在我的《為什麼使用Google掃瞄安全漏洞》的技巧中,我討論了如何使用Google.com來執行對你的面向公眾的服務器的安全掃瞄--包括Windows、IIS、Apache和(但願不會如此!)SQL Server。你能使用它得到服務器的信息、包含敏感信息的文件和檢測出「暗藏的」登錄頁、服務器日誌文件,以及很多其它的東西。而在這個技巧中,我將描述一些極好的Google工具,和基本的Google查詢,幫助你搜索那些你還沒有意識到,但能夠被公眾獲取的敏感信息。
為什麼使用Google掃瞄安全漏洞

如果你正在執行信息安全評估--滲入測試、漏洞評估,或者範圍更廣的黑客測試--你就不能沒有一個相應的測試工具。雖然對於一個網站來說,此類工具很難找,但Google(是的,www.google.com)還是一個你可以使用的,能夠測試Windows系統安全漏洞的最熱工具中的其中之一。假設它的功能和力量能夠被用來攻擊你,那麼在對你的惡意攻擊之前,這是一個讓你知道自己系統漏洞,並採取相應保護措施的好工具。

除了能夠用Google做你能做的事情之外,它的最大優勢之一就是不存在價格上的問題。Google被認為是窮人的安全評估工具,或者是為那些很少,甚至沒有IT預算的安全管理員(即幾乎所有的人)提供的工具。我個人是商業安全評估工具的大力提倡者,它們有助於提供更加詳盡的測試項目、優良的報告能力和其它可以使你的評估工作更加容易的工具。然而,「花多少錢辦多少事」,有時和它們並不相符。Google能夠提供像黑客一樣的眼睛,做你想像不到的事情,或者能夠做任何安全測試工具(包括商業軟件、免費軟件或開源軟件)能夠做的事情,而這一切都是免費的!

和許多外部測試工具一樣,Google能夠看到當前你為網絡世界提供的服務。並且,它能夠搜集、緩存、尋找和挖掘那些對你來說並不是很新的信息,或者在你不知道的情況下放上互聯網的內容。在執行安全評估查詢方面,你可以有幾個選擇,在Google的首頁,高級搜索頁面,甚至使用Google API寫一個你自己的Web應用程序。

當在你的系統上執行信息安全測試時,你最想做的就使像黑客一樣進行查看,這也是Google最為擅長的。這裡是一些進行黑客測試時Google能夠找到的信息的例子:

1.信用卡信息(credit card information)、社會安全號(social security number)和其它公眾可以通過Web應用程序和數據庫訪問的機密信息。

2.網絡攝像頭。

3.文字處理文檔、電子錶格和演示文稿文件。

4.Outlook Web Access相關的文件。

5.默認的(通常是不安全的)IIS文件和自定義的ISS錯誤信息。

6.本想隱藏的Web登錄頁面。

7.進行不屬於你的網絡的主機欺詐。

8.包含敏感信息的新聞組帖子。

以上述的最後一個為例,當在Google Groups中執行一個基本的查詢時,我看到了一個我認識的電信供應商的支持組信息,它是由供應商的網絡管理員發表的。那個帖子洩漏了供應商內部網絡的詳細配置,包括網絡佈局、內網IP地址和主機名。它顯露出的這麼多信息給我的第一感覺是,我不應該信息那個公司,並將自己企業的敏感信息交給他們。我使用公司的名稱和幾個關鍵詞,執行簡單的搜索就找到了這些信息,若是使用Google的高級搜索,還不知道能夠找到多少信息呢!

在今天高價漏洞評估工具的世界裡,Google是一陣清新的空氣,它的安全測試查詢是無敵的!作為一個安全漏洞檢測的頂級人士,你不僅需要像黑客一樣進行工作,還需要有創新的測試方法,Google無疑就是這樣一款工具,他允許你進行這樣的工作。

在不久的將來,我將向你講述使用真實的Google查詢測試你的Windows系統的安全,這將幫助你確定自己的Windows系統是否足夠健壯。

用Google工具自動執行黑客測試

已經有多種Google工具能夠自動執行黑客測試,或者增強Google黑客測試的能力,它們包括:

·Johnny Long的Google Hacking Database (GHDB):http://johnny.ihackstuff.com/index.php?module=prodreviews,提供許多查詢樣例,你可以調節這些樣例,將其用於你自己的站點或域名上。

·Foundstone公司的SiteDigger(http://www.foundstone.com/resources/proddesc/sitedigger.htm),它利用Foundstone自己個性化的Google查詢,像Johnny Long的Google Hacking Database (GHDB)一樣執行自動搜索。

注意:Google每天最多只允許運行1,000條查詢,這看起來挺多,但對於此類工具來說,很快就能夠執行完畢。

·Johnny Long的Gooscan for Linux(http://johnny.ihackstuff.com/modules.php?op=modload&name=Downloads&file=index&req=viewdownload&cid=5),它能夠用來在Linux下執行命令行方式的Google查詢。

·Google Toolbar for Internet Explorer允許你不進入Google的首頁www.google.com就能夠在IE瀏覽器中直接輸入關鍵詞進行簡單的查詢。如果你是IE的反對者,還可以使用能夠在Netscape或者Mozilla Firefox下執行的開放源碼的Googlebar(http://googlebar.mozdev.org/)。

·GooDelete(_history.htm">http://www.dirfile.com/goodelete_history.htm)能夠清理那些你不想留下的,使用Google Toolbar查詢留下的,可能包含敏感信息的緩存。

