全面探秘Google Hacking攻击
2010-03-12 00:00:00 来源:WEB开发网核心提示: 攻击者可以有针对性地进行搜索,也可以进行拉网式的大搜捕,全面探秘Google Hacking攻击(4),我在1分钟的时间就搜到很多结果,随机测试,接下来就是登录后台,上传木马和提权了,有80%以上的数据库可以下载,可以打开图4
攻击者可以有针对性地进行搜索,也可以进行拉网式的大搜捕。我在1分钟的时间就搜到很多结果,随机测试,有80%以上的数据库可以下载,可以打开图4。
(3)目录
上例中在我们的演示中通过“inurl:/inc+conn.asp ”语句看到了很多网站的目录。通过这个搜索语句攻击者可以浏览一些网站的目录。如果你足够细心的话,你还会看到它们都有一个共同点就是都含有“to parent directory ”这句话。那么我们再构造对“to parent directory”看看。
居然有16,900,000项符合条件的查询结果,太令让人惊讶了。出现这个漏洞是服务器没有配置好而出现的安全问题,问题就出在服务器的“目录浏览”上,不仅IIS和Apache存在这样的问题,其它web服务器也存在这样的类似问题。可以浏览网站的目录,那么攻击者就可以在网站的目录之间跳转,找到自己感兴趣的文件,比如数据库,登录页面等等。
三、模拟测试
下面我通过几个实际的例子现身说法,看看google hacking的危害。
1、数据库:输入intext:to parent directory+intext:mdb语句,搜索网站数据库文件。
不仅数据库文件可以下载,其他的asp文件也可以下载得到源代码。打开刚下载的数据库,管理员的密码就轻松得到了,接下来就是登录后台,上传木马和提权了,这里就不多讲了。
[]
- ››Google运作经理Bryan Power给出的GOOGLE求职意见
- ››Google用户体验的十大设计原则
- ››全面解释Windows 7开机启动项知识
- ››全面解析为什么Windows7分区越多越糟
- ››Google Analytics(分析)能为网站带来什么
- ››全面分析meta标签属性对网站优化的作用
- ››Google goggles图片搜索 如何优化一个wap网站
- ››Google Docs将增加iPhone和Android编辑功能
- ››全面解析百度快照您所不知道的秘密
- ››Google Android操作系统内核编译图文教程
- ››google map api 与jquery结合使用--控件,监听器...
- ››google map api 与jquery结合使用(2) --标注,浮...
更多精彩
赞助商链接