搜尋引擎入侵 Google Hacking
所謂 Google Hack 入侵手法,指的是利用搜尋引擎的進階搜尋字串,找到企業網站的關鍵資訊。目前 Google Hack 入侵手法得以成功,追根究底,原因往往出現在許多網頁程式寫法出現問題,才讓懂門道的人,可以利用搜尋引擎,找到網站設定檔(config)外,也可以利 用鍵入內部網址、或者是搜尋網站目錄、檔案類型等方式找到包含網站伺服器檔案、帳號、密碼、管理介面等資料。在交叉分析這些結果,能找出關於某個網站的資 訊,甚至所揭露的資訊多到足以讓人入侵其網站伺服器。
如何防禦 : 在搜尋引擎上對公司進行檢索,看看是否在駭客攻擊你之前,找出任何駭客可能用來造成危害的資訊。如果在線上發現存放在網頁上的資料敏感,公司應該移除該目 錄或使用密碼保護它。此外,可以透過線上表單通知Google,將該網頁的資訊從搜尋結果以及快取中移除。類似像 The Weather Channel,排名的順位影響能見度,卻要同時考量安全的這類網站,如果使用搜尋引擎排除協定,將會損害該網站在搜尋引擎上的排名順序。
因此,任何資料要放到網站之前,必須先做仔細的風險評估。
參考資料: 黑客的行前功課 - Google Hacking 資訊管理導論
瀏覽數: