Google 検索を利用したハッキング～ハッカーの阻止法を探して Copyright ©2004 Foundstone, Inc. All Rights Reserved George Kurtz McAfee, Inc. Senior Vice President Risk Management.

Slides:

Advertisements

Similar presentations

All Rights Reserved, Copyright © 2001 GeoBasic® ＆ IIMS® Networking GIS データ共有型 GIS ２００１年２月ジーイーネット株式会社.

Advertisements

ウィキについて１１０４０４３１１１０４０４３１植木貴宏植木貴宏. ウィキとは？ウェブブラウザを利用して Web サーバ上のハイパーテキスト文書を書き換えるシステムの一種。ウェブブラウザを利用して Web サーバ上のハイパーテキスト文書を書き換えるシステムの一種。 Wiki とは、ハワイ語で「速い」を意味.

All Rights Reserved Copyright(C) D-CIRCLE Inc, 2002 POWER EGG Ver.1.6 サービスリリース 1 新機能説明資料（ SQLServer 版、 Oracle 版）ディサークル株式会社

ファーストステップガイド ( 管理者向け）ナレッジスイート株式会社 Copyright (c) knowledgesuite inc. All rights reserved.1.

データベースと情報検索情報検索（１）検索エンジンを使ってみる工学部担当教員岩村雅一. 日程（情報検索：担当岩村）  12/9 検索エンジンを使ってみる  12/16 メディア検索を使ってみる  12/25 ウェブアプリケーションを使ってみる  1/9 検索エンジンを用いた演習.

６． WEKO コンテンツ個別登録マニュアル Version 年 9 月 16 日国立情報学研究所.

人間とコンピュータインターネット検索 11 月 10 日， 11 月 17 日， 11 月 24 日.

Internet Explorer 障害解析最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの種類と、調査のための切り分け方法を紹介します！ (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.

カーリルを利用した書籍活用 / 蔵書管理システム研究者： J0639 山中勇太指導教員：越田高志.

0 クイックスタートガイド｜管理者編スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス.

Windows Azure ハンズオントレーニング Windows Azure Web サイト入門.

Internet Explorer v7,v8 の主な機能

目次このドキュメントについて・・・前提条件……………………………………… 2

Microsoft Office 2010 クイックガイド～OneNote編～

メール暗号化：秘密鍵・公開鍵の作成　作業手順 Windows メール（Vista）.

The Enterprise-class Monitoring Solution for Everyone

４．ユーザー登録マニュアル　　　　　　　　　　　　 Version 年6月10日　国立情報学研究所.

詳細検索の方法- EBSCOhost Guided Style 検索フィールド

WagbyR6.5 Update 14 PPT版更新情報

EDC（Electronic Data Capturing）システムの紹介

ハルビン絵葉書コレクションシステムの再構築と機能追加 -サーバ側：PHPとMySQLを用いて

SOHOシステムの構築と運用東北NTユーザ会新潟勉強会資料.

コンピュータウィルスと脆弱性メディアコミュニケーション論Ⅲ 7/18/08.

受動的攻撃について Eiji James Yoshida penetration technique research site

3/4/ :37 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.

らくらく学校連絡網スライドショーで見る操作ガイド -7- 出欠確認付きメール escで中断、リターンキーで進みます

Lync 会議 Lync 会議に参加する Lync 2013 クイックリファレンス Lync 会議のスケジュール

Lync 会議 Lync 会議に参加する Lync 会議をスケジュールする会議のオプションを設定する

Moppyの会員登録、アカウント作成とアップグレード、稼ぎ方、ポイント交換方法.

Digital Network And Communication

IM、プレゼンス、連絡先 IM 要求に応答するプレゼンスを設定または変更するユーザーを検索する

前回までの配布資料（Webにないもの）：教室の後方

前回までの配布資料（Webにないもの）：教室の後方

frSIP UC Platform オートプロビジョニングの仕組み

目次 NetViewの起動……………………………………………………………… 4

James 近畿大学　理工学部情報学科　03-242　藤森浩忠.

Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.

Vulnerability of Cross-Site Scripting

IM、プレゼンス、連絡先 IM 要求を受け入れる Lync 2013 クイックリファレンスプレゼンスを設定または変更するユーザーの検索

研究基盤総合センター応用加速器部門木村博美

個体識別番号を登録しないとSNSを使えなくする

HTTPプロトコルとJSP (1) データベース論第3回.

HTTPプロトコル J2EE I 第7回 /

WebGIS自動生成システムの現状と今後の可能性

EBSCOhost 詳細検索チュートリアル support.ebsco.com.

Windows Summit /8/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.

サーバ構成と運用ここから私林がサーバ構成と運用について話します.

カムタジアスタジオで作った動画をムービーメーカーで保存して、ワードプレスにアップロードする方法.

データベース設計第９回 Webインタフェースの作成（１）

Microsoft Office 2010 クイックガイド～OneNote編～

Java ソフトウェア部品検索システム SPARS-J のためのリポジトリ自動更新機能の実現

第8章 Web技術とセキュリティ　　岡本　好未.

