★阿修羅♪ 現在地 HOME > 掲示板 > IT6 > 180.html
 ★阿修羅♪
次へ 前へ
あなたのWebサイトの穴をGoogleが知っている ハッカーの手口を逆手に取る【IT_Pro記事】
http://www.asyura2.com/0406/it06/msg/180.html
投稿者 クエスチョン 日時 2004 年 8 月 28 日 18:20:20:WmYnAkBebEg4M
 

あなたのWebサイトの穴をGoogleが知っている ハッカーの手口を逆手に取る【IT_Pro記事】
http://itpro.nikkeibp.co.jp/members/NT/WinSecurity/20040811/1/

(Mark Joseph Edwards)

 セキュリティに関する論文を公開しているInformation Security Writers Webというサイトが面白い論文を公開したが,その1つはDebasis Mohanty氏が書いた「Demystifying Google Hacks」(Googleハックを解析する)である(該当サイト)。

ぜい弱性のあるサイトをGoogleで探せる
 この論文は,既知の弱点を抱えたサイトを探すために,Googleで特定の検索構文を使ういくつかの方法を概説している。例えば,Googleはintitle:,inurl:,allinurl:,filetype:,intext:などのコマンドを含むクエリー構文をサポートし,これらでWebサイトのぜい弱性を調べられるのだ。Googleだけがこういったクエリー構文を利用できるようにしている検索エンジンなのではない。MSN Search,AlltheWeb,Yahoo!,そのほかも程度の差はあれ同様の構文をサポートしている。

 侵入者が検索エンジンを使っているなら,同じテクニックを使って自分のWebサイトに穴がないかどうかチェックしてみるべきだろう。Web関連の新しい弱点が公開されたときにそういう検索を繰り返すのも賢明かもしれない。その方法を,自分のシステムをスキャンするための1つの方法と考えるのだ。Webサービスをサポートするハニーポットに偽りのURLを仕掛けておいて,様々な検索エンジンにハニーポットのURLを追加することもできる。

フリーソフトを併用して効率的に調べる
 自分のWebサイトにある弱点を探すために検索エンジンを使う方法の欠点は,次々にクエリーをタイプしたりペーストしたりするのが退屈な仕事だろうということだ。明快な解決策はクエリーを記録して実際のクエリー操作と結果の収集作業を自動化するスクリプトを使うことだ。ITセキュリティ・ベンダーの米Foundstoneは,特定のサイトにある弱点をスキャンするためにGoogleを使う作業を自動化するフリーのツール「SiteDigger」を2004年5月にリリースした(該当サイト)。私は何回かSiteDiggerを使ったが,実にうまく機能する。

 Site Diggerは前もって定義された100以上のクエリー(弱点のサイン)のリストを持っており,その中であなたは単にWebサイトのアドレスを入力してGoogleへのクエリー作業を始めるためにボタンをクリックするだけでよい。クエリーが完了した後は,レポートをHTMLフォーマットで簡単に書き出せる。

 サインはXMLフォーマットで記録されているので,必要があればさらに追加したり,現在の規則をカスタマイズしたりできる。もしそうする場合,このツールはFoundstoneのWebサイトが利用可能ならそこから新しいクエリーをダウンロードするアップデート機能も備えていることにご注意いただきたい。私はそのアップデート作業がサインのファイルを完全に上書きするかどうかは確認していない。上書きしてしまう場合に備えて変更を加えたサインのコピーを保存しておくとよいだろう。
(Windows & .NET Magazine Network, (C)2004. Penton Media, Inc.)

 次へ  前へ

IT6掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。