搜尋引擎能為企業帶來絕佳的宣傳效果,透過幾個關鍵字的引導,人潮流量便會尋線而來,搜尋引擎的排序與關鍵字也因此搖身一變成商品販售。然而「水可以載舟,亦可以覆舟」,搜尋引擎雖然為企業網站增加曝光度,但強大的搜尋技術卻也讓企業不想曝光的網站弱點與機密資訊一一現形,造成駭客攻擊的索引指南或內部資料外洩。
駭客直接攻擊網站伺服器,也可能藉此竊取企業資料,雖然危險性高,但以機率而言,遠小於另一種搜尋引擎可能造成企業資訊外洩的方式。搜尋引擎利用網路蜘蛛遊走網頁,並下載頁面庫存在資料庫中,以增加查詢、檢閱速度。如果網站伺服器在安全上規劃不當,或者是機密資訊的存取讓網路蜘蛛有機可趁,這種情況下不用駭客親臨,企業重要的內部資料就有可能外洩。
而駭客或一般人使用搜尋引擎尋找資料(難度很低、又不需懂太多技巧),會在「有意」或「無意」間取得企業網站的資料超連結,進而下載轉存。
Google Hacking 常用的關鍵字
site: (搜尋特定網址)
inurl: (搜尋特定連結)
intext: (搜尋網頁內文字)
intitle: (搜尋網頁標題)
filetype: (搜尋特定檔案格式)
link: (搜尋互相連結的網頁)
"index of" (搜尋開放目錄瀏覽)
cache: (顯示網頁在google中的暫存資料)
Google Hacking 常用的關鍵字組合範例
"access denied for user" "using password"
"Index of /backup"
allinurl: admin mdb
inurl:passlist.txt
"ASP.NET_SessionId" "data source="
"AutoCreate=TRUE password=*"
"Index of /" +password.txt
"Index of /password"
"mysql dump" filetype:sql
"pcANYWHERE EXPRESS Java Client"
"VNC Desktop" inurl:5800
"phpMyAdmin MySQL-Dump" "INSERT INTO" -"the“
"phpMyAdmin MySQL-Dump" filetype:txt
"phpMyAdmin" "running on" inurl:"main.php“
"robots.txt" "Disallow:" filetype:txt
intitle:"Remote Desktop Web Connection" inurl:tsweb
intitle:"Welcome to Windows 2000 Internet Services"
inurl:"printer/main.html" intext:"settings“
intitle:index.of administrators.pwd
如何防止Google hacking
將資料檔案(或目錄)移除網路伺服器可以存取的範圍或刪除。或是在網路伺服器上,將該檔案(或目錄)的讀取權限設為保護或需密碼才能讀取。
在網路伺服器上,增加一個 robots.txt。然後在這個檔案中加入這2句話進行設定,一般來說都可以阻止有道德的搜尋引擎程式讀取並儲存您的網頁。
User-agent:Googlebot
Disallow:/*.mdb$
可以在網頁的HEAD區段中,加入一些特殊的HTML META TAG標籤,來指出某一個網頁是否可以被索引、分析或鏈接。例如你可以加入。
<META NAME="ROBOTS" CONTENT="NOINDEX">
表示:不希望搜尋引擎處理、儲存這個網頁。
<META NAME="ROBOTS" CONTENT="NOARCHIVE">
表示:希望搜尋引擎處理這個網頁,但是不儲存網頁,也就是說,不會有庫存頁。
<META NAME="ROBOTS" CONTENT="NOFOLLOW">
表示:希望搜尋引擎處理這個網頁,但是不繼續處理這個網頁中另外連結的網頁。
<META NAME="ROBOTS" CONTENT="NOINDEX,NOFOLLOW">
表示:不希望搜尋引擎處理、儲存這個網頁,以及這個網頁中另外連結的所有資訊。
Google Hacking相關參考網址 :
Jonny http://johnny.ihackstuff.com/
尋找password的google字串語法 http://johnny.ihackstuff.com/index.php?module=prodreviews&func=reviewsbycat&reviewsel=13
搜尋引擎過濾單位機密資料方法 http://gsn-cert.nat.gov.tw/forgoogle.html
從 Google 的索引中移除我的內容 http://www.google.com.tw/support/webmasters/bin/topic.py?topic=8459
實戰設計robots.txt與 標籤 http://www.ithome.com.tw/itadm/article.php?c=35591
