在我的《為什么使用Google掃描安全漏洞》的技巧中，我討論了如何使用Google.com來(lái)執(zhí)行對(duì)你的面向公眾的服務(wù)器的安全掃描――包括Windows、IIS、Apache和（但愿不會(huì)如此?。㏒QL Server。你能使用它得到服務(wù)器的信息、包含敏感信息的文件和檢測(cè)出“暗藏的”登錄頁(yè)、服務(wù)器日志文件，以及很多其它的東西。而在這個(gè)技巧中，我將描述一些極好的Google工具，和基本的Google查詢(xún)，幫助你搜索那些你還沒(méi)有意識(shí)到，但能夠被公眾獲取的敏感信息。 這一系列的技巧包含以下幾方面的內(nèi)容，它們分別是： 目錄： 為什么使用Google掃描安全漏洞 用Google工具自動(dòng)執(zhí)行黑客測(cè)試 用Google查詢(xún)?nèi)斯?zhí)行黑客測(cè)試 四個(gè)步驟保護(hù)Windows數(shù)據(jù)遠(yuǎn)離Google黑客 為什么使用Google掃描安全漏洞 如果你正在執(zhí)行信息安全評(píng)估――滲入測(cè)試、漏洞評(píng)估，或者范圍更廣的黑客測(cè)試――你就不能沒(méi)有一個(gè)相應(yīng)的測(cè)試工具。雖然對(duì)于一個(gè)網(wǎng)站來(lái)說(shuō)，此類(lèi)工具很難找，但Google（是的，www.google.com）還是一個(gè)你可以使用的，能夠測(cè)試Windows系統(tǒng)安全漏洞的最熱工具中的其中之一。假設(shè)它的功能和力量能夠被用來(lái)攻擊你，那么在對(duì)你的惡意攻擊之前，這是一個(gè)讓你知道自己系統(tǒng)漏洞，并采取相應(yīng)保護(hù)措施的好工具。 除了能夠用Google做你能做的事情之外，它的最大優(yōu)勢(shì)之一就是不存在價(jià)格上的問(wèn)題。Google被認(rèn)為是窮人的安全評(píng)估工具，或者是為那些很少，甚至沒(méi)有IT預(yù)算的安全管理員（即幾乎所有的人）提供的工具。我個(gè)人是商業(yè)安全評(píng)估工具的大力提倡者，它們有助于提供更加詳盡的測(cè)試項(xiàng)目、優(yōu)良的報(bào)告能力和其它可以使你的評(píng)估工作更加容易的工具。然而，“花多少錢(qián)辦多少事”，有時(shí)和它們并不相符。Google能夠提供像黑客一樣的眼睛，做你想像不到的事情，或者能夠做任何安全測(cè)試工具（包括商業(yè)軟件、免費(fèi)軟件或開(kāi)源軟件）能夠做的事情，而這一切都是免費(fèi)的！ 和許多外部測(cè)試工具一樣，Google能夠看到當(dāng)前你為網(wǎng)絡(luò)世界提供的服務(wù)。并且，它能夠搜集、緩存、尋找和挖掘那些對(duì)你來(lái)說(shuō)并不是很新的信息，或者在你不知道的情況下放上互聯(lián)網(wǎng)的內(nèi)容。在執(zhí)行安全評(píng)估查詢(xún)方面，你可以有幾個(gè)選擇，在Google的首頁(yè)，高級(jí)搜索頁(yè)面，甚至使用Google API寫(xiě)一個(gè)你自己的Web應(yīng)用程序。 當(dāng)在你的系統(tǒng)上執(zhí)行信息安全測(cè)試時(shí)，你最想做的就使像黑客一樣進(jìn)行查看，這也是Google最為擅長(zhǎng)的。這里是一些進(jìn)行黑客測(cè)試時(shí)Google能夠找到的信息的例子： 1.信用卡信息（credit card information）、社會(huì)安全號(hào)（social security number）和其它公眾可以通過(guò)Web應(yīng)用程序和數(shù)據(jù)庫(kù)訪問(wèn)的機(jī)密信息。 2.網(wǎng)絡(luò)攝像頭。 3.文字處理文檔、電子表格和演示文稿文件。 4.Outlook Web Access相關(guān)的文件。 5.默認(rèn)的（通常是不安全的）IIS文件和自定義的ISS錯(cuò)誤信息。 6.本想隱藏的Web登錄頁(yè)面。 7.進(jìn)行不屬于你的網(wǎng)絡(luò)的主機(jī)欺詐。 8.包含敏感信息的新聞組帖子。 以上述的最后一個(gè)為例，當(dāng)在Google Groups中執(zhí)行一個(gè)基本的查詢(xún)時(shí)，我看到了一個(gè)我認(rèn)識(shí)的電信供應(yīng)商的支持組信息，它是由供應(yīng)商的網(wǎng)絡(luò)管理員發(fā)表的。那個(gè)帖子泄漏了供應(yīng)商內(nèi)部網(wǎng)絡(luò)的詳細(xì)配置，包括網(wǎng)絡(luò)布局、內(nèi)網(wǎng)IP地址和主機(jī)名。它顯露出的這么多信息給我的第一感覺(jué)是，我不應(yīng)該信息那個(gè)公司，并將自己企業(yè)的敏感信息交給他們。我使用公司的名稱(chēng)和幾個(gè)關(guān)鍵詞，執(zhí)行簡(jiǎn)單的搜索就找到了這些信息，若是使用Google的高級(jí)搜索，還不知道能夠找到多少信息呢！ 