使用 Google Code Search 尋找資料庫密碼

用 Google 來破解網站已經不是什麼新聞了,在國外甚至有專書教導大家如何使用 Google 來做 Hacking:

20061008_01.jpg
(Google Hacking for Penetration Testers)


而 Google 的新服務 Code Search 推出之後,已經不是資訊人員把關就夠了,而是整個內部控制流程都必須有一套標準規範,否則任意把程式放在開放的空間,企業內部的資料庫密碼可能瞬間就流入他人之手。

以常見的 WordPress 為例:
http://google.com/codesearch?q=+lang:php+file:wp-config+user+-sample&start=10&sa=N

會被 Code Search 搜尋到大部份以人為流程上的疏失較多,如:
1.打包放在備份主機上
2.打包提供給客戶下載
3.FTP 上傳到另一台主機上,解壓完卻沒刪掉
4.原本的 Web Server 突然不支援某種語言了

如果是自行開發的軟體,檔名儘量避免使用 config 或 setup 之類的通俗單字,密碼變數也儘量少用 password 或 passwd 。至於資料庫對於連入的帳號也必須同時做 IP 限制,經過層層防護才能把風險降到最低。

如果企業還沒有自覺到網路時代對於資訊安全的威脅,只能套句獵人的台詞來形容:

光著身子立於雪地之中而不覺的冷

1 comments On 使用 Google Code Search 尋找資料庫密碼

Leave a reply:

Your email address will not be published.

Site Footer

Sliding Sidebar