Googleの検索キーワードを工夫すると、サイトの持ち主が意図していなかった隠れたデータを探せる、というのはたびたび話題になる。
Googleを使ってサイトのセキュリティテストをするという著書もあるJohnny Long氏による、既知のそういったキーワードのデータベース Google Hacking Database のURLが変更されたようだ。(データの更新は2006年で止まったままのようだが)
いろいろなカテゴリーの検索キーワードがある。いくつかカテゴリーを紹介すると
- すでに知られているセキュリティホールで放置されているものを探す
- エラーメッセージに出さなくてもいい情報まで表示されているものを探す
- 重要な情報、ユーザ名、パスワードなどを検索する
- 商品やオープンソースアプリのログイン画面を検索する
- ファイアウォールやサーバのログファイルを探す
- プライバシー情報、顧客リストなどを探す
- ネットに接続しているプリンターやカメラなどのハードウェアを探す
などなど。それぞれのカテゴリに大量の実例が載っていて、これらの検索キーワードを考案した人たちのアイデアの豊かさには驚かされる。大量にありすぎて、わが身を振り返ってチェックするのはたいへんだが、勉強になることは間違いない。
[GHDBについて過去に日本語で解説されているページ]
「Google Hacking Database – ハック向けGoogleキーワード集」への2件の返信
・サイボウズが導入されているサーバを探す
/cgi-bin/cbag/ag.cgi
ログイン認証画面のユーザー名プルダウンは個人情報を外部に晒されるのでおすすめできない
利便性とのトレードオフといったところか
そうですね。設定でユーザ名もタイプするようにできるので、インターネットに晒すのであればそちらを使うべきでしょう。