★阿修羅♪ 現在地 HOME > IT7 > 389.html
 ★阿修羅♪
次へ 前へ
ペネトレーションテスターのためのgoogleハッキング
http://www.asyura2.com/0411/it07/msg/389.html
投稿者 クエスチョン 日時 2005 年 2 月 17 日 07:48:23: WmYnAkBebEg4M
 

 確かに、消えるの早かったですね。たまたま【セキュリティーホールmemo】記事をチェックしていて面白そうなので「サイバー犯罪捜査官養成研修」プレゼン資料を印刷。その後、元資料の方をダウンロードしようとしたら既に消えてました。ものの10分くらいだったか。サ●ワとか何かと話題の官庁ですが、、。

>(追記 2/16)
>セキュリティホール memoの小島さんが、「紹介されている サイバー犯罪
>捜査官養成研修はもしかすると消えちゃうかもと思ったのでいそいで get
> しておいた。」と書いたら本当に消えてしまったので、関係の記述を削
>除。
>
>・・・でもgoogleの検索画面までは消せませんから。残念〜っ!

********************************************************************************

ペネトレーションテスターのためのgoogleハッキング
http://motivate.jp/archives/2005/02/google.html

【書籍紹介:Google Hacking for Penetration Testers】

 強力なサーチエンジンGoogleはセキュリティ監査を行ったり漏洩した情報やフィッシングサイトを探す場合においても有効なツールとして利用することができる。googleの検索画面に、ちょっと工夫をしたクエリーを入力するだけで、危険なバージョンのWebアプリケーション、不用意に公開されているパスワード情報、漏洩した個人情報などを発見することができる。

 これまでもこのような検索テクニックは様々なサイトで断片的に公開されていたが、本書は情報セキュリティの観点からgoogleを活用するためのテクニックや考え方を網羅的に整理し解説している。

 検索で利用できるオペレータと文法に始まり、脆弱なアプリケーションや、名簿、メールアドレス、パスワードなどの効果的な検索要領、サイト側で googleによる検索を制限する方法、googleAPIを用いたプログラムなどが紹介されている。本書で紹介されているようなクエリの例を以下に示す。その他の検索例についてはこちらを参照されたい。

・C言語によるexploitコードの検索:「 "#include " "Usage" exploit 」

・Unixにおけるpasswdファイルの検索:「 intitle:"index of..etc" passwd 」

・MS Frontpageのパスワードファイルの検索:「 "# -FrontPage-" inurl:service.pwd 」

 セキュリティ監査等の情報収集の段階においてgoogleが利用されることは少なくないと思うが、本書を通して読むことでサーチエンジンにより検証可能な項目を俯瞰することができる。また、様々なクエリを実際に試して体験してみることでその背景にある考え方を理解し、様々な場面でgoogleを有効利用するセンスを磨くことができると思われる。

 著者らは現在、Google Hackに対する対抗手段としてサーチエンジンを用いたハッキングに対するハニーポットであるGoogle Hack Honeypot v1.0を、オープンソースプロジェクトとして開発を行っている。

 このエントリを書くにあたり"google hacking penetration"をキーワードとして日本語のページを検索したところ、××××(サイトコンテンツが削除されたので人名を削除2/16)という人物が××庁(削除2/16)に対して行ったと思われる「サイバー犯罪捜査官養成研修」(リンク削除2/16)という資料が公開されているのを発見した。今回紹介した書籍とほぼ同様の内容がまとめられたものなのだが、もし仮に××庁(削除2/16)の許可を得ずに公開されているとすると、このようなクライアントに関わる情報を公開するのはどうかと思う。当然業務に関する秘密ではないとしても、どのような研修を受けているかなどは見方により重要な意味を持つ。
(結果的に、このような検索もまたgoogleを用いた情報セキュリティ検証の例だったりする。)

(追記 2/16)
セキュリティホール memoの小島さんが、「紹介されている サイバー犯罪捜査官養成研修はもしかすると消えちゃうかもと思ったのでいそいで get しておいた。」と書いたら本当に消えてしまったので、関係の記述を削除。

・・・でもgoogleの検索画面までは消せませんから。残念〜っ!

【参考情報】
■Google Hacking Database (Johnny Long)
http://johnny.ihackstuff.com/index.php?module=prodreviews
本書で紹介されているのと同様の様々なクエリが登録されている。

■Google Hack Honeypot(GHH Team)
http://ghh.sourceforge.net/

■サイバー犯罪捜査官養成研修(××××)(人名およびリンク削除2/16)
http://www.×××××.net/presentations/JapEng_xxx_google_E&J.pdf

■Google Hacking For Penetration Testers(Syngress Media Inc)
JOHNNY LONG (著), Ed Skoudis (著)
価格: ¥3,508 (税込:'05/2/16現在)
1931836361.01.MZZZZZZZ.jpg
注)画像へはAmazonアソシエイトプログラムのリンクを設定しています。
Posted by keiji at 2005年02月16日 09:31 | コメント (0) | トラックバック (0)

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。