McAfee推出「Google攻擊」搜尋工具

留下回應

分享

    

藉由向Google的網路資料庫發送指定的搜索請求，SiteDigger 2.0可尋找有關網站安全方面的訊息，也就是所謂的「Google攻擊」（Google hacking）──這是一種很容易被駭客用來找到機密資料（如信用卡號碼、用戶帳戶資料）及公司漏洞的一種搜尋方式。

McAfee全球專業服務副總裁Chris Prosise表示，這一種免費服務將使網站管理員知道與他們網站相關的哪些資訊被Google「掌握」了。他表示，SiteDigger 2.0是一款警報工具，它能夠收集網站管理員尚不知道的問題。「身為受害者，你卻從來就不知道有人在用你的資料。」

SiteDigger無法知道使用它的人是獲得授權的管理人員，還是正在尋找安全漏洞的駭客。Chris承認，這意味著該工具可能會被用來對網站發動進攻，但他指出，Google要求使用其自動服務的用戶簽署Web服務開發計畫。

最近爆發的Santy 蠕蟲病毒利用Google的搜尋功能發現存在漏洞的電腦，進行傳播。其他研究機構也開發了數款利用Google的資料庫搜尋漏洞的工具。

「Google Hacking for Penetration Testers」一書的作者，Computer Sciences的資深工程師Johnny Long表示，這些工具是Web網站管理員保證網站安全所必需的。他說，不使用自動化的工具，安全團隊不可能對Google上的資料進行處理。Johnny所管理的網站就包括了能夠使用Google搜尋的800多個常見安全問題的特徵。SiteDigger和其他工具都使用這些特徵尋找可能存在的問題。

儘管強調SiteDigger將有助於配備專門安全人員的網站的安全，但Johnny承認，在打擊潛在的駭客方面，對安全不太在意的網站處於劣勢。他說，網站規模越小，越應當擔心安全問題。