全面探秘Google Hacking攻击
2010-03-12 00:00:00 来源:WEB开发网核心提示:下面我们以google为例,解析攻击者是如何通过搜索引擎来对网站实施渗透攻击的,全面探秘Google Hacking攻击,我们平常搜索资料都是打开google,然后在“搜索框”里输入关键字,然后通过默认后台或者构造google语句找到网站的后台登录,上传webshell,找到自己所需的内容,其实
下面我们以google为例,解析攻击者是如何通过搜索引擎来对网站实施渗透攻击的。
我们平常搜索资料都是打开google,然后在“搜索框”里输入关键字,找到自己所需的内容。其实搜索引擎还有更高级的功能,特别是有自己的搜索语法。如果攻击者精心设计一段搜索语句,就可以搜索到一些网站的敏感的信息,然后利用这些信息,进一步地渗透,就有可能把整个网站攻陷。
一、关于Google的高级搜索
1、图形界面
google的个高级搜索页面为:http://www.google.cn/advanced_search?hl=zh-CN。在这个页面上,可以对搜索的关键词、语言、文件格式等进行设置,一个有经验的攻击者利用它,就可以通过精心构造的的语句,搜集到自己所需的信息。比如存在漏洞的页面,以及数据库地址、上传页面等。我们可以做个测试,在google的高级搜索页面中输入如图1所示的关键字,搜索采用某网站系统的网站的漏洞页面。
图2中我们可以看到有6,230,000个搜索结果,经过随机测试,这些页面存在注入漏洞的大概30%以上,攻击者通过手工或者工具就可以得到网站的管理员的用户名和密码,然后通过默认后台或者构造google语句找到网站的后台登录,上传webshell,进一步渗透获得服务器的控制权。
- ››Google搜索引擎的奥秘
- ››Google测试搜索结果页面右侧内容更丰富的信息栏
- ››Google Dart精粹:应用构建,快照和隔离体
- ››全面深入了解setInterval方法的几个要点
- ››google的代码审查
- ››google analytics清晰追踪爬虫的爬行信息
- ››Google+中文用户在两千万Google+大军中是少数派
- ››Google AdWords最昂贵点击成本的20种关键词分类
- ››Google运作经理Bryan Power给出的GOOGLE求职意见
- ››Google用户体验的十大设计原则
- ››全面解释Windows 7开机启动项知识
- ››全面解析为什么Windows7分区越多越糟
更多精彩
赞助商链接