- Stahuj zápisky z přednášek a ostatní studijní materiály
- Zapisuj si jen kvalitní vyučující (obsáhlá databáze referencí)
- Nastav si své předměty a buď stále v obraze
- Zapoj se svojí aktivitou do soutěže o ceny
- Založ si svůj profil, aby tě tví spolužáci mohli najít
- Najdi své přátele podle místa kde bydlíš nebo školy kterou studuješ
- Diskutuj ve skupinách o tématech, které tě zajímají
Studijní materiály
Hromadně přidat materiály
Google hacking
KIB - Kryptografie a informační zabezpečenost
Hodnocení materiálu:
Zjednodušená ukázka:
Stáhnout celý tento materiálútokom efektívne brániť.
Gogle Hacking Kryptografia a informačná bezpečnosť
- 4 -
2. Gogle Hacking
Google Hacking je termín odkazujúci na vytváranie komplexných požiadaviek
(queries) pre vyhľadávač s cieľom filtrovať veľké množstvo výsledkov pre informácie
súvisiace s počitáčovou bezpečnosťou. Tie potom slúžia k nájdeniu zraniteľných
stránok, ako aj súkromných a citlivých informácií ako sú čísla kreditných kariet, heslá a
pod. Hľadanie sa uskutošnuje pomocou špeciálnych operátorov a aj keď Google bol
prvotným útočiskom pre túto metódu v súčastnosti sa dá použiť aj v ostatných
vyhľadávačoch ako Yahoo, Live a pod.
2.1 Directory Listing
Alebo prehľadávanie adresárov. Táto triviálna chyba zapezpečnia servera, možno
nepatrí k tým najhorším, ale každopádne útočnikovi prinesie prehľad o hierarchii
servera a prístup k súborom, ktoré by mu mohli pomôcť pri ďalšom útoku. Tiež sa
využíva pri hľadaní hudby a videa aj keď na to sú už oveľa lepšie metódy, ktoré
spomeniem neskôr. A aj keď sa dostaneme k zoznamu súborou, ak ide o aktuálne
konfiguračné súbory, väčšinou ide o súbory s príponou .php, .asp, .pl a tie sa spúštajú na
strane servera, čiže okrem niekoľkých chybných hlášok veľa vody nezamútia.
2.1.1 Príklad: intitle:"Index.of.inc" .txt site:sk
Príkladov na directory listing by sa dalo uviesť nespočetene, veď stačí zadať
. Ja som
vybral ako príklad upravenú požiadavku, ktorá hľadá len na .sk doméne a len .txt
súbory. Tu už tých výsledkov nie je toľko a najzaujmavejší je tretí kde nájdeme súbor
s názvom ftp.txt a v ňom heslá na dva FTP servery.
2.1.2 Ochrana: httpd.conf, robots.txt, .htaccess
Najlepším spôsobom je spravne nastavenia web servera a zbytočne DirectoryListing
nepovolovať. Ak je to však potrebné, potom použiť aspoň robots.txt, ktorý zabráni
indexovaniu vybratých zložiek, alebo .htaccess a povoliť prístup len vybratím
užívateľom.
Gogle Hacking Kryptografia a informačná bezpečnosť
- 5 -
2.2 On-line zariadenia (tlačiarne, kamery..)
Pretože http protokol je skvelá a hlavne jednoduchá voľba pre správu rôznych
zariadení do siete, nie je problém pomocou Googlu nájsť mnoho týchto zariadení. Či už
sú to kamery, tlačiarne alebo routre, ich webové rozhrania obsahujú špecifické frázy a
URL, ktoré ich okamžite prezradia.
2.2.1 Príklad: Kamery, tlačiarne...
Tabulka 8.10 v knihe Google Hacking For Penetration Testeres, poskytuje zoznam
najpoužívanješích zariadení, ktoré použivajú webové rozhranie na svoju správu. Žial po
preskúšaní všetkých na .sk a .cz doméne sa nenašla ani jedna, čo je skôr dôsledok, že
tieto zariadnia nejdú cez DNS, ale sú priamo na IP, a preto niekoľko príkladov zo sveta.
Kamery
inurl:"ViewerFrame?Mode="
http://www.cherrytreeinn.com:8080/ViewerFrame?Mode=Motion&Language=0
Tlačiarne
intitle:RICOH intitle:”Network Administration”
http://128.118.82.215/
2.2.2 Ochrana
Tieto zariadenia väčšinou obsahujú svoj „web server“ a puživajú mod_auth na
zabespečnie. Hlavnou chybou býva ponechanie predvolených hodnôt (admin:admin...),
resp. jeho vynechanie. Tým sa zariadenie stáva prístupne.
Gogle Hacking Kryptografia a informačná bezpečnosť
- 6 -
2.3 Kreditné karty
Vyhľadávanie čisiel kreditných kariet spomeniem len okrajovo. Na jednej stranke je
samotné číslo kreditnej karty nepoužiteľné a na strane druhej aj Google sa proti takýmto
požiadavkám bráni. Ale. Stačí trochu poupraviť požiadavku a...
2.3.1 Príklad: visa: 4407000000000000..4407999999999999
2.3.2 Príklad: visa "400.499 200.300 100.99"
filetype:txt
Pri prvom zadaní tohto query mi na prvej stránke nabehol aj odkaz na tento súbor.
Po obnovení stránky už ale medzi výsledkami nebol. Ide zrejme o záznam pishingu,
pretože okrem čísel kreditných kariet, CVC kódov, dátumov platnosti sa v ňom
nachádzajú aj osobné údaje a heslá. Súbor je z Apríla tohto roku, čiže údaje by mali byť
stále funkčné... neskúšal som.
Gogle Hacking Kryptografia a informačná bezpečnosť
- 7 -
2.3.3 Ochrana
V tomto prípade je ochrana na pleciach samotných užívateľov. Väčšina údajov tohto
typu pochádza z phissingu,
Gogle Hac
Vloženo: 26.04.2009
Velikost: 2,44 MB
Komentáře
Tento materiál neobsahuje žádné komentáře.
Copyright 2024 unium.cz