大家都知道Google搜尋是許多人的好朋友,不論是學術或娛樂方面只要「Google」一下,就能夠滿足大部分的需求。但你知道Google搜尋除了可以用來滿足知識上的需求外,還可能被駭客作為攻擊的手法嗎?以下就由小編來為您解答!
Google Hacking,簡單又有效
所謂的Google Hacking其實並不是什麼特殊的工具,而是利用網站管理者對資訊未設置完善的隱藏措施,透過Google內建的搜尋語法對一些可能具有機敏資訊檔案類型或關鍵字,進行更為精準的搜尋。也正因為Google Hacking不需額外安裝特定軟體,更不用高超的程式能力,所以人人都可能利用此種方式取得企業不想被人看到的資訊。
Google Hacking可能會造成什麼危害?
如上一段所說,Google Hacking可以透過輸入特定運算子來取得各式各樣的資料,以最基本的範例如下圖示,透過 site 運算子能夠將搜尋範圍限定在目標網域內:
有些的運算子也可以混搭著用,藉此更進一步使目標結果更為精確,下方搜尋欄範例是在原本的搜尋後方加入 filetype 則能夠限定在目標網域內的某種檔案類型:
看到這邊,各位可能覺得這都不會有什麼太誇張的危害,但如果修改搜尋的檔案類型,並且針對文件內機敏部分進行搜尋時,結果將會大有不同:
上方的範例圖將有可能搜尋到與資料庫相關的文檔,其上、下文很有可能包含資料庫的帳號、密碼等資訊,此外也有可能含有其他檔案的路徑,那攻擊者將則能夠透過該路徑獲取更多檔案。
範例所顯示的僅是簡單的示範,但根據攻擊者的需求、網站的類型,還能有更多樣的運算子樣式,所應用的範圍也不僅有爬取網站漏洞。甚至能藉此尋求外洩資料,例如人肉搜索。
做為網站管理者,我該如何防範呢?
會被Google Hacking大多是因為沒有對機敏文件進行權限管理或將其隱藏於搜尋之下,以下小編提供三個建議:
- 將具有機敏資料的檔案加上觀看權限
- 設定robots.txt禁止網路爬搜功能爬取相關文件
- 於HTML的META標籤進行設置,根據設置的屬性禁止相對應的爬搜功能
結語
以上便是關於Google Hacking的小知識,所以日後在使用Google搜尋時,別忘了在那強大搜索功能底下,你的網站乃至個人行為都可能輕易暴露於有心者的眼中,因此在網站及隱私管理的應對要下點心力才是上上之策。