網管人攻防戰:懂得用 | Google 也可變身黑客工具

黑客是甚麼?黑客其實都是普通人。不過黑客很多時都是一些對電腦或不同軟件運作流程十分熟悉的人,所以他們往往能夠較容易找出漏洞,繼而通過漏洞進行入侵工作。黑客入侵別人電腦,目的有很多,而「偷取機密資料」可以說得上是最多黑客的目標。
news09

不過要取得機密資料,原來可以不需特殊技術!只需簡單採用 Google 再配合上指令式搜尋方法,便可一次過搜出不小心的用戶所外洩的種種資料,以下舉出兩個搜尋例子讓大家參考。 (為免不法之徒利用,我們不會將整句指令列出)

1. 偷窺私人 IP Cam

假如你或你公司有使用 IP Cam,而 IP Cam 本身容許從外部連接的話便要小心了,事關只需簡短的一句搜尋指令,便可搜尋到幾乎大部份沒有採取防護措施的 IP Cam。

原理:只要熟悉不同廠商推出的 IP Cam 所內置的網頁管理頁面預設名稱/位置,並再通過特定指令搜尋,即可讓你看到大量未有做足安全措施的 IP Cam,而且部份 IP Cam 更是作為保安用途的。 以下是通過特定指令,搜尋出數以千計 IP Cam 的網頁監控頁面。及按下連結後,進入 IP Cam 的網頁監控介面,而且更可控制 IP Cam 進行 PTZ。
news09a news09b

2. 輕鬆獲取網頁管理員密碼

為了方便進行開發,很多時開發人員都會採用流行的 CMS 平台例如是 WordPress、Drupal 等開發巨大的商業系統、將設計改頭換面等等,最終架設出如 Web Based 的 ERP、購物平台、公司網站…而假如你公司亦是採用相關平台開發系統的話便需小心處理檔案或目錄的存取權限了,事關只要你採用以下的 Google 搜尋指令,便可輕鬆的將網頁管理員的密碼找出來。

原理:通過搜尋並未作好存取設定的網頁 root 目錄,加上搜尋不同 CMS 系統用作儲存管理員密碼、數據庫密碼的 php(或其他語言)的檔案,下載開啟後便可偷取密碼。

利用 Google 輸入指定的搜尋指令,同時在指令後加上流行 CMS 平台用來儲存超級管理員帳戶資料的 php 設定檔案。然後 Google 便會列出所有未做好存取設定的目錄,進入後大家便可下載用作儲存管理員密碼、數據庫密碼又或者用戶登入資料的文件,開啟後輕易即可獲取相關資訊,而擁有這些資訊後,黑客便可即時輕鬆登入你的網站以及進行入侵或悄悄的植入惡意程式並偷偷收集你的用戶資訊。
news09c
news09d

總結:用戶的不小心成「幫兇」

提到「偷取資料」,其實很多時根本不需要特別的技術;細心的你可能都曾經於網絡上搜尋到來自不同網站所儲存的機密資料、密碼、相片、地址、電話、電郵等等,其實這一切很多時是由於用戶/管理員的不小心所致。

上述的示範並非建議大家去試用,只是希望向大家提供一個清晰的資訊,就是大部份資料外洩事件,都與用戶是否有作好充足的權限設定、建立密碼保護等這些最基本的動作有關,所以要預防資料外洩,第一步是改變對處理資料的習慣,同時亦應提高警覺性,這樣才是避免資料外洩而導致被入侵的一個最佳方法。