セキュリティに関する論文を公開しているInformation Security Writers Webというサイトが面白い論文を公開したが,その1つはDebasis Mohanty氏が書いた「Demystifying Google Hacks」(Googleハックを解析する)である(該当サイト)。
ぜい弱性のあるサイトをGoogleで探せる
この論文は,既知の弱点を抱えたサイトを探すために,Googleで特定の検索構文を使ういくつかの方法を概説している。例えば,Googleはintitle:,inurl:,allinurl:,filetype:,intext:などのコマンドを含むクエリー構文をサポートし,これらでWebサイトのぜい弱性を調べられるのだ。Googleだけがこういったクエリー構文を利用できるようにしている検索エンジンなのではない。MSN Search,AlltheWeb,Yahoo!,そのほかも程度の差はあれ同様の構文をサポートしている。
侵入者が検索エンジンを使っているなら,同じテクニックを使って自分のWebサイトに穴がないかどうかチェックしてみるべきだろう。Web関連の新しい弱点が公開されたときにそういう検索を繰り返すのも賢明かもしれない。その方法を,自分のシステムをスキャンするための1つの方法と考えるのだ。Webサービスをサポートするハニーポットに偽りのURLを仕掛けておいて,様々な検索エンジンにハニーポットのURLを追加することもできる。
フリーソフトを併用して効率的に調べる
自分のWebサイトにある弱点を探すために検索エンジンを使う方法の欠点は,次々にクエリーをタイプしたりペーストしたりするのが退屈な仕事だろうということだ。明快な解決策はクエリーを記録して実際のクエリー操作と結果の収集作業を自動化するスクリプトを使うことだ。ITセキュリティ・ベンダーの米Foundstoneは,特定のサイトにある弱点をスキャンするためにGoogleを使う作業を自動化するフリーのツール「SiteDigger」を2004年5月にリリースした(該当サイト)。私は何回かSiteDiggerを使ったが,実にうまく機能する。
Site Diggerは前もって定義された100以上のクエリー(弱点のサイン)のリストを持っており,その中であなたは単にWebサイトのアドレスを入力してGoogleへのクエリー作業を始めるためにボタンをクリックするだけでよい。クエリーが完了した後は,レポートをHTMLフォーマットで簡単に書き出せる。
サインはXMLフォーマットで記録されているので,必要があればさらに追加したり,現在の規則をカスタマイズしたりできる。もしそうする場合,このツールはFoundstoneのWebサイトが利用可能ならそこから新しいクエリーをダウンロードするアップデート機能も備えていることにご注意いただきたい。私はそのアップデート作業がサインのファイルを完全に上書きするかどうかは確認していない。上書きしてしまう場合に備えて変更を加えたサインのコピーを保存しておくとよいだろう。
