Press "Enter" to skip to content

OWASP WSTG: Vyhledávání možných úniků informací pomocí průzkumu ve vyhledávačích (WSTG-INFO-01)

Níže nabízím překlad z Home > Stable > 4-Web Application Security Testing > 01-Information Gathering > Conduct Search Engine Discovery Reconnaissance for Information Leakage

Shrnutí

Aby vyhledávače fungovaly, počítačové programy (nebo roboti) pravidelně stahují data (nazývané crawling) z miliard stránek na webu. Tyto programy nacházejí webový obsah a funkce sledováním odkazů z jiných stránek nebo procházením souborů sitemap. Pokud webová stránka používá speciální soubor nazvaný robots.txt, ve kterém jsou uvedeny stránky, které nechce, aby vyhledávače stahovaly, pak budou tyto stránky ignorovány. To je základní přehled – Google nabízí podrobnější vysvětlení toho, jak vyhledávač funguje.

Testeři mohou k průzkumu webových stránek a webových aplikací používat vyhledávače. Existují přímé a nepřímé prvky zjišťování a průzkumu pomocí vyhledávačů: přímé metody se týkají prohledávání indexů a souvisejícího obsahu z mezipaměti, zatímco nepřímé metody se týkají získávání citlivých informací týkajících se návrhu a konfigurace prohledáváním fór, diskusních skupin a webových stránek zaměřených na výběrová řízení.

Jakmile robot vyhledávače dokončí procházení, začne indexovat webový obsah na základě značek a souvisejících atributů, jako je <TITLE>, aby mohl vrátit relevantní výsledky vyhledávání. Pokud není soubor robots.txt aktualizován po celou dobu existence webu a nejsou použity řádkové meta tagy HTML, které dávají robotům pokyn neindexovat obsah, může se stát, že indexy budou obsahovat webový obsah, který nebyl vlastníky zamýšlen. Majitelé webových stránek mohou k odstranění takového obsahu použít již zmíněný soubor robots.txt, meta tagy HTML, autentizaci a nástroje poskytované vyhledávači.

Cíle testu

  • Určete, jaké citlivé informace o designu a konfiguraci aplikace, systému nebo organizace jsou vystaveny přímo (na webových stránkách organizace) nebo nepřímo (prostřednictvím služeb třetích stran).

Jak testovat

Použijte vyhledávač k vyhledání potenciálně citlivých informací. To může zahrnovat:

  • schémata sítě a konfigurace;
  • archivované příspěvky a e-maily od administrátorů nebo jiných klíčových zaměstnanců;
  • postupy přihlašování a formáty uživatelských jmen;
  • uživatelská jména, hesla a soukromé klíče;
  • konfigurační soubory služeb třetích stran nebo cloudových služeb;
  • obsah odhalujících chybových zpráv; a
  • vývojové, testovací, akceptační a inscenační verze stránek.

Vyhledávače

Neomezujte testování na jednoho poskytovatele vyhledávače, protože různé vyhledávače mohou generovat různé výsledky. Výsledky vyhledávačů se mohou lišit podle toho, kdy byl obsah naposledy prohledán, a podle algoritmu, který vyhledávač používá k určení relevantních stránek. Zvažte použití následujících vyhledávačů (seřazeno abecedně):

  • Baidu, nejpopulárnější vyhledávač v Číně.
  • Bing, vyhledávač vlastněný a provozovaný společností Microsoft a druhý nejpopulárnější na světě. Podporuje pokročilá klíčová slova.
  • binsearch.info, vyhledávač binárních diskusních skupin Usenet.
  • Common Crawl, „otevřené úložiště dat z webového crawlování, které může přistupovat a analyzovat kdokoli.“
  • DuckDuckGo, vyhledávač zaměřený na soukromí, který kompiluje výsledky z mnoha různých zdrojů. Podporuje vyhledávací syntaxi.
  • Google, který nabízí nejpopulárnější vyhledávač na světě a používá systém hodnocení k pokusu o vrácení nejrelevantnějších výsledků. Podporuje vyhledávací operátory.
  • Internet Archive Wayback Machine, „budování digitální knihovny internetových stránek a dalších kulturních artefaktů v digitální formě.“
  • Startpage, vyhledávač, který používá výsledky Google, aniž by shromažďoval osobní informace prostřednictvím trackerů a protokolů. Podporuje vyhledávací operátory.
  • Shodan, služba pro vyhledávání zařízení a služeb připojených k internetu. Možnosti používání zahrnují omezený bezplatný plán i placené plány předplatného.

DuckDuckGo i Startpage nabízejí uživatelům určité zvýšené soukromí tím, že nepoužívají trackery ani neuchovávají logy. To může snižovat úniky informací o testerovi.

Vyhledávací operátory

Vyhledávací operátor je speciální klíčové slovo nebo syntaxe, která rozšiřuje schopnosti běžných vyhledávacích dotazů a může pomoci získat konkrétnější výsledky. Obecně mají formu operátor:dotaz (operator:query) Zde jsou některé běžně podporované vyhledávací operátory:

  • site: omezí vyhledávání na zadanou doménu.
  • inurl: vrátí pouze výsledky, které obsahují klíčové slovo v URL.
  • intitle: vrátí pouze výsledky, které mají klíčové slovo v názvu stránky.
  • intext: nebo inbody: bude vyhledávat pouze klíčové slovo v těle stránek.
  • filetype: bude odpovídat pouze konkrétnímu typu souboru, např. png nebo php.

Například pro nalezení webového obsahu owasp.org indexovaného běžným vyhledávačem je potřebná syntaxe:

Obrázek 4.1.1-1: Příklad výsledku vyhledávání na stránce Google

Zobrazení uloženého obsahu

Chcete-li vyhledat obsah, který byl dříve indexován, použijte operátor cache:. To je užitečné pro zobrazení obsahu, který se mohl změnit od doby, kdy byl indexován, nebo který již nemusí být dostupný. Ne všechny vyhledávače poskytují vyhledávání v uloženém obsahu; nejpoužitelnější zdroj v době psaní je Google.

Chcete-li zobrazit owasp.org tak, jak je uložené, syntaxe je:

Obrázek 4.1.1-2: Příklad výsledku operace Google Cache

Google Hacking nebo Dorking

Vyhledávání s operátory může být velmi účinnou technikou průzkumu, pokud je kombinováno s tvořivostí testera. Operátory mohou být řetězeny k efektivnímu nalezení specifických typů citlivých souborů a informací. Tato technika, nazývaná Google hacking nebo Dorking, je možná také s použitím jiných vyhledávačů, pokud jsou podporovány vyhledávací operátory.

Databáze dorků, jako je Google Hacking Database, je užitečným zdrojem, který může pomoci odhalit konkrétní informace. Některé kategorie dorků dostupné v této databázi zahrnují:

  • Základní přístupy
  • Soubory obsahující uživatelská jména
  • Citlivé adresáře
  • Detekce webového serveru
  • Zranitelné soubory
  • Zranitelné servery
  • Chybové zprávy
  • Soubory obsahující cenné informace
  • Soubory obsahující hesla
  • Citlivé informace o online nakupování

Databáze pro jiné vyhledávače, jako je Bing a Shodan, jsou dostupné ze zdrojů, jako je projekt Google Hacking Diggity od společnosti Bishop Fox.

Náprava

Pečlivě zvažte citlivost informací o designu a konfiguraci před jejich zveřejněním online.

Pravidelně přezkoumávejte citlivost existujících informací o designu a konfiguraci, které jsou zveřejněny online.