精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

黑客們一直在尋找能夠利用的漏洞，獲取訪問公司網(wǎng)絡、工業(yè)控制系統(tǒng)、金融數(shù)據(jù)等的權限。黑客工具箱隱藏得最深的工具當屬 Google Dorking，該工具可以識別出存在漏洞的系統(tǒng)，并發(fā)現(xiàn)它們在互聯(lián)網(wǎng)上的特定位置。

因此問題來了：Google Dorking 的工作方式是怎樣的？有哪些與之相關聯(lián)的風險？機構如何盡可能地減少暴露風險？

上個月美國馬里蘭州舉行的Gartner安全與風險管理峰會上，發(fā)布的調(diào)查顯示，全球IT安全開銷將會在2016年達到920億美金，而在2019年時將增長至1160億美金。盡管對于邊界防御投入甚多，行業(yè)仍舊在拼盡全力，做到先黑客一步。但最近接二連三發(fā)生的數(shù)據(jù)泄露事件讓人們對這些投資的效果產(chǎn)生了一定的懷疑。

顯然，大多數(shù)網(wǎng)絡攻擊者并不具有企業(yè)和政府級別的財力。然而，他們十分有效地利用了自己手中的工具。盡管商業(yè)和公共機構通常使用的是市面上最先進的技術，黑客仍舊能夠通過通過極小的切口，使用基于情報的方式制造巨大破壞。

在今年發(fā)生的一次著名網(wǎng)絡攻擊中，可能來自伊朗的黑客使用了一種被稱為 Google Dorking 的簡單技術，獲取了紐約某水壩計算機系統(tǒng)的控制權限。該技術很容易掌握，而且黑客經(jīng)常使用它來識別目標系統(tǒng)的漏洞，以及互聯(lián)網(wǎng)上可以獲取的敏感信息。Google Dorking 并不像是進行一次傳統(tǒng)的在線搜索那樣簡單，它使用谷歌搜索引擎中的高級變量來在搜索結果中找到特定的信息，比如版本號、文件名。

在使用Google高級變量進行搜索時的句法舉例如下：

Operator_name:keyword

在該技術出現(xiàn)之后，其基本原理也被使用在了其它搜索引擎上，比如Bing和Shodan。與此同時，任何擁有計算機、能夠訪問互聯(lián)網(wǎng)的人都能夠方便地通過維基百科等公開信息源學習高級變量的相關知識。即使是美國聯(lián)邦機構也正在關注 Google Dorking 造成的威脅。美國國土安全部和聯(lián)邦調(diào)查局在2014年發(fā)布了一份特別的安全備忘錄，向商業(yè)領域警告 Google Dorking。

那么機構應當如何應對 Google Dorking 產(chǎn)生的黑客入侵風險呢？以下是一些最佳方法：

1. 避免在互聯(lián)網(wǎng)上發(fā)布敏感信息

Google Dorking帶來的隱含風險在于，搜索引擎總是在掃描、監(jiān)控并收錄互聯(lián)網(wǎng)上的每個設備、端口、特定的IP地址。盡管收錄這些信息的原意在于供公眾使用，有些能夠被搜索引擎爬蟲接觸到的則本來屬于敏感信息。因此，如果錯誤配置了內(nèi)網(wǎng)和其它機密信息源，就很有可能導致意外的信息泄露。

2. 從搜索引擎索引中將敏感網(wǎng)站或網(wǎng)頁移除

確保包含敏感信息的網(wǎng)站或網(wǎng)頁無法被搜索引擎檢索。比如，GoogleUSPER提供了從谷歌的索引中移除整個站點、特定URL、緩存?zhèn)浞?、目錄的工具。另一個選項則是使用robots.txt文件來防止搜索引擎索引特定站點?？梢酝ㄟ^將此txt文件放在Web服務器的頂層目錄中來實現(xiàn)該效果。

3. 使用Google Dorking來進行Web漏洞測試

在日常的安全操作中加入定期測試Web漏洞的部分，并將Google Dorking作為你的主動式安全工具?？梢岳肎oogle Hacking Database這樣的在線倉庫，它會記錄下包含用戶名、存在漏洞的服務器、甚至是包含密碼的文件等的搜索句法。

Google Dorking 的存在表明，現(xiàn)在到了重新思考日常漏洞評估和漏洞管理措施的時候了。最終而言，決定我們消除網(wǎng)絡風險能力的并不是我們使用的工具，而是我們使用它們的方式。換言之，我們需要找到方法，將浪費時間的安全操作自動化，并使用基于情報的手段，更方便地確定漏洞是否真正能夠被利用，以及其意味著的風險。