评论：你被Google黑到了吗？

　　CNET科技资讯网11月12日评论： 你担心他人会利用搜索引擎来找出贵公司服务器内信息吗？

　　这是很简单的事情，只要用Google就可找需许多隐藏在网络服务器中原本并不想让他人知道的信息。

低价swatch手表送给你 联想笔记本Y200热卖中 最大的2G免费邮箱！ 只要出价够狠IQ够高

　　由于这类黑客伎俩最近越来越受到媒体注意，于是作者本人决定亲身尝试看看。

　　我先去一个名为：Johnny I Hack Stuff 网站找信息。这里收罗了许多可用来引诱Google泄漏机密的关键字眼。你只需要把关键字稍作修改就可取得更好的结果。

　　试试看吧，比如你输入“access denied for user”与“using password”等字眼，你会看到出现许多搜索结果，有些是SQL 错误讯息，但其中确有许多网站会透露用户ID、SQL 服务器数据，以及组态细节等，这还算没什么伤害性质的。

　　Google风险？

　　若贵公司网站遭Google黑客法入侵，会造成多少灾害呢？这得看你不小心暴露多少信息而定，就已经曝光的作法来看，黑客曾经成功监看过复印机信息、找出密码、监视服务器活动等。

　　现任职Ernst and Young 公司技术暨风险服务部门的Gerry Chng曾见识过不少黑客入侵伎俩，他认为Google黑客法并不需特别大惊小怪。 “这也算黑客找信息的一个入门点，但顶多也只是信息外泄如此而已。”

　　Gerry 指出，密码与log 文件通常只有两种情况下会泄漏，而这两种情况只要网管人员多留心一下就可趋吉避凶。

　　第一种状况是把机密文件连上URL ，或者在文件中使用了HTML标签，“网络爬虫只会寻找有连结的点，”Gerry 表示。但有些例外状况则得小心，比如有些开发人员会加入 <！—— and——> HTML标签，“网虫看到这个也会进去寻找一番。”

　　第二种况状则是因网络蜘蛛造访所造成的应用错误。比如在SQL 网络应用中，我们会看到SQL 错误讯息，即使是暂存的错误也算是信息外泄。“你回头在造访该站时，该错误讯息会自动消失，但Google还是会保存它所看到的信息。”

　　这意味着，若黑客想用SQL 注射攻击的手法，他们就可利用Google黑客法来找出有漏洞的网站，因为这些网站的错误讯息已经被保留下来了。

　　事实上，网管人员比较要担心的是这种暂存性质的自动产出错误讯息，因为这类讯息过了就消失了，网管人员看不到，但却会被Google存起来，即使已经过了许久都还可以在Google搜索中找出来。不过你也可以e-mail给Google要求卸载。

　　如何万无一失？

　　所以要如何才能防止Google黑客法？以下是Gerry 所提供的秘诀：

　　确认贵公司的应用不会产生没有经过处理的错误信息，“采用客制化错误信息处理回应可降低通用性质的搜索机会。”

　　确保贵公司所有文件夹的目录清单都有关闭，且避免将URL 清单存放在文件夹中，因为网络蜘蛛有可能爬进去。

　　连结至管理员网页不应该在网页中加入连结点，这只会助长蜘蛛爬入，并形成暂存文件。

　　另外一个诀窍，IT部门针对源代码的变更应有适当的变更标准，“我曾看过开发人员以commnet 标签来隐藏旧的源代码，但这其实还是可连结到某些目录中，或不小心泄漏了所做的信息变更。”Gerry 表示。

　　不过不幸的是(或者应该说更幸运？)，最新状况为，Google上个月已经公布了桌面型搜索引擎，或许在不久的未来，网络搜索引擎的黑客技巧就会扩展到内部网络与企业网络了。

　　(Ong Boon Kiat 文/ 陈奭璁译)