Google,最好的入侵渗透工具?

Google 这把双刃剑快让人害怕了!Kamus 向我说起了一个网站Google Hacking Database (GHDB),用 Google 来查找”肉鸡”[我还学会了一个英文词:dork :-)]。通过 GHDB 提供的方法,定制一些特定的搜索字符串,利用 Google 就可以得到 Advisories and Vulnerabilities 、Files containing passwords 、Pages containing login portals 等涉及到网站安全的关键信息。是绝佳的渗透手段。加上前一段时间那个利用 Google 查找相关 phpBB 论坛进而攻击的”蠕虫”,看来网络安全人员还要应付一下Google才是。

ORA-00921: unexpected end of SQL command 这个居然是 GDDB 中 10个最常见项之一。

This one coughs up full web pathnames and/or php filenames.

页面错误信息类似如下:

Warning: ociexecute() [function.ociexecute]: OCIStmtExecute: ORA-00921: unexpected end of SQL command in /var/www/html/includes/db_oci8.inc on line 69

确实暴露了严重安全问题。尤其是利用 PHP 开发 Oracle 数据库应用的时候。如不加以注意,极其危险。

该站点的创建者 Johnny 著有 Google Hacking for Penetration Testers 。一本别开生面的关于Google 与网络安全的图书。

更多信息


  • http://www.8871.net/blog/default.asp 上海岁月

    GOOGLE是越来越强大!

  • spark
  • http://blog.dbanotes.net Fenng

    Spark 的站点内容不错!

  • http://www.dbanotes.net/security/2005_security_tools.html DBA notes

    2005 年度使用的几个安全工具

    今年到了新单位之后,一部分工作职责是和安全有关(到了岁末回顾一下整体安全问题做的并不尽人意呀)。所以,不可避免的要比以前多接触一些安全工具。这个