網路攻防戰之網路攻防戰之Web入侵手法分析(精華版)Web入侵手法分析(精華版)注意事項�部份簡報為節省版面,請點選各張簡報標註之超連結自行參閱。�本場次的Demo示範因場地之限Demo時無法再將字形及畫面放大,想要抄筆記的同學請盡量往前坐。及畫面放大想要抄筆記的同學請盡量往前坐�本場次示範之手法為避免煽惑他人犯罪,部分破壞性資訊例如:關鍵參數、語法已做相關隱藏處理。訊例如:關鍵參數語法已做相關隱藏處理�本場次示範所使用之惡意軟體受限於相關法律規定請勿索取索取。議程利用知名搜尋引擎尋找目標搜WebServer•基本、進階、其它語法與關鍵字•搜尋存在漏洞的網站•搜尋存在漏洞的網站•查找別人留下來的Webshell後門網站攻擊者思考:GoogleHacks「水可以載舟亦可以覆舟搜尋引擎雖然為企�「水可以載舟,亦可以覆舟」,搜尋引擎雖然為企業網站增加曝光度,但強大的搜尋技術卻也讓企業不想曝光的網站弱點與機密資訊現形造成駭不想曝光的網站弱點與機密資訊一一現形,造成駭客攻擊的索引指南或內部資料外洩。�而駭客或一般人使用搜尋引擎尋找資料(難度很低、又不需懂太多技巧),會在「有意」或「無意」間取又不需懂太多技巧),會在有意」或無意」間取得網站的不想公開的資料超連結,進而下載轉存。�針對非以網站為主要商務往來之中小型企業的成功率高且被發現攻擊的風險低造成駭客攻擊前收集率高且被發現攻擊的風險低,造成駭客攻擊前收集目標資料的好方法。�手法缺點:�對目標明確的單一目標網站(例:政府、金融網站)對目標明確的單目標網站(例:政府金融網站)成功率不見得高,僅適合攻擊前灑網捕魚,來尋找具有Web漏洞的網站作為參考。具有Web漏洞的網站作為參考。�對剛架設的新生兒網站或舊網站卻剛新增的網頁資料會找不到相關搜尋的索引資料。基本語法與關鍵字�site:(搜尋特定網址)�inurl:(搜尋特定連結)inurl:(搜尋特定連結)�intext:(搜尋網頁內文字)ititl(搜尋網頁標題)�intitle:(搜尋網頁標題)�filetype:(搜尋特定檔案格式)�link:(搜尋互相連結的網頁)�“indexof“(搜尋開放目錄瀏覽)�indexof(搜尋開放目錄瀏覽)�cache:(顯示網頁在google中的暫存資料)進階語法與關鍵字"accessdeniedforuser""usingpassword"�"accessdeniedforuser""usingpassword"�"Indexof/backup"�allinurl:adminmdb�inurl:passlisttxt�inurl:passlist.txt�"-FrontPage-"ext:pwdinurl:(service|authors|administrators|users)�"ASP.NET_...
