你被Google黑到了吗？

    CNET科技资讯网11月12日评论： 你担心他人会利用搜索引擎来找出贵公司服务器内信息吗？

    这是很简单的事情，只要用Google就可找需许多隐藏在网络服务器中原本并不想让他人知道的信息。

    由于这类黑客伎俩最近越来越受到媒体注意，于是作者本人决定亲身尝试看看。

    我先去一个名为：Johnny I Hack Stuff 网站找信息。这里收罗了许多可用来引诱Google泄漏机密的关键字眼。你只需要把关键字稍作修改就可取得更好的结果。

    试试看吧，比如你输入“access denied for user”与“using password”等字眼，你会看到出现许多搜索结果，有些是SQL 错误讯息，但其中确有许多网站会透露用户ID、SQL 服务器数据，以及组态细节等，这还算没什么伤害性质的。

    Google风险？

    若贵公司网站遭Google黑客法入侵，会造成多少灾害呢？这得看你不小心暴露多少信息而定，就已经曝光的作法来看，黑客曾经成功监看过复印机信息、找出密码、监视服务器活动等。

    现任职Ernst and Young 公司技术暨风险服务部门的Gerry Chng曾见识过不少黑客入侵伎俩，他认为Google黑客法并不需特别大惊小怪。 “这也算黑客找信息的一个入门点，但顶多也只是信息外泄如此而已。”

    Gerry 指出，密码与log 文件通常只有两种情况下会泄漏，而这两种情况只要网管人员多留心一下就可趋吉避凶。

    第一种状况是把机密文件连上URL ，或者在文件中使用了HTML标签，“网络爬虫只会寻找有连结的点，”Gerry 表示。但有些例外状况则得小心，比如有些开发人员会加入 <！—— and——> HTML标签，“网虫看到这个也会进去寻找一番。”

    第二种况状则是因网络蜘蛛造访所造成的应用错误。比如在SQL 网络应用中，我们会看到SQL 错误讯息，即使是暂存的错误也算是信息外泄。“你回头在造访该站时，该错误讯息会自动消失，但Google还是会保存它所看到的信息。”

    这意味着，若黑客想用SQL 注射攻击的手法，他们就可利用Google黑客法来找出有漏洞的网站，因为这些网站的错误讯息已经被保留下来了。

    事实上，网管人员比较要担心的是这种暂存性质的自动产出错误讯息，因为这类讯息过了就消失了，网管人员看不到，但却会被Google存起来，即使已经过了许久都还可以在Google搜索中找出来。不过你也可以e-mail给Google要求卸载。

    如何万无一失？

    所以要如何才能防止Google黑客法？以下是Gerry 所提供的秘诀：

    确认贵公司的应用不会产生没有经过处理的错误信息，“采用客制化错误信息处理回应可降低通用性质的搜索机会。”

    确保贵公司所有文件夹的目录清单都有关闭，且避免将URL 清单存放在文件夹中，因为网络蜘蛛有可能爬进去。

    连结至管理员网页不应该在网页中加入连结点，这只会助长蜘蛛爬入，并形成暂存文件。

    另外一个诀窍，IT部门针对源代码的变更应有适当的变更标准，“我曾看过开发人员以commnet 标签来隐藏旧的源代码，但这其实还是可连结到某些目录中，或不小心泄漏了所做的信息变更。”Gerry 表示。

    不过不幸的是（或者应该说更幸运？），最新状况为，Google上个月已经公布了桌面型搜索引擎，或许在不久的未来，网络搜索引擎的黑客技巧就会扩展到内部网络与企业网络了。

    （Ong Boon Kiat 文/ 陈奭璁译）

注意：本网所刊登的文章，均仅代表作者个人观点，并不代表本网立场。

上一篇：Google网页翻番 微软吐豪言 搜索战火不断
下一篇：微软将推互联网搜索引擎 Google股票下跌2%