Download presentation
Presentation is loading. Please wait.
Published byなぎさ さわまつ Modified 約 8 年前
1
Google 検索を利用したハッキ ング ~ハッカーの阻止法を探して Copyright ©2004 Foundstone, Inc. All Rights Reserved George Kurtz McAfee, Inc. Senior Vice President Risk Management
2
「違法な手段に頼らずとも、公然と公共の 情報源を利用することで、最低でも 8 割の 敵に関する情報を取得することが可能で ある」 - アルカイダ トレーニング マニュアル より
3
論題 Google の仕組み 脅威 ツール 対策
4
Google の仕組み 1. Web サーバはクエリをインデックスサーバに送信 する。インデックスサーバ内のコンテンツは、本で言 えば索引のようなもので、どのページに問い合わせの あった語が含まれているかを示す。 2. クエリは、実際に保存されている ドキュメントを読み出すドキュメン ト サーバへと送られる。それぞれの 検索結果を説明する情報の断片が生 成される。 3. 検索結果は、ほんの 数秒でユーザのもとへ 返される。
5
Google の仕組み
6
特殊検索修飾子 –site (.edu,.gov, foundstone.com, usc.edu) 特定のドメインのページのみを検索 –filetype (txt, xls, mdb, pdf,.log) 特定のファイルタイプのページのみ検索 –Daterange ( ジュリアン日付形式 ) 特定の日付の範囲内でアップデートされたページ を検索 –Intitle / allintitle タイトルにその語句を含むページを検索 allintitle – 「 intitle 」クエリーの文字列 –Inurl / allinurl URL にその語句を含むページを検索 allinurl – 「 inurl 」クエリーの文字列
7
脅威(絞り込み検索 入力例) intitle:"Index of" finances.xls "Network Vulnerability Assessment Report “ / filetype:pdf "Assessment Report" nessus "not for distribution" confidential site:edu grades admin "ORA-00921: unexpected end of SQL command “ "VNC Desktop" inurl:5800 intitle:guestbook "advanced guestbook 2.2 powered “ intitle:"index of" trillian.ini
8
カテゴリ別脅威 非公開情報 ユーザ名 / パスワード 設定管理 / リモート管理インターフェース エラー メッセージ バックアップ ファイル / ログ ファイル 公開されている脆弱性
9
<例1> intitle:"Index of" finances.xls
10
<例 2 > not for distribution" confidential site:edu
11
<例 3 > filetype:pwd service トップページの拡張子に関するポリ シーが存在しない
12
<例 4 > allinurl: admin mdb
13
<例 5 > intitle:Remote.Desktop.Web.Conne ction inurl:tsweb
14
<例 6 > Nessus Reports
15
<例 7 > filetype:bak inurl:"htaccess|passwd|shadow|htu sers"
16
<例 8 > "VNC Desktop" inurl:5800
17
<例 9 > filetype:properties inurl:db intext:password
18
<例 10 > filetype:properties inurl:db intext:password キャッシュされたバージョ ン
19
<例 11 > "Microsoft-IIS/6.0" intitle:index.of
20
ツール Web インターフェースの使用 –GooScan - http://johnny.ihackstuff.comhttp://johnny.ihackstuff.com Google ハッキングにおける最適なリソース Google ハッキング データベース (GHDB) の保守管理者 –Athena Web サービス API の使用 –SiteDigger – www.foundstone.comwww.foundstone.com –Wikto- www.sensepost.com
21
ツール - GooScan
22
ツール - Athena
23
ツール - SiteDigger 作成 : Kartik Trivedi Foundstone
24
ツール - SiteDigger
25
バージョン 2 機能 – シグネチャ提供オプション – 「 Raw (生の)」 検索タブ – 検索結果の表示件数を設定可能
26
対策 機密情報を Web 上に置かない !! どのような情報が Google で検索可能かを、 定期的に評価する –robots.txt の更新 –meta-tags: NOARCHIVE の使用 –http://www.google.com/remove.htmlhttp://www.google.com/remove.html
27
まとめ Google は、その利用方法、および悪用する側 の想像力によっては、驚異的な攻撃ツールとな り得ることを忘れてはならない … あなたの機密情報は、 Google 検索による情 報漏えいの危険にさらされていませんか ??
28
ご静聴、ありがとうございました。 george.kurtz@foundstone.com
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.