谷歌黑客(Google hacking)是使用搜索引擎,比如谷歌来定位因特网上的安全隐患和易攻击点。Web上一般有两种容易发现的易受攻击类型:软件漏洞和错误配置。虽然一些有经验的入侵者目标是瞄准了一些特殊的系统,同时尝试发现会让他们进入的漏洞,但是大部分的入侵者是从具体的软件漏洞开始或者是从那些普通用户错误配置开始,在这些配置中,他们已经知道怎样侵入,并且初步的尝试发现或扫描有该种漏洞的系统。谷歌对于第一种攻击者来说用处很少,但是对于第二种攻击者则发挥了重要作用。
当一个攻击者知道他想侵入的漏洞的种类,但是没有明确的目标时,他使用扫描器。扫描器是自动开始一个检查系统的绝大部分地方的过程,以便发现安全缺陷的这样一个程序。最早和电脑相关的扫描器,例如,是战争拨号器这个程序,它会拨一长串的电话号码,并且记录下和调制解调器相匹配的号码。
今天已经拥有强大的扫描器能够自动查询IP地址以发现地址所打开的端口,能够判断对端可能在使用的操作系统,或者是判断系统的地理位置。NMap是最受欢迎的IP扫描器之一,它是为网络开发和安全审核提供的免费开源工具。在使用NMap时,使用者确定要扫描的主机范围和每个主机上面的具体服务。程序会返回一张可用系统(也可能是易受攻击系统)的列表。
只要有那么一点小小的创意,谷歌也可以像NMap那样使用,即使它们使用的是不同的协议。例如,我们假设自己是入侵者,并且知道有个攻击点能够让我们从任何使用SHOP.TAX脚本的在线商店和使用SHOP.TAX的www.secure.com网站窃取信用卡数据。当我们尝试攻击时,结果表明他们已经为漏洞打上了补丁。我们现在该怎么做?我们求助于谷歌,键入以下搜索字符串:inurl:shop.tax
注意上面的搜索使用了高级搜索,这样会产生一张站点列表,所有的站点在它们的URL里都会有“shop.tax”,某种意义上,该列表也是一张潜在的可攻击列表。就像NMap一样,接下来要做的只是对列表上每个站点尝试攻击。
在这个计划中有无数的可变性,包括一些找到服务程序特定版本的更好的方法。
有时候管理者把他们的站点配置的非常糟糕,甚至在取得对系统的进入时不需要使用“第三方”攻击。谷歌索引Web非常积极,除非文件是放在站点中受密码保护的区域,否则就会有很大机会被谷歌搜索到。这包括密码文件,信用报告,病历等等。在文件没有得到充分保护以远离谷歌的情况中,搜索引擎已经为攻击者基本执行了攻击。
在这种方式下,谷歌也可以作为攻击的代理。代理是攻击者可以用来掩饰自己身份的中间系统。例如,如果你获得对Bill Gate的电脑的远端接入权并且使用它来进行对treasury.gov的攻击,对政府来说,就好像是Bill Gate在攻击他们。他的电脑就成为了代理。谷歌也可以像这样被人使用。
搜索引擎已经收集了这些信息,还会把它自由的分发给易受攻击的网站。当你考虑到谷歌的缓存功能,事情变得更加有趣。如果你从没使用过这个特点,尝试一下:
在谷歌上搜索“SearchTechTarget.com”。点击第一个结果,读一些头条。然后返回你的搜索结果。这次,点击“缓存”链接到你刚才访问的页面的正确URL。注意到一些儿不寻常的了吗?你可能正在看从昨天或前天起的头条。你会问为什么?因为每当谷歌索引一个页面,它把整个东西的备份保存到它的服务器上。
这种功能除了读旧新闻外还有很多用处。入侵者可以使用谷歌扫描敏感文件而不需要警觉潜在的目标--甚至当发现目标时,入侵者可以从谷歌的缓存得到目标的文件而不需要和目标的服务器直接接触。服务器上任何关于攻击的文件记录都是关于谷歌的,他们不会意识到攻击已经发生。
一个更复杂的诡计包括设计一个特殊的URL,它不会普通的被谷歌索引,可能包含缓冲区溢出或者是SQL注入。这个URL然后作为一个新的Web页面提交给谷歌。谷歌自动接入它,在谷歌的搜索缓存中存储结果数据,接下来则是一场灾难。
怎样阻止谷歌黑客?确保你愿意把你的公共Web页面的一切和世界分享,因为不管你喜欢还是不喜欢,谷歌都会分享它。另外,为了阻止攻击者容易的知道你正在运行的服务软件,改变默认错误报文和其他标志。经常的,当检测到“404 Not Found”错误时,服务器会返回一个如下所示的页面:
以下是引用片段:
Not Found
The requested URL /cgi-bin/xxxxxx was not found on this server.
Apache/1.3.27 Server at your web site Port 80
合法用户真正需要的信息是说“Page Not found”的报文。限制其他信息会阻止你的页面在攻击者搜索指定服务风格时出现。
谷歌定期清除它的缓存,但是在这之前,你的敏感文件在公共世界中仍然是可以找到的。如果你认识到搜索引擎有你不想被看到的缓存文件,你可以访问 http://www.google.com/remove.html,按照上面的指导从他们的数据库来移除你的页面或者是你的部分页面。
