Professional Documents
Culture Documents
Nabídne vám
různé možnosti vyhledávání. Prohledává web, obrázky, skupiny a adresář. Tyto možnosti
poskytují spoustu výhod pro snadné surfování na internetu, ale dovolují i daleko více
nečistých možností zcela zlomyslným internetovým uživatelům jako hackerům, počítačovým
zločincům, zlodějům identit a dokonce i teroristům.
Tento dokument poukazuje na černé stránky vyhledávače Google s tím, že bychom pro něj
společně mohli používat termín "Google hacking". Cílem tohoto dokumentu je vést webové
administrátory a jiné lidi zabývající se bezpečností na síti v naději v lepší utěsnění děr, jimiž
touto cestou prosakují informace.
Záložky z této nabídky umožňují na Internetu prohledávat buďto webové stránky, fotogalerie,
zprávy diskusních skupin nebo adresářový seznam Google.
Tato oblast je umístěna hned pod výše zmíněnou nabídkou. Tato textová oblast umožňuje
uživatelům zadat dotaz pro vyhledávání. Pravidla pro psaní těchto dotazů budou popsána
později.
Toto tlačítko předá dotaz zadaný uživatelem k vyhledání. V mnoha prohlížečích stačí
stisknout klávesu ENTER pro aktivaci tohoto tlačítka, po napsání dotazu.
Namísto seznamu nalezených stránek nám stisk tohoto tlačítka zobrazí rovnou stránku s
největším rankem pro hledaný výraz. Častokrát tato stránka nanejvýš odpovídá naší představě.
-Pokročilé vyhledávání
Tento odkaz zavede uživatele na stránku pokročilého vyhledávání. Mnoho z funkcí
pokročilého vyhledávání je z této stránky dostupných, avšak některé pokročilé vyhledávací
prvky na této stránce nenajdeme.
-Nastavení
Tento odkaz uživatele zavede na možnost nastavení několika parametrů. Tyto jsou uloženy v
cookies na uživatelově počítači pro příští použití. Nastavit zde můžeme rodný jazyk, různé
filtry, množství jednotlivých výsledků zobrazených na stránce a upřesnit rozlišení obrazovky.
-Výběr jazyka
Nejvyšší řádka výpisu je přehled o výsledku hledání. Zde uvedená čísla nás informují o počtu
nalezených výsledků, o číslech právě zobrazených záznamů a o čase, který náš dotaz
vyžadoval pro své vyřízení.
-Archiv
Tento odkaz tě zavede na kopii webové stránky, kterou si vytvořil Google. Tato vlastnost
Google je velice praktická pokud byla webová stránka změněna nebo dokonce odstraněna.
Další výhodou této vlastnosti je anonymita, které se budeme věnovat později.
-Podobné stránky
Tento odkaz ti předhodí stránky, které má Google zařazené pod stejnou kategorií ve svém
adresáři.
-Sponzorované odkazy
Odkazy v tomto sloupci si zaplatili jednotlivý inzerenti. Také tyto odkazy by však měli
odpovídat tvému požadavku.
Za určitých okolností se může stát, že Google vygeneruje stránku, na které se nám Google
pokouší sdělit, že nenašel žádný odpovídající záznam. Zkus překontrolovat nebo pozměnit
svůj dotaz.
Kromě stránky, která nás informuje o nenalezení žádných výsledků může nastat ještě případ,
kdy se nám objeví velmi strohá stránka, ketrá nás informuje o tom, že jsme odeslali prázdný
dotaz. Zřejmě došlo ke stisku klávesy ENTER dříve než byl zadán hledaný výraz do
správného políčka.
Existuje ještě daleko více vyhledávacích funkcí Googlu, které v tomto článku nejsou popsány.
Teď se však podíváme na ty základní.
Základní vyhledávání Google, které teď popíši se skládá z jednoho nebo více slov zadaných
volně do vstupního pole.
Například:
máslo
zdravé máslo
zdravé máslo rama
‚+'
Když zadáte několik slov, která chcete vyhledat ,Google automaticky zkouší najít všechna
obsažená slova s použitím Boolean operátoru ‚AND'. Některé vyhledávací nástroje mohou
používat k označení Boolean operátoru ‚AND' znaménko plus(+). Google však používá
znaménko plus(+) v jiném významu, který bude popsán o trochu níže.
Když Google přijme základní vyhledávací dotaz tak ten může obsahovat i velmi běžná slova
jako: ‚then' ‚how' nebo ‚where'. Tyto slova budou častokrát z dotazu vypuštěna.
Pokud chceme Google donutit aby tato běžná slova také zahrnul do dotazu předcházíme toto
běžné slovo znaménkem plus(+). Nepoužívejte mezeru mezi znaménkem plus a hledaným
slovem.
Například následující dotazy mají poněkud odlišné výsledky:
where quick brown fox
+where quick brown fox
Operátor (+) může být také použit v pokročilých Google dotazech jak bude popsáno níže.
‚-'
K vyloučení slova z vyhledávání prostě umístíme znaménko mínus(-) před slovo, které
chceme z výsledků vypustit. Google pak nebude stránky na niž se toto slovo vyskytuje
vyhledávat.
Například následující dotazy mají poněkud odlišné výsledky:
quick brown fox
quick -brown fox
Operátor (-) může být také použit v pokročilých Google dotazech jak bude popsáno níže.
Vyhledávání frází
Google umožňuje použití určitých operátorů k získání přesnějších výsledků. Užití těchto
pokročilých operátorů je velice jednoduché, když je věnována velká pozornost na syntax.
Základní formát je: Operátor:termín
Upozorňuji, že není mezera mezi operátorem, dvojtečkou a termínem. V opačném případě
Google nepodá správné výsledky.
Některé pokročilé operátory mohou být použity jako samostatně stojící dotazy.
Například: cache:www.google.com
můžete odeslat Googlu jako správně podaný dotaz
Jiné naopak musí být použity společně s hledaným výrazem.
Například: site:www.google.com help
Pozn. V dalším textu bude ukázáno, že operátor site lze použít i bez hledaného výrazu
site: Vyhledá zadaný výraz pouze v uvedené síti
filetype: Vyhledá výraz pouze v dokumentech tohoto typu
link: Vyhledá stránky, které se odkazují na zadanou stránku
cache: Zobrazí danou stránku z cache Google
intitle: Vyhledá stránky jenž mají daný výraz ve svém titulku
inurl: Vyhledá stránky jenž mají daný výraz ve svém URL
Pokročilý uživatel Google častokrát přeskočí vyhledávací proces užitím Google toolbaru
(nebylo zde probíráno) nebo převezme plnou kontrolu užitím Google URL.
Vezmeme například URL vygenerované webovým prohlížečem pro slovo ‚sardine':
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=sardine
Zaprvé si všimněme, že základ URL pro vyhledávání Googlem je
http://www.google.com/search. Otazník označuje konec URL a začátek argumentů pro
vyhledávací program. Symbol ‚&' odděluje argumenty. URL zobrazené uživateli se může
měnit podle mnoha vstupujících faktorů (rodný jazyk uživatele, atd.) Argumenty pro
vyhledávací program Google jsou dobře zdokumentovány na http://www.google.com/apis.
Google (a jiné programy založené na webu) musí kódovat speciální znaky obsažené v URL
jako hexadecimální čísla, která předchází znak procento(%) a to z toho důvodu aby byly
srozumitelné pro standart HTTP URL. Pokud například chceme najít frázy "The quick brown
fox" musíme věnovat zvýšenou pozornost uvozovkám a výsledné URL pak vypadá takto:
http://www.google.com/search?q=%22+the+quick+brown+fox+%22
V tomto případě jsou dvojité uvozovkyzobrazeny jako ‚%22' a mezery jsou nahrazeny
znakem plus(+).
Pokud jsou často užívaná slova uzavřena společně s frází v uvozovkách, potom je Google z
hledané fráze nevyloučí.
Operátor ‚site' může být použit pro rozšířené hledání v rámci domény.
Například: site:gov secret
Tento dotaz prohledá stránky v doméně ‚gov' na slovo ‚secret'. Poznamenávám, že operátor
‚site' prochází síť odzadu.
Google tedy předpokládá použití operátoru ‚site' takto:
site:www.cia.gov
site:cia.gov
site:gov
Naopak Google nenalezne požadované výsledky pokud bude operátor ‚site' použit nějak
takto:
site:www.cia
site:www
site:cia
Důvod je jednoduchý ‚cia' a ‚www' nejsou platná doménová jména nejvyšší úrovně. Proto si
zapamatujte, že internetová jména adres nemohou končit ‚cia, www', apd.
Ovšem zaslání takovýchto neočekávaných dotazů je součástí vhodných Google hackerských
technik, které probereme v kapitole ‚googleturds'.