在今天高價(jià)漏洞評(píng)估工具的世界里，Google是一陣清新的空氣，它的安全測(cè)試查詢(xún)是無(wú)敵的！作為一個(gè)安全漏洞檢測(cè)的頂級(jí)人士，你不僅需要像黑客一樣進(jìn)行工作，還需要有創(chuàng)新的測(cè)試方法，Google無(wú)疑就是這樣一款工具，他允許你進(jìn)行這樣的工作。 在不久的將來(lái)，我將向你講述使用真實(shí)的Google查詢(xún)測(cè)試你的Windows系統(tǒng)的安全，這將幫助你確定自己的Windows系統(tǒng)是否足夠健壯。 用Google工具自動(dòng)執(zhí)行黑客測(cè)試 已經(jīng)有多種Google工具能夠自動(dòng)執(zhí)行黑客測(cè)試，或者增強(qiáng)Google黑客測(cè)試的能力，它們包括： ·Johnny Long的Google Hacking Database (GHDB)：http://johnny.ihackstuff.com/index.php?module=prodreviews，提供許多查詢(xún)樣例，你可以調(diào)節(jié)這些樣例，將其用于你自己的站點(diǎn)或域名上。 ·Foundstone公司的SiteDigger（http://www.foundstone.com/resources/proddesc/sitedigger.htm），它利用Foundstone自己個(gè)性化的Google查詢(xún)，像Johnny Long的Google Hacking Database (GHDB)一樣執(zhí)行自動(dòng)搜索。 注意：Google每天最多只允許運(yùn)行1,000條查詢(xún)，這看起來(lái)挺多，但對(duì)于此類(lèi)工具來(lái)說(shuō)，很快就能夠執(zhí)行完畢。 ·Johnny Long的Gooscan for Linux（http://johnny.ihackstuff.com/modules.php?op=modload&name=Downloads&file=index&req=viewdownload&cid=5），它能夠用來(lái)在Linux下執(zhí)行命令行方式的Google查詢(xún)。 ·Google Toolbar for Internet Explorer允許你不進(jìn)入Google的首頁(yè)www.google.com就能夠在IE瀏覽器中直接輸入關(guān)鍵詞進(jìn)行簡(jiǎn)單的查詢(xún)。如果你是IE的反對(duì)者，還可以使用能夠在Netscape或者M(jìn)ozilla Firefox下執(zhí)行的開(kāi)放源碼的Googlebar（http://googlebar.mozdev.org/）。 ·GooDelete（_history.htm">http://www.dirfile.com/goodelete_history.htm）能夠清理那些你不想留下的，使用Google Toolbar查詢(xún)留下的，可能包含敏感信息的緩存。 另外，如果你非常熱心于Google黑客行為，你的書(shū)櫥中就不能少了Johnny Long撰寫(xiě)的，具有很高評(píng)價(jià)的《Google Hacking for Penetration Testers.》（_ihackstuff-20/102-5005443-2664941?v=glance&s=books">http://www.amazon.com/exec/obidos/tg/detail/-/1931836361/ref=ase_ihackstuff-20/102-5005443-2664941?v=glance&s=books）這本書(shū)。 用Google查詢(xún)?nèi)斯?zhí)行黑客測(cè)試 在上一個(gè)技巧列出的自動(dòng)查詢(xún)工具之外，你可能還想執(zhí)行自主的人工Google查詢(xún)，這里是一些我在服務(wù)器上運(yùn)行過(guò)的測(cè)試，它們可以作為你的開(kāi)始。 注意：事實(shí)上，你能夠使用Google進(jìn)行的這些查詢(xún)是非常非常少的一部分，你只需將你的想像力與前述的工具結(jié)合即可，它們對(duì)你要進(jìn)行的查詢(xún)的數(shù)量沒(méi)有限制。 ·site:你的主機(jī)或者域名 需要找的關(guān)鍵字 這將測(cè)試搜索一個(gè)特定Internet主機(jī)或域名下的任意關(guān)鍵字，你可以使用如SSN、 confidential、finance、student等眾多關(guān)鍵字。 ·filetype:想要找的文件擴(kuò)展名 site:你的主機(jī)或者域名 這個(gè)測(cè)試將搜索你系統(tǒng)中的特定文件，你可以輸入任意文件擴(kuò)展名，比如doc、pdf、ppt、db、dbf等，只要是你能夠想像到的就行。 除非你能夠確定你的信息已經(jīng)泄漏到了其它網(wǎng)站，否則就一直使用“site:”操作符來(lái)限定你的搜索結(jié)果。使用“link:”操作符則能夠搜索連接到個(gè)頁(yè)面上的超鏈接。 如果Google返回了查詢(xún)結(jié)果，但其中的鏈接已經(jīng)成為死鏈，你可以點(diǎn)擊搜索結(jié)果下面的“快照”鏈接進(jìn)行搜索和查找。這將搜索Google的緩存，你的信息可能有存在那里的機(jī)會(huì)。同樣，確定在Google Groups（網(wǎng)上論壇）搜索敏感信息，我曾經(jīng)利用這種方法，在這里搜索到很多有用的信息。你還可以查看Interesting Google Queries（http://artkast.yak.net/81）這個(gè)網(wǎng)頁(yè)，找到針對(duì)Microsoft的特殊Google搜索技巧。
