Google 快被拿來當駭客專用的工具了 🙁
自己還是小心點的好~
以下轉載自: McAfee推出「Google攻擊」搜尋工具
CNET新聞專區:Robert Lemos報導 11/01/2005
McAfee在本週一發佈了一款安全工具的升級版本,該安全工具能夠利用Google自動發現網站上的安全漏洞。
藉由向Google的網路資料庫發送指定的搜索請求,SiteDigger 2.0可尋找有關網站安全方面的訊息,也就是所謂的「Google攻擊」(Google hacking)──這是一種很容易被駭客用來找到機密資料(如信用卡號碼、用戶帳戶資料)及公司漏洞的一種搜尋方式。
McAfee全球專業服務副總裁Chris Prosise表示,這一種免費服務將使網站管理員知道與他們網站相關的哪些資訊被Google「掌握」了。他表示,SiteDigger 2.0是一款警報工具,它能夠收集網站管理員尚不知道的問題。「身為受害者,你卻從來就不知道有人在用你的資料。」
SiteDigger無法知道使用它的人是獲得授權的管理人員,還是正在尋找安全漏洞的駭客。Chris承認,這意味著該工具可能會被用來對網站發動進攻,但他指出,Google要求使用其自動服務的用戶簽署Web服務開發計畫。
最近爆發的Santy 蠕蟲病毒利用Google的搜尋功能發現存在漏洞的電腦,進行傳播。其他研究機構也開發了數款利用Google的資料庫搜尋漏洞的工具。
「Google Hacking for Penetration Testers」一書的作者,Computer Sciences的資深工程師Johnny Long表示,這些工具是Web網站管理員保證網站安全所必需的。他說,不使用自動化的工具,安全團隊不可能對Google上的資料進行處理。Johnny所管理的網站就包括了能夠使用Google搜尋的800多個常見安全問題的特徵。SiteDigger和其他工具都使用這些特徵尋找可能存在的問題。
儘管強調SiteDigger將有助於配備專門安全人員的網站的安全,但Johnny承認,在打擊潛在的駭客方面,對安全不太在意的網站處於劣勢。他說,網站規模越小,越應當擔心安全問題。
