Google 这把双刃剑快让人害怕了!Kamus 向我说起了一个网站Google Hacking Database (GHDB),用 Google 来查找”肉鸡”[我还学会了一个英文词:dork :-)]。通过 GHDB 提供的方法,定制一些特定的搜索字符串,利用 Google 就可以得到 Advisories and Vulnerabilities 、Files containing passwords 、Pages containing login portals 等涉及到网站安全的关键信息。是绝佳的渗透手段。加上前一段时间那个利用 Google 查找相关 phpBB 论坛进而攻击的”蠕虫”,看来网络安全人员还要应付一下Google才是。
ORA-00921: unexpected end of SQL command 这个居然是 GDDB 中 10个最常见项之一。
This one coughs up full web pathnames and/or php filenames.
页面错误信息类似如下:
Warning: ociexecute() [function.ociexecute]: OCIStmtExecute: ORA-00921: unexpected end of SQL command in /var/www/html/includes/db_oci8.inc on line 69
确实暴露了严重安全问题。尤其是利用 PHP 开发 Oracle 数据库应用的时候。如不加以注意,极其危险。
该站点的创建者 Johnny 著有 Google Hacking for Penetration Testers 。一本别开生面的关于Google 与网络安全的图书。
更多信息
- Google与渗透
- Google attacks (PDF)
- You found that on google ? (PDF)