Hoje vou iniciar a uma série de artigos sobre técnicas de ataque e defesa de sistemas, vou começar com um excelente artigo do GRIS ( Grupo de Resposta a Incidentes de Segurança ) da UFRJ que fala sobre Técnicas de Ataque e Defesa de Sistemas usando o Google. Vou dividi-lo em partes para um melhor entendimento.
Boa leitura!
A utilização de agentes buscadores para catalogar páginas, ao mesmo tempo em que aumenta consideravelmente o número de respostas da ferramenta, traz o problema de muitas vezes catalogar mais do que os administradores de páginas gostariam. Isso porque muitos servidores conectados a Internet – e, portanto, passíveis de serem catalogados por agentes buscadores – não foram configurados de forma segura, contando apenas com o fato de não serem conhecidos para se protegerem. Assim, se os agentes do Google encontrarem, por exemplo, arquivos sigilosos ao fazerem uma varredura nos servidores de sua empresa, eles irão adicionar tais arquivos e páginas à base de dados do Google na primeira oportunidade, já que não são capazes de diferenciar o que é público do que é confidencial.
Dessa forma, muita informação “sensível” pode ser encontrada, bastando que se saiba o que procurar. Não bastasse isso, o Google armazena no “cache” uma versão da sua página ou arquivo, de modo que mesmo corrigindo o problema do seu servidor, seus dados podem ainda estar expostos. Vejamos alguns tipos de ataques que podem ser feitos através do Google.
Nota: é importante observar que a maioria dos ataques e técnicas aqui exemplificados não são nenhuma novidade. Existem registros sobre alguns destes que datam de 2001, o que indica que usuários maliciosos vêm explorando tais características de sistemas de busca a mais tempo ainda.
Ataque #1 – Identificação de servidores
Para identificar todas as páginas da Google que o próprio Google já catalogou, por exemplo, basta
digitar:
0 comentários:
Você está no melhor site de hacker tudo oque vc precisa esta aqui
Postar um comentário