不论你在何处上网,Electric Bong就是处于危险之中。一种精心策划的Google查询可能会允许黑客获取Google的大量数据,黑客可以依此发动攻击活动。
( b; K2 k7 Q9 jwww.ala365.com
2 N/ W9 B" X6 B7 B L上海365论坛&
1 d, W$ S- N2 b1 L上海365论坛nbsp; Electric Bong,是指大量的家用电子产品。安全研究人员Johnny Long发明,家庭电子网络中存在一种不受保护的Web界面。在每个产品中,有两个按钮,一个是打开,一个是关闭。Johnny Long是CA公司的研究人员,也是“Google Hacking for Penetration Testers”一书的作者。上周,在拉斯维加斯举行的黑帽大会上,他指出用户没有意识到,强大的Google搜索工具存在着惊人的漏洞。
# Y0 R% u0 x0 f! X Q5 u7 H# X上海365论坛 - bbs.ala365.com
2 O) e+ }5 f- m* h5 G 此外,他和其它研究人员还发现,没有安全保护的Web界面可以使黑客控制这种产品,包括家庭网络、PBX企业电话系统、路由器、Web摄相机以及网站等。上述所有的产品都可以通过Google进行渗透。当然,Google成为黑客工具,还远不只这些。同时,Google还可以当做黑客攻击的代理服务器。 - 我爱上海每一天: Z. `" @; e9 i5 t& {
) m+ s. s' L( @. p9 K5 R) }, e上海论坛,上海人论坛,上海时尚,上海美食,上海地图,shanghai bbs 他表示,尽管安全软件可以辨别攻击者对公司网络的侦察行为,黑客仍能通过Google获得企业网络的拓扑信息。因此,网络管理人员就很难对此行为进行防范。“受到攻击的对象根本不知道黑客在侦察网络,收集有用的信息。”Long指出,这种信息通常以无意义信息的方式收集,Long称之为“Google Turds”,因为没有一个网站有诸如site:nasa之类的搜索信息,它会出现一个服务器列表,显示NASA内部网络的结构情况。上海365论坛 - bbs.ala365.com7 D2 L/ M/ N) b6 S p9 S6 F# t8 R
+ U. }/ L7 d1 @+ g. K t7 l B( Cwww.ala365.com 通过整合Google查询信息和文本处理工具,黑客可以获得SQL口令,甚至是SQL的错误信息。黑客然后就可以发动所谓的SQL注入式攻击,这种攻击活动可以在SQL数据库上运行未授权的命令。“这就是Google攻击,你可以进行SQL注入,或者进行Google查询找到相同的信息。”尽管Google没有意识到自己在数据存储方向的存在的问题,实事是,Google已不知不觉地参与到了一些蠕虫攻击活动中,其以安全理由拒绝一些搜索查询,“最近,Google开始着手解决这个问题。” |
发表于 2005-9-3 09:03 PM
| 