Zjistit verzi software webového serveru, který běží na serveru je jedna část informací
důležitých pro útočníka před provedením úspěšného útoku proti tomuto webovému serveru.
Útočník může tuto informaci získat třeba z http hlavičky pokud navštíví tento server. Je však
rozumné nevstupovat do tohoto teritoria a zmiňovanou verzi si zjistit jiným způsobem bez
přímého spojení s cílovým serverem. Jedna z metod k získání této informace je přes výpisy
adresáře (pokud jsou povoleny).
Na spodní řádce typického výpisu je uvedena právě tato informace.
Poznamenávám, že výpis adresáře obsahuje jméno a verzi serverového software. Znalý
webový administrátor však může tuto informaci změnit aby zmátl útočníka, ale většinou je
tato informace pravdivá.
Dejme tomu, že se útočník rozhodne zaútočit proti webovému serveru.
Může k tomu pak použít dotazy z následujících příkladů:
intitle:index.of server.at
Tento dotaz vyhledá termín "index of" v titulcích a "server at" v obsahu stránek. Tento typ
dotazu může být navíc zaměřen jen na určitou síť.
intitle:index.of server.at site:aol.com
Výsledek tohoto dotazu ukazuje, že gprojects.web.aol.com a vidup-r1.blue.aol.com běží na
webovém serveru Apache.
intitle:index.of server.at site:apple.com
Výsledek tohoto dotazu ukazuje server mirror.apple.com také s běžícím webovým serverem
Apache.
Tato technika může být použita i k vyhledání serverů běžících s patřičnou verzí webového
serveru.
Například: intitle:index.of "Apache/1.3.0 Server at"
Tento dotaz vyhledá servery s povoleným výpisem adresářů na nichž běží Apache verze 1.3.0
Jak může být tato technika použita
Tato technika je poněkud limitována faktem, že cíl musí mít nejméně jednu stránku, která
vytváří výpis adresáře a tento výpis musí obsahovat poznámku o verzi webového serveru dole
na stránce.
Existují i více pokročilé techniky, které mohou být použity pokud výpisy adresáře nejsou
označeny poznámkou o verzi webového serveru. Tato technika zapojuje analýzu hlaviček,
titulků a celkového vzhledu výpisů. Srovnáním známých formátů s cílovým formátem výpisu
adresáře je znalý Google hacker obvykle schopen určit verzi serveru poměrně rychle. Bohužel
některé servery, povolující výpis adresáře úmyslně, mívají vytvořen vlastní vzhled stránek pro
toto procházení adresáři. Tvorbu některých těchto výpisů nemá na starosti webový server, jak
bývá zvykem, ale místo toho spoléhají na software třetí strany.
Bez ohledu na to jak pravděpodobné je určení verze webového serveru užitím této specifické
techniky mohou jí hackeři (především znetvořovači webů) použít k získání potenciálních cílů.
Pokud hacker vlastní nějaký exploit, který je určen dejme tomu proti Apache 1.3.0 může
rychle nalézt Googlem oběti pomocí tohoto dotazu: intitle:index.of "Apache/1.3.0 Server at".
Tento dotaz pak vrátí seznam serverů, které povolují procházet adresáře a na spodním řádku
výpisu mají tag s "Apache 1.3.0 Server". Tato technika může být použita proti jakémukoliv
webovému serveru, který uvádí svoji verzi ve výpisu adresáře. Útočníci vědí jak sílu tohoto
tagu využít.
Tato technika, založená na existenci defaultních stránek, je také vhodná pro zjištění verze
webového serveru. Když je webový server instalován je obdařen defaultními stránkami,
například Apache.
Tyto stránky slouží webovým administrátorům k rozběhnutí webových serverů a k jejich
snadnému otestování. Administrátor se prostě spojí na tento webový server a hned si pomocí
těchto stránek ověří jestli je nainstalován správně. Některé operační systémy mají
nainstalován webový server implicitně. V tomto případě si ani nemusí internetový uživatel
uvědomit, že na jeho počítači tento webový server běží. Tento typ nedbalého chování vede
útočníka ke správnému předpokladu, že webový server není často aktualizován a je tudíž
nechráněný. Z tohoto nastavení může také útočník předpokládat, že bude zranitelný i celý
operační systém zanedbáním údržby.
V případě webových serverů založených na bázi microsoftu není tato technika vhodná pouze
k určení webového serveru, ale i celého operačního systému a verzí servisních patchů.
