全面探秘Google Hacking攻击
2010-03-12 00:00:00 来源:WEB开发网核心提示: 攻击者可以有针对性地进行搜索,也可以进行拉网式的大搜捕,全面探秘Google Hacking攻击(4),我在1分钟的时间就搜到很多结果,随机测试,接下来就是登录后台,上传木马和提权了,有80%以上的数据库可以下载,可以打开图4
攻击者可以有针对性地进行搜索,也可以进行拉网式的大搜捕。我在1分钟的时间就搜到很多结果,随机测试,有80%以上的数据库可以下载,可以打开图4。
(3)目录
上例中在我们的演示中通过“inurl:/inc+conn.asp ”语句看到了很多网站的目录。通过这个搜索语句攻击者可以浏览一些网站的目录。如果你足够细心的话,你还会看到它们都有一个共同点就是都含有“to parent directory ”这句话。那么我们再构造对“to parent directory”看看。
居然有16,900,000项符合条件的查询结果,太令让人惊讶了。出现这个漏洞是服务器没有配置好而出现的安全问题,问题就出在服务器的“目录浏览”上,不仅IIS和Apache存在这样的问题,其它web服务器也存在这样的类似问题。可以浏览网站的目录,那么攻击者就可以在网站的目录之间跳转,找到自己感兴趣的文件,比如数据库,登录页面等等。
三、模拟测试
下面我通过几个实际的例子现身说法,看看google hacking的危害。
1、数据库:输入intext:to parent directory+intext:mdb语句,搜索网站数据库文件。
不仅数据库文件可以下载,其他的asp文件也可以下载得到源代码。打开刚下载的数据库,管理员的密码就轻松得到了,接下来就是登录后台,上传木马和提权了,这里就不多讲了。
- ››Google搜索引擎的奥秘
- ››Google测试搜索结果页面右侧内容更丰富的信息栏
- ››Google Dart精粹:应用构建,快照和隔离体
- ››全面深入了解setInterval方法的几个要点
- ››google的代码审查
- ››google analytics清晰追踪爬虫的爬行信息
- ››Google+中文用户在两千万Google+大军中是少数派
- ››Google AdWords最昂贵点击成本的20种关键词分类
- ››Google运作经理Bryan Power给出的GOOGLE求职意见
- ››Google用户体验的十大设计原则
- ››全面解释Windows 7开机启动项知识
- ››全面解析为什么Windows7分区越多越糟
更多精彩
赞助商链接