以前に私は,Debasis Mohanty氏がまとめたホワイトペーパー「Demystifying Google Hacks」について触れた(「あなたのWebサイトの穴をGoogleが知っている」)。そのホワイトペーパーは,Googleに特定のクエリー構文を入力することで,既知のぜい弱性を持つ可能性があるWebサイトを探す方法を解説したものだ。実はGoogle以外にも,MSN Search, AlltheWeb, Yahoo! Searchなども似たようなコマンドをサポートしている。
Webカメラを使うサイトが危ない
例えば,Googleがサポートしているのは,「intitle:」「inurl:」「allinurl:」「filetype:」「intext:」などのコマンドを使ったクエリー構文である。
ご存知のように,検索エンジンを悪用して弱点のあるサイトを見つけるワーム「Santy」が2004年のクリスマス休暇中に確認された。 また最近,だれかが技術情報系のブログ・サイトで,「ぜい弱性をもつWebカメラ・サイトの場所を特定できる検索用のクエリーを見つけた」というメッセージを投稿した。
ワームの作者や第三者が,ぜい弱性をもつサイトを探すために検索エンジンを使っているのなら,同様にあなた自身もWebサイトのぜい弱性を見つけるために同じ方法を使いたいと思うだろう。次々にクエリーを検索エンジンに入力したり,ペーストしたりする代わりに,クエリーを記録しておき,実際の検索と結果の収集作業を自動化するためにスクリプトを使えばいいわけである。
専用ツール「SiteDigger」の新版が登場
もうひとつのソリューションは,この作業に向く専用のツールを使うことである。米McAfeeに買収された米Foundstoneは,2005年1月に「SiteDigger」の新バージョンをリリースした。このツールはGoogleを使って対象サイトの弱点をスキャンする作業を自動化するものだ(関連記事)。
SiteDigger 2.0では,複数の改良が施されている。Foundstoneは,そのツールが今や「10倍多い結果」を提供するとうたっている。このツールでは,さらにユーザー・インターフェースを改良し,ヘルプ・ファイルを拡張し,レポーティング機能を強化している。
同社は,SiteDigger 2.0では誤検出が少ないとも言っている。これは,現実には存在しないぜい弱性を警告することが少ないという意味だ。この新しいツールは,ユーザーがクエリーを設定して検索させる「rawサーチ」を実行できるので,ご想像の通り,最新の弱点のいくつか,例えば内部をさらけ出してしまうWebカメラのようなものも検出できる。
SiteDiggerを使うには「Microsoft.NET Framework」が必要なほか,「Google API」にも依存しているので,そのAPIライセンス・キーを取得する必要がある。それは簡単な手順で済む。ライセンス・キーを取得する方法は,同社のWebサイトに掲載されている(該当サイト)。
Foundstoneは,SiteDiggerでGoogleのクエリーしか使えないように制限している。私は同社が他の主要な検索エンジンのサポートを追加したなら,このツールはさらにもっと役に立つのにと思う。そうはいっても,今のままでも十分役に立つツールである。無償でダウンロードできるので,入手して試してみてほしい。
