怎样使用Google黑掉Windows服务器(2)
2008-02-23 06:48:05来源:互联网 阅读 ()
注意:Google每天最多只允许运行1,000条查询,这看起来挺多,但对于此类工具来说,很快就能够执行完毕。
·Johnny Long的Gooscan for Linux(http://johnny.ihackstuff.com/modules.php?op=modload&name=Downloads&file=index&req=viewdownload&cid=5),它能够用来在Linux下执行命令行方式的Google查询。
·Google Toolbar for Internet Explorer允许你不进入Google的首页www.google.com就能够在IE浏览器中直接输入关键词进行简单的查询。如果你是IE的反对者,还可以使用能够在Netscape或者Mozilla Firefox下执行的开放源码的Googlebar(http://googlebar.mozdev.org/)。
·GooDelete(_history.htm">http://www.dirfile.com/goodelete_history.htm)能够清理那些你不想留下的,使用Google Toolbar查询留下的,可能包含敏感信息的缓存。
另外,如果你非常热心于Google黑客行为,你的书橱中就不能少了Johnny Long撰写的,具有很高评价的《Google Hacking for Penetration Testers.》(_ihackstuff-20/102-5005443-2664941?v=glance&s=books">http://www.amazon.com/exec/obidos/tg/detail/-/1931836361/ref=ase_ihackstuff-20/102-5005443-2664941?v=glance&s=books)这本书。
用Google查询人工执行黑客测试
在上一个技巧列出的自动查询工具之外,你可能还想执行自主的人工Google查询,这里是一些我在服务器上运行过的测试,它们可以作为你的开始。
注意:事实上,你能够使用Google进行的这些查询是非常非常少的一部分,你只需将你的想像力与前述的工具结合即可,它们对你要进行的查询的数量没有限制。
·site:你的主机或者域名 需要找的关键字
这将测试搜索一个特定Internet主机或域名下的任意关键字,你可以使用如SSN、 confidential、finance、student等众多关键字。
·filetype:想要找的文件扩展名 site:你的主机或者域名
这个测试将搜索你系统中的特定文件,你可以输入任意文件扩展名,比如doc、pdf、ppt、db、dbf等,只要是你能够想像到的就行。
除非你能够确定你的信息已经泄漏到了其它网站,否则就一直使用“site:”操作符来限定你的搜索结果。使用“link:”操作符则能够搜索连接到个页面上的超链接。
如果Google返回了查询结果,但其中的链接已经成为死链,你可以点击搜索结果下面的“快照”链接进行搜索和查找。这将搜索Google的缓存,你的信息可能有存在那里的机会。同样,确定在Google Groups(网上论坛)搜索敏感信息,我曾经利用这种方法,在这里搜索到很多有用的信息。你还可以查看Interesting Google Queries(http://artkast.yak.net/81)这个网页,找到针对Microsoft的特殊Google搜索技巧。
四个步骤保护Windows数据远离Google黑客
使用适当的对策,可以帮助你将高度机密信息远离Google,不能够被Google黑客搜索到。这里有四个步骤,你可以尝试做一下:
1.巩固你的服务器,并将其与外部环境隔离
有一个很不幸的事实是,许多关键服务器仍然完全暴露在Internet上,现在请收紧你服务器的存取控制,并将其放在_blank">防火墙之后。
2.设置robots.txt文件,禁止Google索引你的网页
你能够通过设置“googlebot”的“User-agent:”参数的方法保护网络服务器的文件和目录免受Google索引,方法是在“Disallow:”部分列出你想保密的信息。
或者,如果你想所有的Web机器人都不访问你的网站和网页,就请将“User-agent:”参数设置为“*”,不过记住,怀有恶意的在网上到处闲逛的人能够从你的Web Server上得到此文件,并且看到你不想被别人看到的是哪些信息。如果这看起来像互联网的弱点,那么它就是。你可以不用robots.txt文件,但你应该允许机器人只能索引那些具体的公开页面,或者通过输入“Disallow /”禁止它们索引任何以根目录开始的信息。
请访问The Web Robots Pages(http://www.robotstxt.org/wc/robots.html)获取如何配置你的robots.txt文件和如何执行更多反机器人欺骗的信息。Google同样有一个FAQ on Googlebot’s operation(http://www.google.com/bot.html)。
3.将高度机密的信息从公众服务器上去除
制定一项组织策略用来保护高度机密的信息(例如密码、机密文件等)远离公众可以访问的服务器。否则,使用任何可能的存取控制措施来保护它们,并且确保这些策略能够被强制执行,并且管理那些违规者。
4.保证你的服务器是安全的
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
