WEB开发网
开发学院网络安全安全技术 全面探秘Google Hacking攻击 阅读

全面探秘Google Hacking攻击

 2010-03-12 00:00:00 来源:WEB开发网   
核心提示: 2、敏感文件:输入intext:to parent directory+intext:conn.asp语句,搜索网站的数据库链接文件conn.asp,全面探秘Google Hacking攻击(5),下载一个文件后发现里面居然是网站最敏感的数据,3、日志文件:输入index of "新建

全面探秘Google Hacking攻击

2、敏感文件:输入intext:to parent directory+intext:conn.asp语句,搜索网站的数据库链接文件conn.asp,下载一个文件后发现里面居然是网站最敏感的数据。

全面探秘Google Hacking攻击

3、日志文件:输入index of "新建 文本文档.txt 语句",有一个日志文件,下载后发现有一些绝对路径的敏感信息。

全面探秘Google Hacking攻击

4、Webshell:输入inurl:/inc+diy.asp语句后得到了一个免费的Webshell。

全面探秘Google Hacking攻击

四、防范措施

预防Google Hacking,管理员应该做到以下几点:

1、加固服务器,并将其与外部环境隔离。

一个很不幸的事实是,许多关键服务器完全暴露在Internet上,管理员一定要加强服务器的存取控制,并将其放在防火墙之后。

2、设置robots.txt文件,禁止Google索引你的网页。

全面探秘Google Hacking攻击

够通过设置“googlebot”的“User-agent:”参数的方法保护网络服务器的文件和目录免受Google索引,方法是在“Disallow:”部分列出你想保密的信息。

3、将高度机密的信息从公众服务器上去除。

制定一项组织策略用来保护高度机密的信息(例如密码、机密文件等)远离公众可以访问的服务器。否则,使用任何可能的存取控制措施来保护它们,并且确保这些策略能够被强制执行,并且管理那些违规者。

4、保证你的服务器是安全的

(1)千万不要忽视服务器下的“目录浏览”功能,如果配置不当,特别是网站根目录也允许目录浏览的话.就可能会对网站产生毁灭性的打击,使用不当就是网站的一根软筋。所以”目录浏览”这个功能在使用的时候要慎重。

(2)“脚本资源访问”和“写入”千万不要随便开启,除非有特殊悄况。

(3)改变数据库和后台等敏感文件的默认路径和文件名。

(4)不要把与网站无关的文件放到网站的目录下,这样就算网站被攻陷,这些文件不至于被顺手牵羊。

总结:Google Hcaking不算是新的攻击方法,但是它是简单易行的攻击,技术门槛不高,利用它有无数人成功过,也有无数人忽略它的存在。希望这篇文章对于大家认识 Google Hacking的危害有所帮助,从而重视并加固服务器,防被搜索引擎这把双刃剑刺伤。

上一页  1 2 3 4 5 

Tags:全面 探秘 Google

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接