计世网8月2日消息 不论你在何处上网,Electric Bong就是处于危险之中。一种精心策划的Google查询可能会允许黑客获取Google的大量数据,黑客可以依此发动攻击活动。
Electric Bong,是指大量的家用电子产品。安全研究人员Johnny Long发明,家庭电子网络中存在一种不受保护的Web界面。在每个产品中,有两个按钮,一个是打开,一个是关闭。Johnny Long是CA公司的研究人员,也是“Google Hacking for Penetration Testers”一书的作者。上周,在拉斯维加斯举行的黑帽大会上,他指出用户没有意识到,强大的Google搜索工具存在着惊人的漏洞。
此外,他和其它研究人员还发现,没有安全保护的Web界面可以使黑客控制这种产品,包括家庭网络、PBX企业电话系统、路由器、Web摄相机以及网站等。上述所有的产品都可以通过Google进行渗透。当然,Google成为黑客工具,还远不只这些。同时,Google还可以当做黑客攻击的代理服务器。
他表示,尽管安全软件可以辨别攻击者对公司网络的侦察行为,黑客仍能通过Google获得企业网络的拓扑信息。因此,网络管理人员就很难对此行为进行防范。“受到攻击的对象根本不知道黑客在侦察网络,收集有用的信息。”Long指出,这种信息通常以无意义信息的方式收集,Long称之为“Google Turds”,因为没有一个网站有诸如site:nasa之类的搜索信息,它会出现一个服务器列表,显示NASA内部网络的结构情况。
通过整合Google查询信息和文本处理工具,黑客可以获得SQL口令,甚至是SQL的错误信息。黑客然后就可以发动所谓的SQL注入式攻击,这种攻击活动可以在SQL数据库上运行未授权的命令。“这就是Google攻击,你可以进行SQL注入,或者进行Google查询找到相同的信息。”尽管Google没有意识到自己在数据存储方向的存在的问题,实事是,Google已不知不觉地参与到了一些蠕虫攻击活动中,其以安全理由拒绝一些搜索查询,“最近,Google开始着手解决这个问题。”