Auch Cracker beginnen ihre Arbeit mit einer Google-Suche, und es ist erstaunlich, was sich alles finden lässt. Jeder Webmaster sollte diese Tricks kennen.
Allen Hacker-Angriffen geht eine umfangreiche Informationsbeschaffung voraus. Es ist viel einfacher, eine Site anzugreifen, über die etwas bekannt ist, als einen blinden Angriff durchzuführen. Interessant sind E-Mail-Adressen der Mitarbeiter, Logins oder technischen Daten wie die Version des Webservers. Aber nicht nur Cracker suchen nach Schwachstellen, auch dubiose Daten- und Adresshändler nutzen die Suchmaschine für ihre Zwecke.
Tipp: Die folgenden Techniken sollten Sie nur einsetzen, um die Sicherheit Ihrer eigenen Webpräsenz zu testen. Üben Sie sich keinesfalls an fremden Webseiten, denn das kann rechtliche Folgen haben.
Geheimen Informationen
Gerade Office-Dokumente mit den Endungen .doc, .xls und .pdf können hoch brisante Daten enthalten, aber auch Lotusdateien kommen in Frage (wk1, wk2, wk3, wk4, wk5, wki, wks, wku). Eine gezielte Google-Suche könnte so aussehen:
filetype:doc username password
Sie findet typischerweise private Dateien oder solche mit Passwörtern, Userlisten und Auswertungen, zum Teil auch E-Mail Adressen.
filetype:xls privat
inurl:email filetype:xls
inurl:users.xls filetype:xls
Viele Dateitypen stellt die Suchmaschine auf die Schnelle als HTML dar. Und nur was wirklich interessant ist, lädt der Anwender auf sein System herunter. Wenn er die Dateien mit einem Hexeditor betrachtet, findet er vielleicht noch manche Metadaten, von denen der Anwender gar nichts weiß.
Wenn der Hacker wichtige Dateien gefunden hat, besitzt er einen guten Ansatzpunkt weiter zu suchen. Hier hilft ihm Directory Traversal weiter. Hierzu nimmt der Hacker Änderungen in der Adresszeile seines Browsers vor. Wenn er zum Beispiel eine Datei datei1.html gefunden hat, gibt es vielleicht auch eine Datei datei2.html. Die kann auch in einem völlig anderen Verzeichnis liegen.
Normalerweise können Besucher von außen nur auf Dateien innerhalb des Web-Servers (Webroot) zugreifen. Aber mit der Angabe ../ bewegt man sich ein Verzeichnis nach oben, also oberhalb des freigegebenen Webverzeichnisses. Mit dem / gelangt der Hacker in das Wurzelverzeichnis, in dem er eigentlich gar nichts zu suchen habt. Aber oft funktioniert dieser Hack. Er könnte folgendermaßen aussehen: Normale Website: http://www.testseite.de/anwendung/programm/index.html. Hackingversuch:
http://www.testseite.de/anwendung/programm../daten/benut zer.dat
Wenn die gesuchte Datei in dem Verzeichnis nicht existiert, reagieren einige Webserver auf solche Abfragen sehr zuvorkommend. Mit einer Fehlermeldung wie zum Beispiel Warnung: Die Datei anwendung/programm/daten/benutzer.dat konnte nicht gelesen werden! Jetzt weiß der Suchende genau, in welchem Verzeichnis er die Datei findet. Er könnte es auch mit einer Suchabfrage probieren:
http://www.testseite.de/anwendung/programm?daten=benutzer.dat
Mit solchen Abfragen sammeln Hacker Informationen für Angriffe oder verschaffen sich Daten über Betriebsgeheimnisse, die sie dann meistbietend weiterverkaufen. Aber erstaunlicherweise lassen sich auch Kreditkartendaten finden.
