全面探秘Google Hacking攻击
2010-03-12 00:00:00 来源:WEB开发网2、敏感文件:输入intext:to parent directory+intext:conn.asp语句,搜索网站的数据库链接文件conn.asp,下载一个文件后发现里面居然是网站最敏感的数据。
3、日志文件:输入index of "新建 文本文档.txt 语句",有一个日志文件,下载后发现有一些绝对路径的敏感信息。
4、Webshell:输入inurl:/inc+diy.asp语句后得到了一个免费的Webshell。
四、防范措施
预防Google Hacking,管理员应该做到以下几点:
1、加固服务器,并将其与外部环境隔离。
一个很不幸的事实是,许多关键服务器完全暴露在Internet上,管理员一定要加强服务器的存取控制,并将其放在防火墙之后。
2、设置robots.txt文件,禁止Google索引你的网页。
够通过设置“googlebot”的“User-agent:”参数的方法保护网络服务器的文件和目录免受Google索引,方法是在“Disallow:”部分列出你想保密的信息。
3、将高度机密的信息从公众服务器上去除。
制定一项组织策略用来保护高度机密的信息(例如密码、机密文件等)远离公众可以访问的服务器。否则,使用任何可能的存取控制措施来保护它们,并且确保这些策略能够被强制执行,并且管理那些违规者。
4、保证你的服务器是安全的
(1)千万不要忽视服务器下的“目录浏览”功能,如果配置不当,特别是网站根目录也允许目录浏览的话.就可能会对网站产生毁灭性的打击,使用不当就是网站的一根软筋。所以”目录浏览”这个功能在使用的时候要慎重。
(2)“脚本资源访问”和“写入”千万不要随便开启,除非有特殊悄况。
(3)改变数据库和后台等敏感文件的默认路径和文件名。
(4)不要把与网站无关的文件放到网站的目录下,这样就算网站被攻陷,这些文件不至于被顺手牵羊。
总结:Google Hcaking不算是新的攻击方法,但是它是简单易行的攻击,技术门槛不高,利用它有无数人成功过,也有无数人忽略它的存在。希望这篇文章对于大家认识 Google Hacking的危害有所帮助,从而重视并加固服务器,防被搜索引擎这把双刃剑刺伤。
- ››Google搜索引擎的奥秘
- ››Google测试搜索结果页面右侧内容更丰富的信息栏
- ››Google Dart精粹:应用构建,快照和隔离体
- ››全面深入了解setInterval方法的几个要点
- ››google的代码审查
- ››google analytics清晰追踪爬虫的爬行信息
- ››Google+中文用户在两千万Google+大军中是少数派
- ››Google AdWords最昂贵点击成本的20种关键词分类
- ››Google运作经理Bryan Power给出的GOOGLE求职意见
- ››Google用户体验的十大设计原则
- ››全面解释Windows 7开机启动项知识
- ››全面解析为什么Windows7分区越多越糟
更多精彩
赞助商链接