Metody obrony przed atakiem

O Google Hacking | Zastosowanie ataku | Przykłady | Obrona przed atakiem


Jeśli nie chcemy narazić naszych danych na odnalezienie ich i uzyskanie dostępu za pomocą wyszukiwarki google musimy zastosować do kilku zasad, dzięki którym znacznie zmniejszymy ryzyko narażenia się na nieautoryzowany dostęp do naszych plików:

 

1. Należy sprawdzić, czy nie udostępniamy plików, które nie powinny być udostępnione. Powinniśmy w tym celu przeszukać katalogi, które udostępniamy.

 

2. Należy sprawdzić, co jest z naszego serwera zaindeksowane w wyszukiwarce:

Można to zrobić korzystając z operatora site. Przy dużych witrynach może nam zająć to sporo czasu.

 

 

3. Należy skonfigurować serwer tak, aby nie pokazywał list plików:

Często możemy spotkać listę plików z danego katalogu np.

Aby się przed tym zabezpieczyć możemy zrobić kilka rzeczy:

Można ustawić chmod 700 dla folderu, dla którego chcemy, aby nie była wyświetlana lista plików

Można zastosować plik htaccess o zawartości:

 

Options All -Indexes

 

Spowoduje to, że jeżeli wejdziemy do danego katalogu, to pokaże nam się błąd 404, dlatego, że wyszukiwarka będzie szukać pliku index.html lub index.php

Innym sposobem jest też wrzucić do katalogu pusty plik index.html lub index.php.

 

4. Blokada dostępu dla robotów – czy plik robots.txt rozwiązuje problem?

 

W celu zabezpieczenia własnych danych często stosowany jest plik robots.txt w celu blokady dostępu do danych dla robotów indeksujących. Jeśli chodzi o ten plik to mamy dwie pułapki. Po pierwsze plik robots.txt nie do końca blokuje dostęp dla robotów. Jeżeli do zablokowanej treści dostępne są linki gdzieś w sieci, to google i tak to zaindeksuje. Drugą pułapką tego pliku jest to, że każdy może wyświetlić jego zawartość, a jeżeli odbierzemy mu uprawnienia, to ten plik nie będzie poprawnie funkcjonował.

Jak w takim razie zablokować możliwość dostępu do niektórych plików na serwerze. Trzeba ustawić odpowiednie uprawnienia dla wrażliwych plików i folderów. Oprócz tego z pomocą przychodzi nam plik .htaccess dzięki któremu możemy zablokować wyświetlanie danych zasobów, zastosować hasło dla katalogu, umożliwić dostęp do zasobów tylko z konkretnych adresów IP, itp.

Na temat konfiguracji .htaccess przeczytać można na www.htaccess-guide.com

Do blokowania dostępu dla robota google nie musimy korzystać z pliku robots.txt. Google udostępnia narzędzie „Google Webmaster Tools”. Wystarczy umieścić na własnym serwerze specjalny plik, który potwierdzi, że jesteśmy właścicielem serwera. Potem mamy dostęp do wielu narzędzi. Jednym z wielu możliwości jest to, że możemy blokować całość lub część zasobów przed indeksacją.

W celu zablokowania indeksacji możemy również zastosować następujący metatag:

Gdzie za x możemy podstawić:

 

"index" - strona, na której wstawiono polecenie, będzie indeksowana przez roboty sieciowe (indeksery) - domyślnie

"noindex" - strona, na której wstawiono polecenie, nie będzie indeksowana

"follow" - przechodzenie do stron, do których odnoszą się odsyłacze, znajdujące się w dokumencie - domyślnie

"nofollow" - robot nie przechodzi do stron stron wskazywanych przez odsyłacze wstawione na stronie, ale może je zaindeksować, jeżeli istnieją inne linki umieszczone na stronach bez tego zakazu

"index, nofollow" - indeksuje stronę, nie przechodzi do stron wskazywanych przez odsyłacze

"noindex, follow" - nie indeksuje strony, na której wstawiono polecenie, przechodzi do stron wskazywanych przez odsyłacze

"all" = "index, follow" - indeksuje wszystko (domyślnie)

"none" = "noindex, nofollow" - nie indeksuje nic

Jeżeli chcemy zablokować indeksowanie tylko niektórych linków możemy zastosować klauzulę rel="nofollow" np. Link

 

5. Test penetracyjny

Możemy również przeprowadzić testy penetracyjne naszego serwera. Możemy to zrobić za pomocą narzędzia gooscan, które jest dostępne w dystrybucji linuksa o nazwie Backtrack.

Video

 

6. Ukrywanie informacji o naszym serwerze

Powinniśmy również ukryć wszelkie informacje dotyczące naszego serwera, naszej domeny, gdyż bardzo łatwo można się do nich dostać przez wyszukiwarkę. Powinniśmy ukryć bądź usunąć wszelkie informacje mówiące o tym z jakiego oprogramowania, z jakich skryptów korzystamy, ukryć informacje o tym z jakiego oprogramowania korzysta nasz serwer. Powinniśmy również wyłączyć wyświetlanie błędów na stronie. Takie informacje mogą być niezwykle cenne dla hakerów, którzy mogą chcieć nas zaatakować.