Einmal ist Keinmal! Das Medienblog

Webserver-Sicherheit überprüfen mit GoogleDiggity

[singlepic id=89 w=200 h=163 float=right]Ist mein Webserver sicher? Das fragt sich wohl jeder Betreiber einer Webseite oder eines Blogs von Zeit zu Zeit, zumindest wenn man nicht nur Webspace gemietet hat sondern tatsächlich auch den Server als solchen selbst betreibt. Es gibt da tausende Dinge zu beachten und man kann wirklich viel Zeit investieren. Ein wirklich nützliches Windows-Tool, das diverse Sicherheitslücken von außen überprüft, hat jetzt das Google Hacking Diggity Project veröffentlicht. Grundsätzlich wird dafür eine relativ alte Methode reaktiviert, das so genannte und früher populäre Google Hacking, also das finden von Sicherheitslücken über Google. Durch Änderungen an der SOAP-API und an den Nutzungsbedingungen hatte Google dieses eigentlich unterbunden, aber unter anderem durch eine Beschränkung der Anfragen auf maximal 64 Resultate ist jetzt eine entsprechende Verwendung wieder möglich.

Das veröffentlichte Kommandozeilen-Tool hört auf den Namen GoogleDiggity und muss vor der Benutzung heruntergeladen werden und in einen Ordner entpackt werden. Anschließend muss man es über die Kommandozeile aufrufen. Nachfolgend ein paar Beispielaufrufe (ein Aufruf ohne Parameter bringt eine kleine Hilfe zum Vorschein):

Prüfen auf alle bekannten Suchstrings, mit Hilfe der mitgelieferten "Google Hack Query Files":

GoogleDiggity.exe -f "GHDB and FSDB - All.txt" -d einmalistkeinmal.de

Man kann aber natürlich nicht nur seine eigene Webpräsenz überprüfen, sondern zum Beispiel auch andere Server finden, die bestimmte Fehlermeldungen ausspucken und damit evtl. auf bestimmte Sicherheitslücken schließen lassen. Das sieht dann zum Beispiel so aus:

D:\Program Files\googledigity>GoogleDiggity.exe -f "Error Messages.txt"

GoogleDiggity - Version 0.1
Stach & Liu, LLC - http://www.stachliu.com

Google it's time to get Digity with it...
Writing Ouput to: output.txt
Started: 03.08.2010 12:14:30

Queries loaded from file Error Messages.txt

GoogleDigity searching FSDB;;Error Messages;;intitle:"the page cannot be found" inetmgr on domain

Using the query - FSDB;;Error Messages;;intitle:"the page cannot be found" inetmgr
GoogleDigity found about 104 results.

http://www.camelia.com/_downloads/screensaver%2520Projector
http://www.polar-heartrate-monitors.com/
http://stackoverflow.com/questions/467188/why-would-an-aspx-file-return-404-the-page-cannot-be-found
https://neasos.cnet.navy.mil/cgi-bin/loginwban.cfm
http://imar.spaanjaars.com/254/why-do-i-receive-a-the-page-cannot-be-found-error-with-aspnet-on-windows-server-2003
http://www.aidsresponsibility.org/africa/africaphotos.cfm
http://webarchive.nationalarchives.gov.uk/20100202100434/euromedbarcelona.org/home_en
http://www.epsrc.ac.uk/Pages/Custom404.aspx
http://www.barrowbc.gov.uk/default.aspx%3Fpage%3D100
http://www.reelworld.ca/news/newsItem.cfm%3Fcms_news_id%3D55
http://www.wcbcf.ca/winnipeg08.php
(usw...)

Die Ergebnisse schreibt GoogleDiggity dann in eine Datei namens output.txt, die sich am besten in einem Tabellenverarbeitungsprogramm betrachten lässt.

Definitiv ein nützliches Tool, das aber natürlich auch zum Missbrauch einlädt. Über so genannte Google Hacking Alerts beziehungsweise Bing Hacking Alerts kann man sich übrigens automatisiert warnen lassen, wenn der eigene Server in der Liste unsicherer Systeme auftaucht. Achja, wer Bing nutzen will kann übrigens auch BingDiggity verwenden. Auch eine grafische Benutzeroberfläche ist angekündigt, in meinen Augen dank des geringen Funktionsumfangs aber nicht notwendig.