Взлом с помощью Google dl // 01.08.03 01:48
Не сказать, чтобы это было новостью, но к таким вещам полезно периодически привлекать внимание. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2003/08/01.html] Оказывается (ну надо же, кто бы мог подумать :), Гугль и другие поисковики прекрасно проходят по всяким ссылкам на спрятанные страницы (на которых заботливо собраны САМЫЕ ВАЖНЫЕ ПАРОЛИ), оставленным вебмастерами по недосмотру или с помощью кривого софта. И, о ужас, эти страницы может увидеть кто угодно, включая злобных хакеров, и, пуще того, они могут быть давно удалены спохватившимся вебмастером, но сохранены в кэше поисковика.
Тот факт, что подобные критичные страницы нормальные люди вообще-то прикрывают паролем, в статье почему-то не упоминается. Впрочем, ничего удивительного я в этом не вижу - с ростом веба растет и число глупейших ошибок, которые вроде бы уже давным-давно обнаружили, обсудили и благополучно забыли...
> Оказывается (ну > надо же, кто бы мог подумать :), Гугль и другие поисковики > прекрасно проходят по всяким ссылкам на спрятанные страницы Где они находят ссылки на спрятанные страницы?
> И, о ужас, эти страницы может увидеть кто угодно Только при условии нахождения ссылок. Как определить, какие файлы есть в директирии, если в ней имеется index.html? Или если в конфиге апача запрещена генерация листинга файлов?
До тех пор, пока не получу ответы на эти вопросы, смысл статьи буду считать бредом.
Взлом с помощью Google06.08.03 07:59 Автор: cybervlad <cybervlad> Статус: Elderman
> Только при условии нахождения ссылок. Как определить, какие > файлы есть в директирии, если в ней имеется index.html? Или > если в конфиге апача запрещена генерация листинга файлов? 1. апач - не единственный веб-сервер
2. не надо пытаться ОПРЕДЕЛИТЬ какие есть файлы, можно просто попробовать запросить файлы с определенными именами. как не прискорбно, это работает.
> До тех пор, пока не получу ответы на эти вопросы, смысл > статьи буду считать бредом. и мы все зарыдали и забились в истерике от такой обиды ;)
задействуйте голову и читайте текст внимательнее, а также сходите по ссылке на оригинальную статью и почитайте подробнее.
Взлом с помощью Google06.08.03 01:23 Автор: dl <Dmitry Leonov>
> > Оказывается (ну > > надо же, кто бы мог подумать :), Гугль и другие > поисковики > > прекрасно проходят по всяким ссылкам на спрятанные > страницы > Где они находят ссылки на спрятанные страницы?
Достаточно было корректно процитировать заметку, хотя, конечно, тогда не было бы повода задавать вопрос:
"...оставленные вебмастерами по недосмотру или с помощью кривого софта".
Например, когда-то при установке Front Page Extensions пароли вполне открыто могли лежать в файлах с именами типа _vti_inf.htm (как-то так), которые на раз вытягивались через поисковики.
> > И, о ужас, эти страницы может увидеть кто угодно > Только при условии нахождения ссылок. Как определить, какие > файлы есть в директирии, если в ней имеется index.html? Или > если в конфиге апача запрещена генерация листинга файлов?
Мне действительно нужно объяснять, что, возможно незначительный процент сайтов, для которых не выполняются эти условия (или не выполнялись в тот момент, когда они были проиндексированы), в абсолютных значениях легко может оказаться вполне приличным?
> До тех пор, пока не получу ответы на эти вопросы, смысл > статьи буду считать бредом.