« 楽器を置くだけの音楽演奏flash | メイン | 継続は力なり、な家族写真 »
2007年03月16日
Google Hacking Database - ハック向けGoogleキーワード集
Googleの検索キーワードを工夫すると、サイトの持ち主が意図していなかった隠れたデータを探せる、というのはたびたび話題になる。
Googleを使ってサイトのセキュリティテストをするという著書もあるJohnny Long氏による、既知のそういったキーワードのデータベース Google Hacking Database のURLが変更されたようだ。(データの更新は2006年で止まったままのようだが)
いろいろなカテゴリーの検索キーワードがある。いくつかカテゴリーを紹介すると
- すでに知られているセキュリティホールで放置されているものを探す
- エラーメッセージに出さなくてもいい情報まで表示されているものを探す
- 重要な情報、ユーザ名、パスワードなどを検索する
- 商品やオープンソースアプリのログイン画面を検索する
- ファイアウォールやサーバのログファイルを探す
- プライバシー情報、顧客リストなどを探す
- ネットに接続しているプリンターやカメラなどのハードウェアを探す
などなど。それぞれのカテゴリに大量の実例が載っていて、これらの検索キーワードを考案した人たちのアイデアの豊かさには驚かされる。大量にありすぎて、わが身を振り返ってチェックするのはたいへんだが、勉強になることは間違いない。
[GHDBについて過去に日本語で解説されているページ]
Geekなページ: クラッカーがGoogleを使って脆弱なサイトを探す方法の例
投稿者 秋元 : 2007年03月16日 10:21
トラックバック
このエントリーのトラックバックURL:
http://labs.cybozu.co.jp/cgi-bin/mt-admin/mt-tbp.cgi/1140
コメント
・サイボウズが導入されているサーバを探す
/cgi-bin/cbag/ag.cgi
ログイン認証画面のユーザー名プルダウンは個人情報を外部に晒されるのでおすすめできない
利便性とのトレードオフといったところか
投稿者 Anonymous : 2007年03月16日 13:35
そうですね。設定でユーザ名もタイプするようにできるので、インターネットに晒すのであればそちらを使うべきでしょう。
投稿者 秋元 : 2007年03月19日 11:40
