Nieuws
image

Google gaat zoekmachine niet voor hackers aanpassen

zaterdag 31 juli 2004, 17:08 door Redactie, 10 reacties

Eerder deze week liet security expert Johnny Long weten dat hackers Google gebruikten om kwetsbare websites en servers te vinden. Het gebruik van Google zou zelfs de eerste stap zijn om een machine of website te hacken. De uitgebreide zoekopdrachten en website caching features van de zoekmachine zorgen ervoor dat Google erg geliefd is bij het hackpubliek. Geen enkele andere zoekmachine zou namelijk zoveel kwetsbaarheden laten zien. Nu is dit niets nieuws en gebeurt het al jaren, maar volgens sommigen moet Google haar zoekmachine aanpassen, zodat het niet langer door hackers voor kwaadaardige doeleinden gebruikt kan worden. Uiteindelijk weet men namelijk via Google mogelijke doelen te vinden. Google laat zich echter niet uit over de situatie, zoals te lezen in dit artikel.

Reacties (10)
01-08-2004, 22:05 door Anoniem
google is idd makkelijk om te vulnscannen naar lekke
servers, bijvoorbeeld
http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=filetype%3Adat+%22password.dat%22
geeft al een lijstje met password.dat bestanden
02-08-2004, 09:51 door Anoniem
Valt wel mee he dat lijstje wat je krijgt.
02-08-2004, 11:43 door Anoniem
Het is niet Google dat zich moet aanpassen maar de beheerders van de
lekke servers die zich moeten aanpassen, die moeten iedere patch zsm
installeren en hun machines eens goed leren beveiligen... Dit geeft alleen
maar aan hoe slecht het met veiligheid op internet is gesteld.
02-08-2004, 11:44 door Anoniem
wees er dan creatiever mee
en zoek naar index of...

of naar php bugs
of ... ach jah je vind wel als je iets zoekt.. dat is de kracht van google ;)
02-08-2004, 11:55 door Anoniem
Door Anoniem
wees er dan creatiever mee
en zoek naar index of...

of naar php bugs
of ... ach jah je vind wel als je iets zoekt.. dat is de kracht van google ;)

Ik daag eenieder uit met een creatieve url te komen. Volgens mij valt het
namelijk wel mee en wordt er weer eens flink overdreven. 'Put your url where
your mouth is' zogezegd.
02-08-2004, 12:34 door Anoniem
Door Anoniem
Ik daag eenieder uit met een creatieve url te komen. Volgens mij valt het
namelijk wel mee en wordt er weer eens flink overdreven. 'Put your url where
your mouth is' zogezegd.
Google is een tool dat je kunt gebruiken als deel van een hack. Het is niet zo
dat je via google meteen een server kunt hacken.

Wat hier bedoelt word, is bijvoorbeeld als een kneusje een beschrijving van
een XSS bug heeft in een phpbb.php, dat hij dan via google zoekt op
phpbb.php naar kwetsbare sites. Zo is het dus heel simpel sites te defacen.
02-08-2004, 13:07 door Anoniem
Dit is overigens ook de reden waarom ik altijd het
versienummer ("powered by pakket_foo version 3.0.3) uit
webapps hack. Als er dan in die versie een vulnerability
gevonden wordt trek ik ten minste niet zo de aandacht.

Security by obscurity is niet iets waarvan je afhankelijk
wilt zijn, maar je hoeft ook weer niet van de daken te
schreeuwen dat je vulnerable bent.
02-08-2004, 14:40 door Anoniem
Door Anoniem
Dit is overigens ook de reden waarom ik altijd het
versienummer ("powered by pakket_foo version 3.0.3) uit
webapps hack. Als er dan in die versie een vulnerability
gevonden wordt trek ik ten minste niet zo de aandacht.

Security by obscurity is niet iets waarvan je afhankelijk
wilt zijn, maar je hoeft ook weer niet van de daken te
schreeuwen dat je vulnerable bent.
Dit is illegaal. Tenminste, in de eisen die worden gesteld staat (volgens mij)
altijd dat je de versie nummer niet mag aanpassen of weghalen...
02-08-2004, 20:30 door Anoniem
Door Anoniem
Door Anoniem
wees er dan creatiever mee
en zoek naar index of...

of naar php bugs
of ... ach jah je vind wel als je iets zoekt.. dat is de kracht van google ;)[/
quote]
Ik daag eenieder uit met een creatieve url te komen. Volgens mij valt het
namelijk wel mee en wordt er weer eens flink overdreven. 'Put your url where

your mouth is' zogezegd.


OK:

http://www.google.com/search?hl=en&lr=&ie=UTF-
8&q=filetype%3Alog+inurl%3A%22password.log%22
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-
8&q=filetype%3Ainc+intext%3Amysql_connect
http://www.google.com/search?hl=en&ie=UTF-
8&q=filetype%3Amdb+inurl%3Ausers.mdb&btnG=Google+Search
http://www.google.com/search?num=100&hl=en&lr=&ie=UTF-
8&safe=off&q=filetype%3Anetrc+password&btnG=Search
http://www.google.com/search?num=100&hl=en&lr=&ie=UTF-
8&safe=off&q=filetype%3Asql+%2B%22IDENTIFIED+BY%22+-
cvs&btnG=Search
http://www.google.com/
search?q=intitle:%22index+of%22+intext:connect.inc+&hl=en&lr=&ie=UTF-
8&oe=UTF-8&start=10&sa=N
http://www.google.com/
search?q=intitle:%22Index+of%22+spwd.db+passwd+-
pam.conf&hl=en&lr=&ie=UTF-8&oe=UTF-8&safe=off&start=10&sa=N
http://www.google.com/search?hl=en&lr=&ie=UTF-8&oe=UTF-
8&q=intitle%3A%22Index+of%22+finances.xls
http://www.google.com/search?hl=en&lr=&ie=UTF-8&oe=UTF-
8&q=intitle%3Aindex.of+dead.letter
http://www.google.com/search?hl=en&lr=&ie=UTF-8&oe=UTF-
8&q=inurl%3Acgi-bin%2Fprintenv
http://www.google.com/search?hl=en&lr=&ie=UTF-8&oe=UTF-
8&q=allinurl%3A+admin+mdb+
http://www.google.com/search?num=100&hl=en&lr=&ie=UTF-
8&safe=off&q=filetype%3Aini+%2Bws_ftp+%2Bpwd&btnG=Search
http://www.google.com/search?hl=en&lr=&q=filetype%3Avsd+vsd+network+-
samples+-examples&btnG=Search
http://www.google.com/search?hl=en&lr=&ie=UTF-
8&q=intitle%3A%22ADSL+Configuration+page%22
http://www.google.com/search?num=100&hl=en&lr=&ie=UTF-
8&safe=off&q=inurl%3A%22%2Fdatabase%2Fcomersus.mdb%22&btnG=Se
arch
http://www.google.com/search?hl=en&lr=&ie=UTF-8&oe=UTF-
8&q=%22Select+a+database+to+view%22+intitle%3A%22filemaker+pro%22
http://www.google.com/search?&ie=UTF-8&oe=UTF-
8&q=allinurl%3Aintranet+admin
http://www.google.com/search?num=100&hl=en&lr=&ie=UTF-
8&safe=off&q=%22powered+by+webcamXP%22+%22Pro%7CBroadcast%2
2&btnG=Search
02-08-2004, 20:59 door Anoniem
Er zitten er inderdaad een paar tussen die leuk zijn. Hulde voor de reactie op
mijn uitdaging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure