Hack the Google!

28. Oktober 2004, 11:33
5 Postings

Mit ein paar simplen Tricks lassen sich Sicherheitslücken in Webpages offenbaren - per Skript automatisiert Probleme finden

Tagtäglich senden Suchmaschinen ihre Bots aus, um alles zu indizieren, was ihnen nur irgendwie unter die elektronischen Augen kommt. Was für die Suche im Netz unerlässlich ist, kann für manche WebseitenbetreiberInnen aber negative Konsequenzen haben: Denn die Bots können dabei nicht zwischen "normalen" und - meist unbeabsichtigt öffentlichen - "sensiblen" daten unterscheiden, so landen oft Daten im Index, die als Einfallstor für AngreiferInnen dienen können.

Hack

Ein Artikel auf O'Reillys OnLamp Security Center widmet sich nun solchen als "Google Hacks" bekannt gewordenen speziellen Suchanfragen. So fördert schon die simple Suche nach dem Verzeichnis /admin einige interessante Ergebnisse zu Tage, für Angriffe - oder Spionage - auch immer relevant sind öffentlich herumliegende Statistiken.

Verräterisch

Ein Problem sind auch generische Fehlermeldung, wie sie zum Beispiel bei der Fehlfunktion einer Datenbank generiert werden, und die einiges über die Serverstruktur ausplaudern, so liefert die Suche nach "supplied argument is not a valid MySQL result resource" zahlreiche Offenbarungen. Besonders interessant für AngreiferInnen sind auch öffentlich herumliegende Fehlerreports von Spezialtools wie Nessus, was eigentlich zur Sicherung des eigenen Servers gedacht ist, kann so zum Einfallstor werden.

Automatisiert

Wem all diese Anfragen noch nicht gezielt genug sind, der kann sich mit speziellen Skripten abhelfen, so können Server mittels eines einfache PHP-Skripts wie google_vulns.php gezielt nach Problemen durchsucht werden. Für potentielle AngreiferInnen hat dies natürlich so seine Vorteile: Die Informationen können gewonnen werden, ohne dass etwas davon in den Log-Dateien des Ziel-Servers aufscheint, da die Anfragen ja nur an Google gehen. Ein weiterer guter Grund, dass AdministratorInnen solche Checks selbst regelmäßig durchführen sollten... (red)

  • Bild nicht mehr verfügbar
Share if you care.