Tato informace je neocenitelná pro útočníka zběhlém v hackingu nejen webových serverů, ale
i operačních systémů. V případech kdy má útočník pod kontrolou celý operační systém může
napáchat mnohem více škody než když ovládá pouze webový server.
Jiná metoda určení verze serveru spočívá na hledání manuálů, stránek nápovědy nebo
vzorových programů, které bývají defaultně instalovány na webových serverech.
Mnoho těchto serverů je distribuováno s instalací manuálů a vzorových programů ve
standartním umístění. Za léta mají hackeři najitých mnoho těchto defautních cest k získání
privilegovaného přístupu na webový server. Přestože distributoři webových serverů naléhají
aby administrátoři po instalaci webových serverů odstranili tyto vzorové programy před
zpřístupněním serveru na internetu, uživatelé často těchto rad nedbají. Pouhá existence těchto
programů v počítači může pomoci určit typ webového serveru a jeho verzi.
‚CGI scanner' nebo ‚web scanner' jsou jedny z nejdůležitějších nástrojů ve světě WWW
hackingu. Nemilosrdně vyhledávají zranitelné programy na servereh. Scannery nám pomůžou
přesně určit potenciální cesty k útoku. Tyto programy jsou neobyčejně jednoduché, výkonné a
celkem přesné. Ovšem znalý Google hacker zná důvtipnější a zajímavější cesty jak tento úkol
vyřešit.
Scannery prochází servery a vyhledávají na nich zranitelné soubory nebo adresáře, které
mohou obsahovat vzorový kód či jiné zranitelné soubory. Aby scannery mohli určit, který
soubor je potenciálně nebezpečný jsou vytvořeny soupisy zranitelných míst, které jsou
uloženy v souborech podobných tomuto:
/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi
/iissamples/ISSamples/SQLQHit.asp
Užití Google k vyhledání zranitelných cílů může být velmi úspěšné. Není to ovšem užitečné
pouze k vyhledání zranitelných souborů, ale tato technika může být použita i pro vyhledání
citlivých dat, která nejsou určena pro veřejné zobrazení. Lidé a organizace často zanechávají
takováto data na webových serverech (doufajíc, že je nikdo neobjeví). Google však tato data
dokáže rychle najít a vybrat téměř nepozorovaně. Často tak můžeme vyhledat citlivá data jako
jsou finanční informace, čísla sociálního zabezpečení, zdravotní záznamy apd.
Když máme po ruce tolik známých kombinací zranitelných míst, je jasné, že automatický
nástroj pro scannování stránek pomocí Google bude velice účinný. Google však takovéto
automatizování odsuzuje a uvádí na http://www.google.com/terms_of_service.html :
"Na Google není povoleno posílat automatické dotazy určitého druhu bez jasného povolení
dodaného Googlem a to:
-Užívání software, který na Google posílá dotazy ke stanovení množství Googlem
indexovaných sítí a stránek.
-‚meta-serching' Google
-pochybné ‚offline' vyhledávání na Google
Google k tomuto postupu nabízí alternativy v Google web API's nalezeném na
http://www.google.com/apis/
Několik hlavních nevýhod programu napsaného v Google API je:
Uživatelé a vývojáři Google API programů musí vlastnit licenční klíče dodané Googlem. Dále
pak jsou tyto programy omezeny na 1000 dotazů za den, protože Google web API servis je
jen experimentální free program a zdroje dostupné podpory jsou proto limitovány (podle
prohlášení na API FAQ http://www.google.com/apis/api_faq.html#gen12 ). Je jasné, že s tak
mnoha potenciálními dotazy pro zranitelné cíle je 1000 dotazů jednoduše nedostačující.
Jakýkoliv automatizovaný nástroj pro dotazování Google (s vyjímkou nástrojů vytvořených v
Google API) musí být na spodním řádku opatřen jasným povolením obdrženým od Google.
Jsou neznámé následky ignorování těchto pravidel, ale toto se zdá být nejlepší postoj Google.
Google přístroje
Googledorks
GooScan
GooScan (http://johnny.ihackstuff.com) je UNIX(Linux/BSD/Mac OS X) nástroj, který se
automaticky dotazuje Google s různými obměnami. Tyto konkrétní dotazy jsou vytvořeny k
nalezení potencionálních zranitelností na webových stránkách. Je to vlastně ‚CGI scanner',
který nikdy nekomunikuje přímo s cílovým webovým serverem. Jednoduše všechny dotazy
posílá Google a ne na cíl. Pro bezpečnostního profesionála je GooScan serverů naprostá
informační sklizeň. Administrátorům webových serverů pomůže GooScan zjistit co všechno
se mohou lidé na webu pomocí Google dozvědět o jeho síti.
