你担心他人会利用搜索引擎来找出贵公司服务器内信息吗?
这是很简单的事情,只要用Google就可找需许多隐藏在网络服务器中原本并不想让他人知道的信息。
由于这类黑客伎俩最近越来越受到媒体注意,于是作者本人决定亲身尝试看看。
我先去一个名为:Johnny I Hack Stuff 网站找信息。这里收罗了许多可用来引诱Google泄漏机密的关键字眼。你只需要把关键字稍作修改就可取得更好的结果。
试试看吧,比如你输入“access denied for user”与“using password”等字眼,你会看到出现许多搜索结果,有些是SQL 错误讯息,但其中确有许多网站会透露用户ID、SQL 服务器数据,以及组态细节等,这还算没什么伤害性质的。
Google风险?
若贵公司网站遭Google黑客法入侵,会造成多少灾害呢?这得看你不小心暴露多少信息而定,就已经曝光的作法来看,黑客曾经成功监看过复印机信息、找出密码、监视服务器活动等。
现任职Ernst and Young 公司技术暨风险服务部门的Gerry Chng曾见识过不少黑客入侵伎俩,他认为Google黑客法并不需特别大惊小怪。 “这也算黑客找信息的一个入门点,但顶多也只是信息外泄如此而已。”
Gerry 指出,密码与log 文件通常只有两种情况下会泄漏,而这两种情况只要网管人员多留心一下就可趋吉避凶。
第一种状况是把机密文件连上URL ,或者在文件中使用了HTML标签,“网络爬虫只会寻找有连结的点,”Gerry 表示。但有些例外状况则得小心,比如有些开发人员会加入 HTML标签,“网虫看到这个也会进去寻找一番。”
第二种况状则是因网络蜘蛛造访所造成的应用错误。比如在SQL 网络应用中,我们会看到SQL 错误讯息,即使是暂存的错误也算是信息外泄。“你回头在造访该站时,该错误讯息会自动消失,但Google还是会保存它所看到的信息。”
这意味着,若黑客想用SQL 注射攻击的手法,他们就可利用Google黑客法来找出有漏洞的网站,因为这些网站的错误讯息已经被保留下来了。
事实上,网管人员比较要担心的是这种暂存性质的自动产出错误讯息,因为这类讯息过了就消失了,网管人员看不到,但却会被Google存起来,即使已经过了许久都还可以在Google搜索中找出来。不过你也可以e-mail给Google要求卸载。
如何万无一失?
所以要如何才能防止Google黑客法?以下是Gerry 所提供的秘诀:
确认贵公司的应用不会产生没有经过处理的错误信息,“采用客制化错误信息处理回应可降低通用性质的搜索机会。”
确保贵公司所有文件夹的目录清单都有关闭,且避免将URL 清单存放在文件夹中,因为网络蜘蛛有可能爬进去。
连结至管理员网页不应该在网页中加入连结点,这只会助长蜘蛛爬入,并形成暂存文件。
另外一个诀窍,IT部门针对源代码的变更应有适当的变更标准,“我曾看过开发人员以commnet 标签来隐藏旧的源代码,但这其实还是可连结到某些目录中,或不小心泄漏了所做的信息变更。”Gerry 表示。
不过不幸的是(或者应该说更幸运?),最新状况为,Google上个月已经公布了桌面型搜索引擎,或许在不久的未来,网络搜索引擎的黑客技巧就会扩展到内部网络与企业网络了。
