使用 Google Code Search 尋找資料庫密碼

用 Google 來破解網站已經不是什麼新聞了，在國外甚至有專書教導大家如何使用 Google 來做 Hacking:

(Google Hacking for Penetration Testers)

而 Google 的新服務 Code Search 推出之後，已經不是資訊人員把關就夠了，而是整個內部控制流程都必須有一套標準規範，否則任意把程式放在開放的空間，企業內部的資料庫密碼可能瞬間就流入他人之手。

以常見的 WordPress 為例:
http://google.com/codesearch?q=+lang:php+file:wp-config+user+-sample&start=10&sa=N

會被 Code Search 搜尋到大部份以人為流程上的疏失較多，如:
1.打包放在備份主機上
2.打包提供給客戶下載
3.FTP 上傳到另一台主機上，解壓完卻沒刪掉
4.原本的 Web Server 突然不支援某種語言了

如果是自行開發的軟體，檔名儘量避免使用 config 或 setup 之類的通俗單字，密碼變數也儘量少用 password 或 passwd 。至於資料庫對於連入的帳號也必須同時做 IP 限制，經過層層防護才能把風險降到最低。

如果企業還沒有自覺到網路時代對於資訊安全的威脅，只能套句獵人的台詞來形容:

光著身子立於雪地之中而不覺的冷