ＤＮＳトラフィックに着目したボット検出手法の検討

2002/7/30 ＩＥとＯＥの安全な設定中野区医師会医療情報ＮＷ委員会渡辺　正紀ＩＥとＯＥの安全な設定　　　1/25.

スマートデバイスのビジネス活用を支援する法人向けファイル共有サービス

すぐできるBOOK －基本設定編－.

Webセキュリティ情報工学専攻　1年　赤木里騎 P226~241.

G Suite導入ガイド Ver1.3.

Windows Summit /24/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.

日本郵便「Web-EDI」利用ガイド (JP EDIシステム)

情報処理概論Ⅰ 2007 第5回 2019/4/7 情報処理概論Ⅰ 第5回.

F-Secure Mobile Security Ver.17 インストールガイド V5.1

情報システム1及び演習第一回　データベースの概要.

Windows Summit 2010 © 2010 Microsoft Corporation.All rights reserved.Microsoft、Windows、Windows Vista およびその他の製品名は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

常設チャットトピックフィードを作成してアクティビティをフォローする Lync 2013 クイックリファレンス

Microsoft® Office® 2010 トレーニング

CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマバージョン対応)

地理情報コンテンツ・データベースコンテンツ新規作成

Presentation transcript:

Google 検索を利用したハッキング～ハッカーの阻止法を探して Copyright ©2004 Foundstone, Inc. All Rights Reserved George Kurtz McAfee, Inc. Senior Vice President Risk Management

「違法な手段に頼らずとも、公然と公共の情報源を利用することで、最低でも 8 割の敵に関する情報を取得することが可能である」 - アルカイダトレーニングマニュアルより

論題 Google の仕組み脅威ツール対策

Google の仕組み１． Web サーバはクエリをインデックスサーバに送信する。インデックスサーバ内のコンテンツは、本で言えば索引のようなもので、どのページに問い合わせのあった語が含まれているかを示す。 2. クエリは、実際に保存されているドキュメントを読み出すドキュメントサーバへと送られる。それぞれの検索結果を説明する情報の断片が生成される。 3. 検索結果は、ほんの数秒でユーザのもとへ返される。

Google の仕組み

特殊検索修飾子 –site (.edu,.gov, foundstone.com, usc.edu) 特定のドメインのページのみを検索 –filetype (txt, xls, mdb, pdf,.log) 特定のファイルタイプのページのみ検索 –Daterange ( ジュリアン日付形式 ) 特定の日付の範囲内でアップデートされたページを検索 –Intitle / allintitle タイトルにその語句を含むページを検索 allintitle – 「 intitle 」クエリーの文字列 –Inurl / allinurl URL にその語句を含むページを検索 allinurl – 「 inurl 」クエリーの文字列

脅威（絞り込み検索入力例） intitle:"Index of" finances.xls "Network Vulnerability Assessment Report “ / filetype:pdf "Assessment Report" nessus "not for distribution" confidential site:edu grades admin "ORA-00921: unexpected end of SQL command “ "VNC Desktop" inurl:5800 intitle:guestbook "advanced guestbook 2.2 powered “ intitle:"index of" trillian.ini

カテゴリ別脅威非公開情報ユーザ名 / パスワード設定管理 / リモート管理インターフェースエラーメッセージバックアップファイル / ログファイル公開されている脆弱性

＜例１＞ intitle:"Index of" finances.xls

＜例 2 ＞ not for distribution" confidential site:edu

＜例 3 ＞ filetype:pwd service トップページの拡張子に関するポリシーが存在しない

＜例 4 ＞ allinurl: admin mdb

＜例 5 ＞ intitle:Remote.Desktop.Web.Conne ction inurl:tsweb

＜例 6 ＞ Nessus Reports

＜例 7 ＞ filetype:bak inurl:"htaccess|passwd|shadow|htu sers"

＜例 8 ＞ "VNC Desktop" inurl:5800

＜例 9 ＞ filetype:properties inurl:db intext:password

＜例 10 ＞ filetype:properties inurl:db intext:password キャッシュされたバージョン

＜例 11 ＞ "Microsoft-IIS/6.0" intitle:index.of

ツール Web インターフェースの使用 –GooScan - Google ハッキングにおける最適なリソース Google ハッキングデータベース (GHDB) の保守管理者 –Athena Web サービス API の使用 –SiteDigger – –Wikto-

ツール - GooScan

ツール - Athena

ツール - SiteDigger 作成 : Kartik Trivedi Foundstone

ツール - SiteDigger

バージョン 2 機能 – シグネチャ提供オプション – 「 Raw （生の）」検索タブ – 検索結果の表示件数を設定可能

対策機密情報を Web 上に置かない !! どのような情報が Google で検索可能かを、定期的に評価する –robots.txt の更新 –meta-tags: NOARCHIVE の使用 –

まとめ Google は、その利用方法、および悪用する側の想像力によっては、驚異的な攻撃ツールとなり得ることを忘れてはならない … あなたの機密情報は、 Google 検索による情報漏えいの危険にさらされていませんか ??

ご静聴、ありがとうございました。