何為Google Hacking?它的強大你真的了解嗎?

大家都知道Google搜尋是許多人的好朋友,不論是學術或娛樂方面只要「Google」一下,就能夠滿足大部分的需求。但你知道Google搜尋除了可以用來滿足知識上的需求外,還可能被駭客作為攻擊的手法嗎?以下就由小編來為您解答!

Google Hacking,簡單又有效

所謂的Google Hacking其實並不是什麼特殊的工具,而是利用網站管理者對資訊未設置完善的隱藏措施,透過Google內建的搜尋語法對一些可能具有機敏資訊檔案類型或關鍵字,進行更為精準的搜尋。也正因為Google Hacking不需額外安裝特定軟體,更不用高超的程式能力,所以人人都可能利用此種方式取得企業不想被人看到的資訊。

Google Hacking可能會造成什麼危害?

如上一段所說,Google Hacking可以透過輸入特定運算子來取得各式各樣的資料,以最基本的範例如下圖示,透過 site 運算子能夠將搜尋範圍限定在目標網域內:

有些的運算子也可以混搭著用,藉此更進一步使目標結果更為精確,下方搜尋欄範例是在原本的搜尋後方加入 filetype 則能夠限定在目標網域內的某種檔案類型:

看到這邊,各位可能覺得這都不會有什麼太誇張的危害,但如果修改搜尋的檔案類型,並且針對文件內機敏部分進行搜尋時,結果將會大有不同:

上方的範例圖將有可能搜尋到與資料庫相關的文檔,其上、下文很有可能包含資料庫的帳號、密碼等資訊,此外也有可能含有其他檔案的路徑,那攻擊者將則能夠透過該路徑獲取更多檔案。

範例所顯示的僅是簡單的示範,但根據攻擊者的需求、網站的類型,還能有更多樣的運算子樣式,所應用的範圍也不僅有爬取網站漏洞。甚至能藉此尋求外洩資料,例如人肉搜索。

做為網站管理者,我該如何防範呢?

會被Google Hacking大多是因為沒有對機敏文件進行權限管理或將其隱藏於搜尋之下,以下小編提供三個建議:

  1. 將具有機敏資料的檔案加上觀看權限
  2. 設定robots.txt禁止網路爬搜功能爬取相關文件
  3. 於HTML的META標籤進行設置,根據設置的屬性禁止相對應的爬搜功能

結語

以上便是關於Google Hacking的小知識,所以日後在使用Google搜尋時,別忘了在那強大搜索功能底下,你的網站乃至個人行為都可能輕易暴露於有心者的眼中,因此在網站及隱私管理的應對要下點心力才是上上之策。

Reference

Google Hacking for Penetration Testers

google hacking

[Pentest] 使用 Google Hacking 搜集待測網站資訊與可能的漏洞

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。