2018年6月19日 星期二

搜尋引擎攻擊

1.Google Hack
所謂 Google Hack 入侵手法,指的是利用搜尋引擎的進階搜尋字串,找到企業網站的關鍵資訊。目前 Google Hack 入侵手法得以成功,追根究底,原因往往出現在許多網頁程式寫法出現問題,才讓懂門道的人,可以利用搜尋引擎,找到網站設定檔(config)外,也可以利 用鍵入內部網址、或者是搜尋網站目錄、檔案類型等方式找到包含網站伺服器檔案、帳號、密碼、管理介面等資料。在交叉分析這些結果,能找出關於某個網站的資 訊,甚至所揭露的資訊多到足以讓人入侵其網站伺服器。

如何防禦 : 在搜尋引擎上對公司進行檢索,看看是否在駭客攻擊你之前,找出任何駭客可能用來造成危害的資訊。如果在線上發現存放在網頁上的資料敏感,公司應該移除該目 錄或使用密碼保護它。此外,可以透過線上表單通知Google,將該網頁的資訊從搜尋結果以及快取中移除。類似像 The Weather Channel,排名的順位影響能見度,卻要同時考量安全的這類網站,如果使用搜尋引擎排除協定,將會損害該網站在搜尋引擎上的排名順序。
因此,任何資料要放到網站之前,必須先做仔細的風險評估。

實務中用關閉Apache DirectoryIndex 設定,設定404導向,rewrite,網頁加密等方式。

 來源:http://www.nuu.edu.tw/UIPWeb/wSite/ct?xItem=61297&ctNode=11724&mp=56

在 https://www.jianshu.com/p/75ecdf2a772b 文章記錄了作者被駭的經歷,其中只有360搜索和搜狗搜索的結果進行了重定向

2. blackhat SEO 攻擊
常用的Blackhat手法
偽裝成防毒軟體:對廣大的Internet用戶發佈捏造的安全告警訊息,以便誘使他們購買假冒的安全產品,或是無意間下載內含病毒的程式碼。

SEO 網頁:刻意在網頁中嵌入大量的錯誤關鍵字,以便提高其搜尋排名,一旦用戶點選這些頁面,會被導引到非法網站。這類網頁又稱為 SEO 中毒(Poisoned)網頁。

Blackhat SEO工具:這套程序可用來建立並管理SEO攻擊。它可以產生很容易被搜尋引擎爬行器(crawler)找到的SEO網頁,並且能夠輕易地在搜尋結果中產生病毒,以便將用戶指向惡性的網站。此外,這些程序會自動更新以便取得最新的熱門新聞。

SEO 下毒:這個過程可以誘騙搜尋引擎提高其SEO網頁的搜尋結果排名,而這些結果其實已經被「下毒」了。

搜尋引擎爬行器:這是一種俗稱網路機器人或網路蜘蛛的電腦程序,它可以用系統化的方式將瀏覽所有網頁,以便索引可被搜尋到的網頁並且收集相關資料。

發動任何blackhat SEO 攻擊之前,駭客必須先將網頁內容餵入搜尋引擎爬行器(接著此應用程序會將其加入搜尋結果中),同時將點選這些搜尋結果的用戶連到惡性網站去。多數 blackhat SEO 應用程序可以分辨現在是搜尋引擎連到他們的網站以便逐筆搜尋網頁內容、或是使用者透過搜尋引擎連結來瀏覽網站,或是其他對這個網站好奇的人直接連上網站。


如同其他網頁式攻擊一樣,網址過濾與內容檢驗等方式通常可以有效防範SEO攻擊。

3. 把病毒放在自己的網站讓搜尋引擎自動攻擊

機器人正在爬取網站A.網站A有很多暗藏的鏈接可以發送SQLi請求到目標網站B.Google機器人爬取頁面的時候看到了這幾個連接,然後就會順著這個鏈接爬過去,這樣的話,Google機器人就無意地攻擊了網站B。

沒有留言:

張貼留言