• Google Hacking Database

    這篇文章主要介紹的是 Google Hacking Database

    Google 可以在網路"精準的"搜尋各式各樣的資料

    當然,對於駭客來說,Google 也是用來搜尋網站已知弱點的方式之一

     

    Google 可以搜尋哪些網站弱點?

    • Files containing usernames
    • Sensitive Directories
    • Web Server Detection
    • Vulnerable Files
    • Vulnerable Servers
    • Error Messages
    • Files containing juicy info
    • Files containing passwords
    • Sensitive Online Shopping Info

    關鍵字搜尋?

    這邊介紹一個網站,這個網站說明每一種類型的搜尋,可以如何輸入 Google 關鍵字搜尋

    http://www.hackersforcharity.org/ghdb/

     

    GHDB

     

    “Error Messages”

    駭客經常利用網站的錯誤訊息,間接進一步取得網站的弱點

    例如搜尋關鍵字:

    “Unable to jump to row” “on MySQL result index” “on line”

    Google 搜尋

    MYSQL Error

     

    網站防護建議

    網站我們希望能有曝光度與能見度,因此會設定讓 google 可以來搜尋網站的資訊內容

    同時,有些敏感性資訊又不希望透過 google 搜尋到,那麼要如何取得平衡呢?

    幾個簡單的建議

    1. Robots 善用 Robots.txt 的設定,避免不必要的網站內容被Google Crwaler 搜尋

    2. Web Error Configuration: 錯誤訊息設定不顯示,或是一律導致自訂的 Custom Error

    3. HTTP Response : 對於 HTTP response 資訊內容可以加以限制,相關技術、版本的資訊不需要回傳。例如: IIS 7.0 / Apache 2.x…

    4. 對於 Account驗證的Error Message 可以盡量中性:

    例如: Account or Password is invalid. (建議)

    Account does not exit. (不建議,因為可以利用這個訊息知道那些 account 存在與否)

     

    Posted by Tony @ 10:04 am

    Tags: , , , ,

  • Leave a Reply

    Your email address will not be published.