Di recente sono state messe in evidenza alcune tecniche involontariamente fornite dal motore di ricerca di Google, che permetterebbero di individuare facilmente (anche da parte di un utilizzatore medio) alcune debolezze di siti internet. La lista di debolezze vi potrà far capire quali sono i rischi di una non corretta configurazione di sicurezza delle risorse on-line e quali sono i siti potenzialmente vulnerabili e, se vi identificate in uno dei possibili casi di attacabilità, vi consiglio di mettervi al più presto al riparo da possibili attacchi (mettendo delle password per esempio).
1. Webcam: con le seguenti stringhe di ricerca potete individuare telecamere di sicurezza on-line e in molti casi potete avere il loro controllo completo attraverso internet.
inurl:"viewerframe?mode=motion" (richiede un activeX)
intitle:"snc-rz30 home" (richiede un activeX)
intitle:"WJ-NT104 Main"
inurl:LvAppl intitle:liveapplet
intitle:"Live View / - AXIS"
inurl:indexFrame.shtml "Axis Video Server"
2. Visualizzare siti bloccati: con questo trucco potrete individuare tutti quegli url che sono stati nascosti di proposito ai robots e gli spiders dei moteri di ricerca per far sì che non appaiano nei risultati di ricerca; per far questo è stato utilizzato il file robots.txt.
"robots.txt" "disallow:" filetype:txt
3. Individuare i login di FrontPage: conquesto trucco potrete individuare i file contenenti gli username e password degli utenti di FrontPage; le password sono criptate ma con programmi come "John The Ripper" non sarà difficile decriptarle. Una volta ottenute le credenziali, se avete frontpage installato sul vostro pc potrete gestire il sito attaccato.
inurl:_vti_pvt "service.pwd"
4. Informazioni utenti VNC: con questo trucco potrete individuare le pagine di login deli utenti VNC. Ovviamente l'accesso è protetto da password e dovrete utilizzare un software di Brute Force password cracking.
"vnc desktop" inurl:5800
5. Stampanti di Rete: conquesto trucco potrete individuare stampanti di rete accessibili da internet.
inurl:"port_255" -htm
6. Pannelli di gestione di MySql: questo trucco permette di individuare pannelli di amministrazione del SQL Server Mysql disponibili tramite internet
intitle:phpMyAdmin "Welcome to phpMyAdmin ***" "running on * as root@*"
Nessun commento:
Posta un commento