另外,如果你非常熱心於Google黑客行為,你的書櫥中就不能少了Johnny Long撰寫的,具有很高評價的《Google Hacking for Penetration Testers.》(_ihackstuff-20/102-5005443-2664941?v=glance&s=books">http://www.amazon.com/exec/obidos/tg/detail/-/1931836361/ref=ase_ihackstuff-20/102-5005443-2664941?v=glance&s=books)這本書。

用Google查詢人工執行黑客測試

在上一個技巧列出的自動查詢工具之外,你可能還想執行自主的人工Google查詢,這裡是一些我在服務器上運行過的測試,它們可以作為你的開始。

注意:事實上,你能夠使用Google進行的這些查詢是非常非常少的一部分,你只需將你的想像力與前述的工具結合即可,它們對你要進行的查詢的數量沒有限制。

·site:你的主機或者域名 需要找的關鍵字

這將測試搜索一個特定Internet主機或域名下的任意關鍵字,你可以使用如SSN、 confidential、finance、student等眾多關鍵字。

·filetype:想要找的文件擴展名 site:你的主機或者域名

這個測試將搜索你系統中的特定文件,你可以輸入任意文件擴展名,比如doc、pdf、ppt、db、dbf等,只要是你能夠想像到的就行。

除非你能夠確定你的信息已經洩漏到了其它網站,否則就一直使用「site:」操作符來限定你的搜索結果。使用「link:」操作符則能夠搜索連接到個頁面上的超鏈接。

如果Google返回了查詢結果,但其中的鏈接已經成為死鏈,你可以點擊搜索結果下面的「快照」鏈接進行搜索和查找。這將搜索Google的緩存,你的信息可能有存在那裡的機會。同樣,確定在Google Groups(網上論壇)搜索敏感信息,我曾經利用這種方法,在這裡搜索到很多有用的信息。你還可以查看Interesting Google Queries(http://artkast.yak.net/81)這個網頁,找到針對Microsoft的特殊Google搜索技巧。


四個步驟保護Windows數據遠離Google黑客

使用適當的對策,可以幫助你將高度機密信息遠離Google,不能夠被Google黑客搜索到。這裡有四個步驟,你可以嘗試做一下:

1.鞏固你的服務器,並將其與外部環境隔離

有一個很不幸的事實是,許多關鍵服務器仍然完全暴露在Internet上,現在請收緊你服務器的存取控制,並將其放在_blank">防火牆之後。

2.設置robots.txt文件,禁止Google索引你的網頁

你能夠通過設置「googlebot」的「User-agent:」參數的方法保護網絡服務器的文件和目錄免受Google索引,方法是在「Disallow:」部分列出你想保密的信息。

或者,如果你想所有的Web機器人都不訪問你的網站和網頁,就請將「User-agent:」參數設置為「*」,不過記住,懷有惡意的在網上到處閒逛的人能夠從你的Web Server上得到此文件,並且看到你不想被別人看到的是哪些信息。如果這看起來像互聯網的弱點,那麼它就是。你可以不用robots.txt文件,但你應該允許機器人只能索引那些具體的公開頁面,或者通過輸入「Disallow /」禁止它們索引任何以根目錄開始的信息。

請訪問The Web Robots Pages(http://www.robotstxt.org/wc/robots.html)獲取如何配置你的robots.txt文件和如何執行更多反機器人欺騙的信息。Google同樣有一個FAQ on Googlebot's operation(http://www.google.com/bot.html)。

3.將高度機密的信息從公眾服務器上去除

制定一項組織策略用來保護高度機密的信息(例如密碼、機密文件等)遠離公眾可以訪問的服務器。否則,使用任何可能的存取控制措施來保護它們,並且確保這些策略能夠被強制執行,並且管理那些違規者。

4.保證你的服務器是安全的

為了維護服務器安全,請使用我在這一系列技巧中討論過的Google測試工具和Google查詢對其進行黑客測試。

我高度推薦使用自動化測試工具,譬如SiteDigger和Gooscan進行黑客測試,手工執行多個查詢的方式不僅緩慢枯燥,還不易於管理。

記住,這些測試只是通過Google進行的挖掘測試,它們並不能代表所有的黑客和Internet安全,這些也不是測試所有系統漏洞的最好工具。作為替代,你必須使用「多層」測試手段:同時使用Google和其它免費的、開源的,以及--據我看來,最具有綜合性和可靠性的--商業性的工具進行測試,這些商業性的工具我推薦的有SPI Dynamics公司的WebInspect(應用於Web應用程序,http://www.spidynamics.com/)、Application Security公司的AppDetective(用於Web數據庫,http://www.appsecinc.com/)和Qualys公司的QualysGuard(用於操作系統和網絡漏洞,http://www.qualys.com/)。

如果模擬黑客、滲入測試和普通的網絡安全審計是你工作職責的一部分,這些Google黑客技術和相應的工具將成為你需要的安全工具箱中的一部分。為了安全的緣故,請現在就開始執行它,並且以後也經常執行。

關於作者:

Kevin Beaver是一位獨立的信息安全顧問、作者,也是位於亞特蘭大的Principle Logic, LLC公司的發言人,他專門為那些需要嚴格安全保護,或者突發安全事件尋求解決方法的公司提供信息安全研究服務。他是四本有關信息安全的書的作者或共同作者,其中包含獲得巨大成功的《Hacking for Dummies》和即將出版的《Hacking Wireless Networks for Dummies》。這些書都由Wiley Publishing出版集團策劃發行。你可以通過kbeaver@principlelogic.com聯繫Kevin Beaver,這是他的個人郵箱。也可以通過http://searchwindowssecurity.techtarget.com/ateAnswers/
0,289620,sid45_tax297883,00.html,直接向他提問有關黑客方面的問題。

    全站熱搜

    Neo Chao 發表在 痞客邦 留言(0) 人氣()