Virtual Agency Esci dalla modalità Reader

Utilizzare Google Hacking Database per difendersi

Google Hacking è una tecnica di ricognizione utilizzata da parte di malintenzionati per scoprire le impostazioni e le vulnerabilità delle piattaforme web.

L’hacking di Google (o Google Dorking) utilizza gli operatori di ricerca avanzati di Google per identificare le ridondanze nei sistemi di sicurezza (inteso come errore o modalità di impostazione della sicurezza ricorrente) e colpire i file (formati come .pwd o .sql) che contengono informazioni vitali per il funzionamento o per la privacy del sito.

Lo scopo di questo articolo è quello di permettere ai consulenti di verificare tramite ricerche che ricalcano i metodi di aggressione ai siti se la propria piattaforma è sicura.

Conoscere il Google Hacking Database non è illegale se utilizzato per controllare lo stato di sicurezza del proprio sito.

Come controllare le hacking di Google?

Esiste una raccolta dei metodi utilizzati per utilizzare Google come strumento per controllare la sicurezza del sito che si chiama Google Hacking Database, o GHDB, ed è stato creato nel 2000 da Johnny Long per catalogare dei check di sicurezza.

Per fare un esempio, la query di ricerca che elenca i file SQL (filetype:sql) disponibili all’interno delle directory pubbliche indicizzate da Google in cui viene abilitato l’elenco delle directory, ossia intitle:"index of", quindi:

intitle:"index of" filetype:sql

Produrranno una SERP che conterrà tutti i siti che rispondono alla query. Naturalmente è possibile restringere la ricerca sul proprio sito, aggiungendo l’operatore di ricerca site:, a cui aggiungere il proprio dominio:

site:nome-dominio.com intitle:"index of" filetype:sql

Categorie del Google Hacking Database

Per rendere più fruibile il database sull’utilizzo per hacking di Google sono state generate delle categorie che raccolgono determinati tipi di operazione (e di conseguenza di problemi) generabili con il motore di ricerca.

Tra le categorie più utilizzate troviamo:

Pagine contenente le informazioni sul login del portale

In questa categoria rientrano tutte le pagine generate da servizi in cloud, CRM e molto altro che possono contenere informazioni relative al plugin.

L’elenco è molto lungo e per essere utilizzato al meglio richiede che l’utilizzatore conosca preventivamente le pagine relative al login e le informazioni che le contraddistinguono.

Non esiste un reale elenco ordinato per software o brand, motivo per cui risulta molto più semplice inserire le informazioni relativa alla propria pagina o scorrere il lungo elenco un paio di volte.

File contenenti informazioni importanti

Un’altra categoria estremamente a rischio è quella dei file contenenti informazioni importanti per la piattaforma o per il business contenuto.

I file ricercati in questo caso riguardano quelli che contengono informazioni private, e che di fatto utilizzano diverse combinazioni degli operatori di ricerca filetype:reg e inurl:

File contenenti password

Si tratta della categoria con più difformità all’interno, nel senso che effettivamente le tecniche per poter trovare i file contenenti password sono tanti e ben specifiche. Anche in questo caso ci sono delle ridondanze anche se meno evidenti, e riguardano l’utilizzo dell’operatore intitle:

Individuazione del server

Si tratta di una categoria meno difforme dalle altre al suo interno in quanto ad utilizzo degli operatori di ricerca, visto che si concentrano sull’uso di intitle: e inurl: per l’individuazione delle informazioni vitali dei server.