网络钓鱼攻击所依赖的是纯洁的外表以及和善的微笑,以此让人们落入欺骗的全套。
定位风险网站
定位风险网站
现在我们知道了网络钓鱼者喜欢直接修改官方网站,也知道了他的修改手段。可能有些人会好奇,这些网络钓鱼者是如何选择网站并知道网站存在这类安全漏洞的呢?实际上,网络钓鱼份子们也并不是神仙,他们所采用的方法很简单,就是通过现有的用来检测PHP漏洞的工具,对各个网站进行扫描。Acunetix 对网络漏洞扫描器的描述如下:
“检查你的网站和网络应用程序是否存在PHP安全漏洞,最好的方法就是使用网络风险扫描器(Web Vulnerability Scanner)。 网络风险扫描器可以针对你的整个网站进行全自动的PHP攻击风险检测。它会告诉你哪些脚本存在风险,方便你及时修补这些漏洞。”
当然,不得不承认,这类扫描的速度并不快,而且也不见得非常有效率,尤其是面对大量需要检测的网站时。Moore和Clayton的报告再次对于网络钓鱼者的惯用定位方式进行了讲解:
“在定位存在漏洞的网站时,除了采用扫描器外,通过搜索引擎也可以实现类似的效果。这种方法充分利用了搜索引擎的扫描能力,因此也被Long称作“谷歌黑客”。
Long所感兴趣的,不仅是如果定位存在风险的网站,还包括如何通过这种方式获取个人的隐私信息,只有这样,才能够更好的保护自己的信息。Long将这种搜索活动称为‘googledorks’,因为这些搜索基本上都依赖于Google 搜索语言,比如inurl’或‘intitle’等。”
上面两段内容引自Johnny Long所著的 “Google 黑客指南”。这篇文章可以告诉我们如何通过Google的搜索功能尽可能的获取网站中的敏感信息。
下面我们就来实际操作一下,看看到底能不能获取一些我们感兴趣的信息。如果你还记得CVE-2008-3239中所涉及的PHP漏洞,就知道可以将“PHPizabi 0.848b C1 HFP1”作为关键词进行搜索。我将这个关键词输入Google搜索引擎,搜索结果中很多都涉及到了这一漏洞。其中我也发现了一些对于网络钓鱼者来说很感兴趣的内容:
注:这并不是Google的错
在撰写本文时,我曾经与几个朋友谈论过这个问题,结果令我有些吃惊。有些朋友认为,谷歌应该受到谴责,并为此承担责任。而我完全反对这种观点,并且希望读者们也有和我相同的看法。
Google提供的服务使我们面对海量数据时可以轻松的检索出自己所需的信息。虽然Google在存储信息的安全方面受到质疑,但是不可否认,他的搜索引擎是最好的。在我看来,数据安全问题不在于此。
网友评论