Google Hacking Database
這篇文章主要介紹的是 Google Hacking Database
Google 可以在網路"精準的"搜尋各式各樣的資料
當然,對於駭客來說,Google 也是用來搜尋網站已知弱點的方式之一
Google 可以搜尋哪些網站弱點?
• Files containing usernames
• Sensitive Directories
• Web Server Detection
• Vulnerable Files
• Vulnerable Servers
• Error Messages
• Files containing juicy info
• Files containing passwords
• Sensitive Online Shopping Info
關鍵字搜尋?
這邊介紹一個網站,這個網站說明每一種類型的搜尋,可以如何輸入 Google 關鍵字搜尋
http://www.hackersforcharity.org/ghdb/
“Error Messages”
駭客經常利用網站的錯誤訊息,間接進一步取得網站的弱點
例如搜尋關鍵字:
Google 搜尋
網站防護建議
網站我們希望能有曝光度與能見度,因此會設定讓 google 可以來搜尋網站的資訊內容
同時,有些敏感性資訊又不希望透過 google 搜尋到,那麼要如何取得平衡呢?
幾個簡單的建議
1. Robots 善用 Robots.txt 的設定,避免不必要的網站內容被Google Crwaler 搜尋
2. Web Error Configuration: 錯誤訊息設定不顯示,或是一律導致自訂的 Custom Error
3. HTTP Response : 對於 HTTP response 資訊內容可以加以限制,相關技術、版本的資訊不需要回傳。例如: IIS 7.0 / Apache 2.x…
4. 對於 Account驗證的Error Message 可以盡量中性:
例如: Account or Password is invalid. (建議)
Account does not exit. (不建議,因為可以利用這個訊息知道那些 account 存在與否)