在google已经成为搜索引擎代名词的今天，聪明的人们不断发掘google的新用途，2004年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为You found that on google ? 和google attacks 的主题演讲。个人觉得颇为精彩，因此编译整理，简单介绍，不求甚解，只是希望能够引起大家的重视。

1. 观点

google及类似的搜索引擎在为人们提供大量便捷的同时，也带来了一定潜在风险。

• 网络中的“有心人士”数目众多；
• 利用搜索引擎能够快速查找存在脆弱性的主机及其它设备；
• 利用搜索引擎能够快速查找包含敏感数据的信息；
• 利用搜索引擎的“扫描”极其隐蔽，并且由于其具有archive、cache等功能，往往数据量更大。

因此，需要人们提高警觉性，在善用搜索引擎的同时，也善于保护自己。

2. 案例

2.1 基础

所谓“工欲善其事，必先利其器”，要用google来进行“渗透测试”，首先当然要深入了解google了，建议对google不甚了解的人先参考这篇Google搜索从入门到精通。

而后简单了解google的一些操作符，如：site、inurl、filetype、intitle等……

2.2 演示

要做的演示并不复杂，渗透测试人员在实施攻击之前，往往会先进行信息搜集工作，而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们的目标是：通过google查找被人安装了php webshell后门的主机，并测试能否使用。

我们在google的搜索框中填入：

intitle:"php shell*" "Enable stderr" filetype:php

搜索结果中，或许你能找到一两够直接在机器上执行命令的web shell来。

这是类似黑客工具的操作方式。在You found that on google ? 中，你会看到大量的实际案例，google找到了大量的密码、信用卡帐号、网络管理信息等等……

2.3 工具

对攻与防两边来说，自动化的工具都是可以提高效率的，这里介绍几款工具：

• gooscan

  用来处理搜索结果的一个小命令行程序，能够一定程度上减轻查询google时的“体力劳动”负担。界面如下：

  
• sitedigger

  这是FoundStone出品的一款免费软件，代用了google的api接口，使用者需要先到google api网站注册帐号获取一个许可字串后，才可以正常使用。使用前建议先自动连接到网络更新规则库，SiteDigger的规则库包含了七大类规则，分类详细，是一款相当不错的小产品。你也可以先参考它的白皮书。

  
• athena

  与SiteDigger类似，是一款借助搜索引擎来查找信息被误用或滥用的工具，支持多搜索引擎。

  

3. 解决

3.1 我们该如何做？

我们的资料如此容易被人所获取，那该采用什么方式来避开这种攻击或数据搜集呢？

• 信息发布的严格审核与责任追查；
• 利用相关工具进行在互联网进行搜索，如果有信息被滥用，到从google中删除网页记录提交你希望删除的信息；
• 控制robots.txt，控制搜索引擎的机器人的查询。

3.2 总结

还是以一幅FreeMind绘制的图片来结束这则短短的介绍吧：

发表于 @ 2004年11月04日 12:32:00|评论(loading...)