Google Hacking Database – ハック向けGoogleキーワード集

Googleの検索キーワードを工夫すると、サイトの持ち主が意図していなかった隠れたデータを探せる、というのはたびたび話題になる。

Googleを使ってサイトのセキュリティテストをするという著書もあるJohnny Long氏による、既知のそういったキーワードのデータベース Google Hacking Database のURLが変更されたようだ。(データの更新は2006年で止まったままのようだが)

Google Hacking Database

いろいろなカテゴリーの検索キーワードがある。いくつかカテゴリーを紹介すると

  • すでに知られているセキュリティホールで放置されているものを探す
  • エラーメッセージに出さなくてもいい情報まで表示されているものを探す
  • 重要な情報、ユーザ名、パスワードなどを検索する
  • 商品やオープンソースアプリのログイン画面を検索する
  • ファイアウォールやサーバのログファイルを探す
  • プライバシー情報、顧客リストなどを探す
  • ネットに接続しているプリンターやカメラなどのハードウェアを探す

などなど。それぞれのカテゴリに大量の実例が載っていて、これらの検索キーワードを考案した人たちのアイデアの豊かさには驚かされる。大量にありすぎて、わが身を振り返ってチェックするのはたいへんだが、勉強になることは間違いない。

[GHDBについて過去に日本語で解説されているページ]

ITMedia: Googleハッキング

Geekなページ: クラッカーがGoogleを使って脆弱なサイトを探す方法の例

この記事は移転前の古いURLで公開された時のものです

  • ブックマークが新旧で分散している場合があります。
  • 移転前は現在とは文体が違い「である」調です。(参考)
  • 記事の内容が古くて役に立たなくなっている、という場合にはコメントやツイッターでご指摘いただければ幸いです。最新の状況を調べて新しい記事を書くかもしれません

「Google Hacking Database – ハック向けGoogleキーワード集」への2件のフィードバック

  1. ・サイボウズが導入されているサーバを探す

    /cgi-bin/cbag/ag.cgi

    ログイン認証画面のユーザー名プルダウンは個人情報を外部に晒されるのでおすすめできない
    利便性とのトレードオフといったところか

  2. そうですね。設定でユーザ名もタイプするようにできるので、インターネットに晒すのであればそちらを使うべきでしょう。

コメントを残す

メールアドレスが公開されることはありません。