Geheimakte Datenbank
Bis vor kurzem waren CGI-Schwachstellen das beliebte Opfer von Angreifern. Aber die Server- Landschaft hat sich geändert. Immer mehr webbasierte Datenbanken sind im Einsatz. Dadurch hat sich auch der Fokus für Angriffe geändert: SQL-Injection. Das Hauptziel von Hackern liegt darin, sich Daten über eventuellen Anfälligkeiten der webbasierten Datenbank zu besorgen. Sobald er etwas gefunden hat, versucht er, eigene Datenbankbefehle einzuschleusen, um Daten in seinem Sinne zu verändern oder Kontrolle über den Server zu erhalten. Wie aber webbasierte Datenbanken finden? Hier geben Google Hacks Auskunft:
inurl:admin mdb
inurl:login.asp
inurl:names.nfs?opendatabase
findet LotusDomino-Datenbanken. Eine weitere Möglichkeit, Portale mit einem Login zu finden, geht über das Wort login. Auch die Suche nach Support-Dateien hilft einem Hacker weiter. Datenbank- Software erstellen bei der Installation solche Dateien, die wertvolle Informationen enthalten können. Die Abfrage
intitle:index.of intext:globals.inc
findet MySQL-Dateien mit Verbindungs- und Nutzerdaten. Oder für Access:
filetype:ldb admin
Eine sehr beliebte Datenbank im Web ist der SQL-Server von Microsoft. Daher auch ein beliebtes Angriffsziel. Mit dem Google-Hack
filetype:SQL password
findet der Hacker Datenbankauszüge. Aufgrund dieser Informationen kann er die Datenbankstruktur des Zielobjektes auslesen und ein Angriff wird viel einfacher. Hacker können auf Grundlage dieser Datenbank-Dumps sogar die komplette Datenbank offline erstellen, testen und gezielte Angriffe fahren. Zum Aufspüren von Datenbankfehlermeldungen reicht der Eintrag: Warning: Access denied for user" site:meineseite.de.
Login-Portale knacken
Ein einfaches Beispiel, wie Hacker auf eine webbasierte Seite gelangen: Ein Administrator meldet sich zum Beispiel mit dem Kennwort admin und dem Passwort xgeheim59 an. Im SQL-String sieht das so aus:
select count(*) from users where UserName=‘admin‘ AND UserPassword= ‚xgeheim59‘
Eine SQL-Anweisung besteht aus einem String, also nichts weiter als Text. Wenn das System diesen Text dem SQL Query übergeben wird, ist das oftmals unsicher und ein gutes Angriffsziel.
Profihacker geben Folgendes ein:
Username: ‚ OR ‚hack‘=‘hack
Password: ‚ OR ‚hack‘=‘hack
Der SQL-String sieht dann so aus:
select count(*) from users where UserName=‘
‚ OR ‚hack‘=‘hack‘ AND UserPassword=
´ ´ OR ‚hack‘=‘hack‘
Mit etwas Glück ist er im System. Die Oder-Syntax des SQL-Befehls hat es erlaubt. Sichern Sie webbasierte Datenbanken unbedingt vor solchen SQL-Übernahmen ab. Mit SQL-Injection manipulieren erfahrene Angreifer nicht nur die Datenbank, sondern sie schaffen es auch, den kompletten Server samt dem Betriebssystem komplett unter ihre Kontrolle zu bringen.
Suche nach Verzeichnissen
Nicht alle Websites werden als Webseiten angezeigt. Es gibt auch Verzeichnisse. Wenn zum Beispiel die Startseite index.htm fehlt, wird oft ein Verzeichnis angezeigt, mit vielen Vorteilen für den Google-Hacker. Er öffnet problemlos weitere Verzeichnisse und lädt Dateien direkt. Am Ende der Seite finden sich ferner Informationen über den Webserver.
Die meisten Verzeichnislisten fangen mit dem Titel Index of an. Und schon liegt der Google-Hack auf der Hand:
intitle:index.of
Der Punkt zwischen Index und of steht für ein beliebiges Zeichen und erspart die Eingabe von Phrasen in Anführungszeichen. Nach intitle: darf kein Leerzeichen vorkommen.
Leider spürt diese Suche auch Seiten auf, die aus anderen Gründen den Begriff Index of im Titel haben. Daher spezifiziert der Hacker die Abfrage noch. Da es bei dem Ergebnis um einen Verzeichnisbaum geht, kommt auf der Seite mit hoher Wahrscheinlichkeit der Eintrag parent directory vor. Der Suchende hat auch die Möglichkeit, nach bestimmten Dateien und Dateitypen in den Verzeichnissen zu suchen: Musik, Videos, Bildern, Programmen und Freischaltcodes stellt bei diesem Google-Hack kein Problem dar.
intitle:index.of yanni mp3
Anonymität wahren
Bei allen Webservern, die der Anwender besucht, hinterlässt er Spuren. Wenn gerade kein Proxyserver zur Hand ist, halten sich Surfer über den Google Cache anonym. Denn fast jede Seite, die Google besucht hat, wird im Cache zwischengespeichert. Sie befindet sich also auf dem Google-Server und der eigentliche Bereitsteller sieht nicht, wer darauf zugreift. Als Suche eignet sich:
cache:gesuchte_seite
Zu sehen ist allerdings nur der Text. Mit ein paar einfachen Tricks und etwas Geduld sind viele verborgene Dinge mit Google-Hacks zu finden. Prüfen Sie sorgfältig, wie sicher Ihre Seite vor Google-Hackern ist und schließen Sie die Lücken.
Posts
Keine Kommentare:
Kommentar veröffentlichen