使用 Google Code Search 尋找資料庫密碼
用 Google 來破解網站已經不是什麼新聞了,在國外甚至有專書教導大家如何使用 Google 來做 Hacking:
(Google Hacking for Penetration Testers)
而 Google 的新服務 Code Search 推出之後,已經不是資訊人員把關就夠了,而是整個內部控制流程都必須有一套標準規範,否則任意把程式放在開放的空間,企業內部的資料庫密碼可能瞬間就流入他人之手。
以常見的 Wordpress 為例:
http://google.com/codesearch?q=+lang:php+file:wp-config+user+-sample&start=10&sa=N
會被 Code Search 搜尋到大部份以人為流程上的疏失較多,如:
1.打包放在備份主機上
2.打包提供給客戶下載
3.FTP 上傳到另一台主機上,解壓完卻沒刪掉
4.原本的 Web Server 突然不支援某種語言了
如果是自行開發的軟體,檔名儘量避免使用 config 或 setup 之類的通俗單字,密碼變數也儘量少用 password 或 passwd 。至於資料庫對於連入的帳號也必須同時做 IP 限制,經過層層防護才能把風險降到最低。
如果企業還沒有自覺到網路時代對於資訊安全的威脅,只能套句獵人的台詞來形容:
光著身子立於雪地之中而不覺的冷
分類目錄
歷史資料
