onsdag 24 september 2008

John om Google Hacking

En australiensk kille vid namn Christian Heinrich presenterade OWASP-projektet "Google Hacking".

Efter tio Powerpoint-bilder hade varken jag eller Gustav fattat syftet med det hela så jag tog hundhuvudet och frågade "Excuse me, why should we do Google hacking at all?" inför 200 pers.

Syftet med Google hacking
Syftet med Google hacking är att kunna söka sårbarheter utan att röra "offrets" infrastruktur och förstås via Googles cachar och spindlade databaser. Den typiska användaren är pentestare eller teknisk revisor.

Styrda botar
Google och andra söktjänster använder robotar, eller botar, som spindlar webben på regelbunden basis. Man kan specificera undantag i en fil robots.txt under sin domän och Christian visade hur en sån ser ut. Google har exempelfiler ute men i korthet kan man säga vilka path:ar som tillåts och inte tillåts samt för vilka botar reglerna ska gälla.

User-agent: * eller Googlebot
Allow: /searchhistory/
Disallow: /search

Google erbjuder också ett verktyg för att se hur Googlebot analyserar robots.txt.

Söka sårbarheter
Att söka sårbarheter innebär sökningar efter kända sårberheter, default-filer eller åtminstone intressant information såsom "Aha, de kör Outlook Web Access". Man nyttjar operatorer som "site:", "inurl:" och "cache:". Just i cache-fallet hämtas bilder från originalkällan så de måste exkluderas om man vill vara anonym.

Vissa sökningar stoppas av Google eftersom de uppenbart söker sårbarheter. Man kommer då till en specialsida "We're sorry ...". Tidigare kunde man gå runt det genom att söka efter 'pHp' istället för 'php' men Google börjar få ordning på sin kanonikalisering.

Google SOAP search API
Google erbjuder också ett begränsat webbtjänste-api "Google SOAP search API". Begränsningarna på varje förfrågan är:
  • Max 10 ord
  • Max 2048 bytes
... och man får göra
  • Max 1000 förfrågningar per dag
  • Med max 0-999 resultat
... vilket ger t.ex.
  • Max 10.000 sökresultat från 10 förfrågningar

Ett verktyg som nyttjar api:et
De håller på med ett Perl-verktyg för att köra mot SOAP-api:et. Proof-of-Concept-versionen kommer släppas i november på konferensen Ruxcon 2008.

Inga kommentarer: