xFelix
xFelix

利用Google来攻击数据库

利用Google来攻击数据库
这个概念并不新:使用Google或其他搜索引擎来寻找存在漏洞的系统并攻击他们。但是看上去不同的情况是这样的攻击手段在最近几个月呈直线上升的态势。这不由让所有人都感到吃惊。
搜索引擎尽职的干它们的活,它们索引每个连接在因特网上的站点。它们揭示并报告每个站点的好东西,同时也包括坏东西,当然是不经过任何过滤的。而我们要做的仅仅是在搜索引擎上键入适当的查询语句并得到我们想要的信息。黑客们也利用Google等搜索引擎进行这些查询,只不过他们利用bots或者其他程序让他们整日整夜的进行。第二天当他们醒来时,一串漂亮的存在漏洞的列表就展现在他们面前,接下去就是等待被他们攻击。
Google也常被用作渗透性测试的必备工具。因为Google包含了各种各样的信息,而Google自己并不会撒谎,它展示的都是网路上暴露的真实的信息,只不过人们并没有意识到Google搜索引擎有多么强大的威力,并没有好好去挖掘其中的数据。
利用Google,我们或许会找到一些并没有安全保护的网络节点,利用它们,我们可以控制许多不同的设备,比如网络打印机、PBX、企业电话系统、路由器、网络摄像头,当然还有网站本身。这些都可以被Google找到。但是把Google作为有效的黑客工具的好处并不仅限于此,它还可以被黑客作为某种代理服务。 虽然常见的一些安全工具软件可以帮助攻击者来扫描并分析出一个公司的网络结构,但是有了Google,攻击者就可以完全让Google来完成这些工作。这样不仅避开了探路的风险,而且这些信息搜集的过程很难被系统管理员发现和阻止。用Google可以查询一些网站的站点拓扑结构,并通过一些附加信息的补充,黑客们是很容易勾勒出公司网络的真实拓扑的。
通过使用预先设计好的Google查询语句和文本处理工具就可以得到SQL数据库的密码甚至错误信息。然后可以利用这些信息来进行SQL的注入攻击。这就让Google真正成为了黑客工具。
虽然Google并不是很在意存储的海量的数据自身存在的安全隐患,同时Google也表示为了保证信息的客观公正,Google并不会去过滤一些所谓的敏感信息。但是事实上Google已经在不经意中帮助了一些蠕虫的攻击和数据库的侵入,因此搜索引擎已经因为安全原因拒绝了一些恶意的查询。
Written by Felix. Licensed under CC BY-NC-SA 3.0 Unported.

Leave a Reply

textsms
account_circle
email

xFelix

利用Google来攻击数据库
这个概念并不新:使用Google或其他搜索引擎来寻找存在漏洞的系统并攻击他们。但是看上去不同的情况是这样的攻击手段在最近几个月呈直线上升的态势。这不由让所有人都感到吃惊。 搜索引擎…
Scan QR code to continue reading
2006-07-27