你被Google駭到了嗎?
Google 好恐怖.. (抖)
以下完整轉載自 你被Google駭到了嗎?Ong Boon Kiat原著‧陳奭璁譯 2004/11/12
你擔心他人會利用搜尋引擎來找出貴公司伺服器內資料嗎?
這是很簡單的事情,只要用Google就可找需許多隱藏在網路伺服器中原本並不想讓他人知道的資料。
由於這類駭客伎倆最近越來越受到媒體注意,於是作者本人決定親身嘗試看看。
我先去一個名為:Johnny I Hack Stuff網站找資料。這裡蒐羅了許多可用來引誘Google洩漏機密的關鍵字眼。你只需要把關鍵字稍作修改就可取得更好的結果。
試試看吧,比如你輸入「access denied for user」與「using password」等字眼,你會看到出現許多搜尋結果,有些是SQL錯誤訊息,但其中確有許多網站會透露用戶ID、SQL伺服器數據,以及組態細節等,這還算沒什麼傷害性質的。
Google風險?
若貴公司網站遭Google駭客法入侵,會造成多少災害呢?這得看你不小心暴露多少資料而定,就已經曝光的作法來看,駭客曾經成功監看過影印機資料、找出密碼、監視伺服器活動等。
現任職Ernst and Young公司技術暨風險服務部門的Gerry Chng曾見識過不少駭客入侵伎倆,他認為Google駭客法並不需特別大驚小怪。「這也算駭客找資料的一個入門點,但頂多也只是資料外洩如此而已。」
Gerry指出,密碼與log檔案通常只有兩種情況下會洩漏,而這兩種情況只要網管人員多留心一下就可趨吉避凶。
第一種狀況是把機密文件連上URL,或者在文件中使用了HTML標籤,「網路爬蟲只會尋找有連結的點,」Gerry表示。但有些例外狀況則得小心,比如有些開發人員會加入 HTML標籤,「網蟲看到這個也會進去尋找一番。」
第二種況狀則是因網路蜘蛛造訪所造成的應用錯誤。比如在SQL網路應用中,我們會看到SQL錯誤訊息,即使是暫存的錯誤也算是資料外洩。「你回頭在造訪該站時,該錯誤訊息會自動消失,但Google還是會保存它所看到的資料。」
這意味著,若駭客想用SQL注射攻擊的手法,他們就可利用Google駭客法來找出有漏洞的網站,因為這些網站的錯誤訊息已經被保留下來了。
事實上,網管人員比較要擔心的是這種暫存性質的自動產出錯誤訊息,因為這類訊息過了就消失了,網管人員看不到,但卻會被Google存起來,即使已經過了許久都還可以在Google搜尋中找出來。不過你也可以e-mail給Google要求移除。
如何萬無一失?
所以要如何才能防止Google駭客法?以下是Gerry所提供的秘訣:
# 確認貴公司的應用不會產生沒有經過處理的錯誤訊息,「採用客制化錯誤訊息處理回應可降低通用性質的搜尋機會。」
# 確保貴公司所有檔案夾的目錄清單都有關閉,且避免將URL清單存放在檔案夾中,因為網路蜘蛛有可能爬進去。
# 連結至管理員網頁不應該在網頁中加入連結點,這只會助長蜘蛛爬入,並形成暫存檔案。
另外一個訣竅,IT部門針對程式碼的變更應有適當的變更規範,「我曾看過開發人員以commnet標籤來隱藏舊的程式碼,但這其實還是可連結到某些目錄中,或不小心洩漏了所做的資訊變更。」Gerry表示。
不過不幸的是(或者應該說更幸運?),最新狀況為,Google上個月已經公布了桌上型搜尋引擎,或許在不久的未來,網路搜尋引擎的駭客技巧就會延伸到內部網路與企業網路了。