Google搜索工具存在严重隐患 成为黑客帮凶

    不论你在何处上网，Electric Bong就是处于危险之中。一种精心策划的Google查询可能会允许黑客获取Google的大量数据，黑客可以依此发动攻击活动。

    Electric Bong，是指大量的家用电子产品。安全研究人员Johnny Long发明，家庭电子网络中存在一种不受保护的Web界面。在每个产品中，有两个按钮，一个是打开，一个是关闭。Johnny Long是CA公司的研究人员，也是“Google Hacking for Penetration Testers”一书的作者。上周，在拉斯维加斯举行的黑帽大会上，他指出用户没有意识到，强大的Google搜索工具存在着惊人的漏洞。

    此外，他和其它研究人员还发现，没有安全保护的Web界面可以使黑客控制这种产品，包括家庭网络、PBX企业电话系统、路由器、Web摄相机以及网站等。上述所有的产品都可以通过Google进行渗透。当然，Google成为黑客工具，还远不只这些。同时，Google还可以当做黑客攻击的代理服务器。

    他表示，尽管安全软件可以辨别攻击者对公司网络的侦察行为，黑客仍能通过Google获得企业网络的拓扑信息。因此，网络管理人员就很难对此行为进行防范。“受到攻击的对象根本不知道黑客在侦察网络，收集有用的信息。”Long指出，这种信息通常以无意义信息的方式收集，Long称之为“Google Turds”,因为没有一个网站有诸如site:nasa之类的搜索信息，它会出现一个服务器列表，显示NASA内部网络的结构情况。

    通过整合Google查询信息和文本处理工具，黑客可以获得SQL口令，甚至是SQL的错误信息。黑客然后就可以发动所谓的SQL注入式攻击，这种攻击活动可以在SQL数据库上运行未授权的命令。“这就是Google攻击，你可以进行SQL注入，或者进行Google查询找到相同的信息。”尽管Google没有意识到自己在数据存储方向的存在的问题，实事是，Google已不知不觉地参与到了一些蠕虫攻击活动中，其以安全理由拒绝一些搜索查询，“最近，Google开始着手解决这个问题。”