9. März 2008

Google Hacking Reloaded

Category: Hacking,Internet — Christian @ 22:32

Google Hacking wird offensichtlich immer wichtiger. Viele angreifbare Webseiten lassen sich mit trivialen Google-Anfragen finden und auch vertrauliche Informationen tauchen gerne mal bei Google auf. Bisher war die Standardreferenz die Webseite I Hack Stuff von Johnny Long sowie sein Vortrag auf der Black Hat Europe 2005 (PDF). Von ihm stammt auch die Original Google Hacking Database.

Inzwischen gibt es auch Interfaces zur Google Hacking Database:

Das „offizielle“ Online-Portal scheint Gnucitizen zusammengestellt zu haben. Dort nennt sich die Seite GHDB v1.0a mit dem Untertitel „The online Google Hacking, Ethical Penetration Testing Tool (v1.0a)“. In der linken Menüleiste tauchen immer die neuesten Google Dorks auf. Allerdings kann man hier auch nicht mehr machen als direkt mit der Google-Webseite.

Einen anderen Ansatz verfolgt die Cult of the Dead Cow (cDc), von denen vor Jahren auch BackOrifice entwickelt wurde. Mit dem Goolag-Scanner den man sich auf der Seite Goolag.org herunterladen kann besteht die Möglichkeit, direkt Anfragen an Google zu schicken und auswerten zu lassen. Sogar Bruce Schneier ist beeindruckt.

Ebenfalls von Johnny Long gibt es Gooscan für Linux. Johnny bezeichnet das Programm als „cgi-scanner“, der jedoch nie im Logfile des untersuchten Webservers auftaucht sondern alle Anfragen via Google schickt.

Heise UK geht inzwischen sogar der Frage nach ob Google Scanning legal ist. Insbesondere das US-Recht hat gelegentlich seltsame Vorstellungen von „Trespassing“, so wurde David Ritz in North Dakota verurteilt, der unerlaubt einen DNS Zonentransfer durchgeführt hat. In Deutschland stellt sich die Frage in dieser Form nicht, der relevante § 202a StGB „Ausspähen von Daten“ verlangt, dass die Daten geschützt sind.

3 Comments

  1. ich LIEBE google:
    das ist auch gruselig googelig:

    http://www.googlewatchblog.de/2008/03/10/g-archiver-spioniert-zugangsdaten-der-user-aus/

    Comment by Benno Ohnesorg — 11. März 2008 @ 16:59

  2. Hihi, da kann aber mal Google nix dafür.

    Das Dementi klingt allerdings auch recht flach:

    „It has come to our attention that a flaw in the coding of G-Archiver may have revealed customer’s Gmail account usernames and passwords.What happened was that a member of our development team had inserted coding used for testing G-Archiver in the debug version and forgot to delete it in the final release version.“

    Jaja …

    Comment by Christian — 11. März 2008 @ 17:09

  3. Kommentare gesperrt wegen Spam

    Comment by Christian — 11. März 2009 @ 17:17

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.