大家讲解下445端口如
- 黑客如何利用文件包含漏洞进行网站入侵
- 利用drozer进行Android渗透测试
- 利用Google进行无长度限制的文本翻译(无需API,无需Money)
- 如何利用google入侵总结篇
- 一次利用JBOSS反序列化进行渗透的笔记
- 防止黑客利用FCKeditor进行入侵
- 利用www.google.com入侵的拓扑图
- 【转贴】『共享02.21』利用Google进行专题信息检索的方法和技巧
- 黑客如何利用文件包含漏洞进行网站入侵
- Chrome 利用 Google 搜索的拼写检查技术进行改进
- 利用drozer进行Android渗透测试
- 如何利用Google进行招聘