GooScan není vytvořen pomocí Google API. To vyvolává otázky okolo legality používání
GooScanu jako Google scanneru. Je tedy GooScan legální při používání? Neměl bys tento
nástroj nikdy používat na dotazování se Google bez předchozího povolení. U Google přístroje
však nemáš omezení. Měl by sis ale opatřit povolení od podniku nebo správce Google
přístroje před samotným scanováním automatizovaným nástrojem pro různé legální a morální
účely. Pokud použiješ tento nástroj jinak než na Google přístroje, vystavuješ se hněvu ze
strany Google.
Ačkoliv je mnoho prostředků GooScanu, jeho primární účel je scan Google (samozřejmě
pouze s patřičným povolením od Google) nebo Google přístroje (jen s povolením od vlastníka
sítě) pro záznamy uvedené v seznamu na googledorks stránce.
Ještě jednou upozorňuji, že GooScan provádí velmi důkladný CGI scan sítě skrz Google nebo
Google přístroj.
GooPot
Pojem ‚honeypot' je celkem jasný. Podle techtarget.com:
"HoneyPot" je počítačový systém na Internetu, který je úmyslně nastaven k vábení uživatelů,
kteří se pokouší k pronikání do počítačových systémů jiných lidí."
Slouží k získávání informací o tom, jaké nové útočné síly jsou útočníky používané. Správci
systému Honeypot monitorují, analyzují a katalogizují každý útok.
Rozšířením tohoto klasického Honypot systému je Honeypot na webu neboli Pagepot. Je
navrhnut k atraktivnímu použití technik popsaných v tomto dokumentu.
Záměr je zřejmý. Jednoduchý vstup googledork, podobný tomuto: "inurl:admin inurl:userlist"
může být lehce nastaven na webu Haneypot vytvořením index.html stránky s odkazem na jiný
index.html soubor v /admin/userlist.
Jestliže nástroj, který prohledává web podobně jako Google se bude chtít dostat na top-level
stránku index.html, najde eventuelně odkaz na /admin/userlist/index.html.
Tento odkaz uspokojí Google dotaz, eventuelně podobně atraktivní dotaz. Jakmile uživatel
Google klikne na vyhledaný odkaz, odchytne si systém cestu na webovou stránku. Pozadí
uživatelova webového prohlížeče také posílá mnoho proměnných webovému serveru, včetně
různých zajímavostí. Tento záznam obsahuje kompletní jméno webové stránky, kterou
uživatel předtím navštívil nebo ještě přesněji webovou adresu, která uživatele odkázala na
tuto stránku, za předpokladu, že klikl na daný odkaz ve vyhledávači. Tato drobná informace je
velice cenná pro správce Pagepot systému, pokud se jedná o popsanou metodu Google
vyhledávání použitá pro lokalizaci Pagepot systemu. Jedná se tedy o informační pomůcku k
ochraně jiných webových sítí před podobnými dotazy.
Představa PagePotu není nová díky lidem tvořícím skupinu http://www.gray-world.net. Jejich
webový Honeypot je umístěn na http://www.gray-world.net/etc/passwd/ a je navrhnut k lákání
těch, kteří využívají Google jako CGI scanner. Není to špatná představa, ale v tomto
dokumentu jsme viděli, že je mnoho jiných cest využití Google na vyhledávání zranitelných
nebo citlivých stránek.
Google honeypot systém Goopot navrhl Johnny@ihackstuff.com. Použitím webového serveru
s možností prohlížení citlivých dokumentů a monitorováním se může administrátor něco
naučit o nových webových vyhledávacích technikách. Kromě jednoduchého Pagepotu
používá Goopot svádění založené na mnoha technikách popsaných v tomto dokumentu.
Goopot se velice podobá vnadným cílům, po kterých hackeři typicky jdou. John Long,
administrátor seznamu googledorks, zužitkovává GooPot k odhalení nových vyhledávacích
typů a publikuje je v seznamu googledorks. Vytváří tak věčný kruh pro učení se těmto
technikám a obraně proti nim.
Ačkoliv v době psaní tohoto článku není systém GooPot veřejně přístupný, očekává se jeho
zpřístupnění ve 2Q 2004.