Google hacking

Melyik a leghasznosabb és legerősebb eszköz a tesztelők kezében a betörési teszt legelején?

A google.

A google-t a legtöbb esetben arra használják, hogy kulcsszavak alapján tartalmakat találjanak a segítségével az interneten, azonban ezen az „alap” működésen kívül számtalan egyéb célra is használható – akár betörési tesztelési eszközként is. Ilyen minőségében egészen kiváló választás: anonimitást biztosít, a célpont nem értesül a vizsgálatok tényéről és néha egészen, komolyan mellbevágó találatokat ad: ilyenkor a célpont hanyag beállítása két ász az asztalon, a google pedig a másik kettő a kezünkben.

Néhány meglepő példa az eddigi tapasztalatainkból:
• Banki biztonsági kamerák hanyagságból „ott felejtett”, streamelhető képei
• Jelszavak(!)
• Hibaüzenetek, közöttük néhány olyan, amely részleteket közöl az adott webalkalmazás PHP-kódjából, illetve a működtető SQL query-kből
• E-mail címek
• Belsős anyagok, telis-tele érzékeny információval, levelezés
• Korábbi biztonsági auditok jegyzőkönyvei
• Triviális módon kompromittálható hosztok listája (egy specifikus funkciójú oldal keresésével – többet nem írunk…)
• Személyes adatok (név, bankszámlaszám, lakcím stb.)

A google hackinggel kapcsolatban több munka is megjelent a közelmúltban: ott van elsőként a téma első komoly művelőjeként Johnny Long tollából két könyv (Amazonon itt és itt lehet megrendelni őket), másrészt on-line formában is elérhető Google Hacking Database.

A GHDB ezernél is több keresősztringet listáz, ezeket azonban szerencsére nem kell egyesével, kézzel végigkeresni: több céleszköz is rendelkezésre áll. Ezek közül betörési tesztek során leginkább a Wikto-t szoktuk használni, de számtalan egyéb eszköz is használható.

Mit lehet tenni a “google dork”-ká válás megelőzésére? Körültekintően kell eljárni a nyilvánosan elérhető webhelyek tartalmának összeállításakor, az alkalmazott jogosultságkezelési eszköz megválasztásakor (például jó gyakorlatként kerülendő a .htaccess és a public_html könyvtár együttes használata) és rendszeresen ellenőrizni kell, hogy a google mit talált meg és mentett el.