Google 这把双刃剑快让人害怕了!Kamus 向我说起了一个网站Google Hacking Database (GHDB),用 Google 来查找”肉鸡”[我还学会了一个英文词:dork :-)]。通过 GHDB 提供的方法,定制一些特定的搜索字符串,利用 Google 就可以得到 Advisories and Vulnerabilities 、Files containing passwords 、Pages containing login portals 等涉及到网站安全的关键信息。是绝佳的渗透手段。加上前一段时间那个利用 Google 查找相关 phpBB 论坛进而攻击的”蠕虫”,看来网络安全人员还要应付一下Google才是。
ORA-00921: unexpected end of SQL command 这个居然是 GDDB 中 10个最常见项之一。
This one coughs up full web pathnames and/or php filenames.
页面错误信息类似如下:
Warning: ociexecute() [function.ociexecute]: OCIStmtExecute: ORA-00921: unexpected end of SQL command in /var/www/html/includes/db_oci8.inc on line 69
确实暴露了严重安全问题。尤其是利用 PHP 开发 Oracle 数据库应用的时候。如不加以注意,极其危险。
该站点的创建者 Johnny 著有 Google Hacking for Penetration Testers 。一本别开生面的关于Google 与网络安全的图书。
更多信息
- Google与渗透
- Google attacks (PDF)
- You found that on google ? (PDF)
GOOGLE是越来越强大!
About Google Hacking:
http://worm.ccert.edu.cn/spark/index.cgi?action=search&search=GoogleHacking
Spark 的站点内容不错!
2005 年度使用的几个安全工具
今年到了新单位之后,一部分工作职责是和安全有关(到了岁末回顾一下整体安全问题做的并不尽人意呀)。所以,不可避免的要比以前多接触一些安全工具。这个