四個(gè)步驟保護(hù)Windows數(shù)據(jù)遠(yuǎn)離Google黑客 使用適當(dāng)?shù)膶?duì)策，可以幫助你將高度機(jī)密信息遠(yuǎn)離Google，不能夠被Google黑客搜索到。這里有四個(gè)步驟，你可以嘗試做一下： 1.鞏固你的服務(wù)器，并將其與外部環(huán)境隔離 有一個(gè)很不幸的事實(shí)是，許多關(guān)鍵服務(wù)器仍然完全暴露在Internet上，現(xiàn)在請(qǐng)收緊你服務(wù)器的存取控制，并將其放在_blank">防火墻之后。 2.設(shè)置robots.txt文件，禁止Google索引你的網(wǎng)頁(yè) 你能夠通過(guò)設(shè)置“googlebot”的“User-agent:”參數(shù)的方法保護(hù)網(wǎng)絡(luò)服務(wù)器的文件和目錄免受Google索引，方法是在“Disallow:”部分列出你想保密的信息。 或者，如果你想所有的Web機(jī)器人都不訪問(wèn)你的網(wǎng)站和網(wǎng)頁(yè)，就請(qǐng)將“User-agent:”參數(shù)設(shè)置為“*”，不過(guò)記住，懷有惡意的在網(wǎng)上到處閑逛的人能夠從你的Web Server上得到此文件，并且看到你不想被別人看到的是哪些信息。如果這看起來(lái)像互聯(lián)網(wǎng)的弱點(diǎn)，那么它就是。你可以不用robots.txt文件，但你應(yīng)該允許機(jī)器人只能索引那些具體的公開(kāi)頁(yè)面，或者通過(guò)輸入“Disallow /”禁止它們索引任何以根目錄開(kāi)始的信息。 請(qǐng)?jiān)L問(wèn)The Web Robots Pages（http://www.robotstxt.org/wc/robots.html）獲取如何配置你的robots.txt文件和如何執(zhí)行更多反機(jī)器人欺騙的信息。Google同樣有一個(gè)FAQ on Googlebot’s operation（http://www.google.com/bot.html）。 3.將高度機(jī)密的信息從公眾服務(wù)器上去除 制定一項(xiàng)組織策略用來(lái)保護(hù)高度機(jī)密的信息（例如密碼、機(jī)密文件等）遠(yuǎn)離公眾可以訪問(wèn)的服務(wù)器。否則，使用任何可能的存取控制措施來(lái)保護(hù)它們，并且確保這些策略能夠被強(qiáng)制執(zhí)行，并且管理那些違規(guī)者。 4.保證你的服務(wù)器是安全的 為了維護(hù)服務(wù)器安全，請(qǐng)使用我在這一系列技巧中討論過(guò)的Google測(cè)試工具和Google查詢(xún)對(duì)其進(jìn)行黑客測(cè)試。 我高度推薦使用自動(dòng)化測(cè)試工具，譬如SiteDigger和Gooscan進(jìn)行黑客測(cè)試，手工執(zhí)行多個(gè)查詢(xún)的方式不僅緩慢枯燥，還不易于管理。 記住，這些測(cè)試只是通過(guò)Google進(jìn)行的挖掘測(cè)試，它們并不能代表所有的黑客和Internet安全，這些也不是測(cè)試所有系統(tǒng)漏洞的最好工具。作為替代，你必須使用“多層”測(cè)試手段：同時(shí)使用Google和其它免費(fèi)的、開(kāi)源的，以及――據(jù)我看來(lái)，最具有綜合性和可靠性的――商業(yè)性的工具進(jìn)行測(cè)試，這些商業(yè)性的工具我推薦的有SPI Dynamics公司的WebInspect（應(yīng)用于Web應(yīng)用程序，http://www.spidynamics.com/）、Application Security公司的AppDetective（用于Web數(shù)據(jù)庫(kù)，http://www.appsecinc.com/）和Qualys公司的QualysGuard（用于操作系統(tǒng)和網(wǎng)絡(luò)漏洞，http://www.qualys.com/）。 如果模擬黑客、滲入測(cè)試和普通的網(wǎng)絡(luò)安全審計(jì)是你工作職責(zé)的一部分，這些Google黑客技術(shù)和相應(yīng)的工具將成為你需要的安全工具箱中的一部分。為了安全的緣故，請(qǐng)現(xiàn)在就開(kāi)始執(zhí)行它，并且以后也經(jīng)常執(zhí)行。

最新評(píng)論