Tweet

脆弱なWebアプリやバックドアを発見

グーグルを脆弱性スキャナにする新ツール

2008/02/22

　検閲反対のスタンスで知られるハッカー集団、Cult of the Dead Cow（cDc）が、グーグルの検索エンジンを、使い勝手のいい脆弱性スキャナに変える新ツールをリリースした。

　ジョニー・ロング氏の「Google Dorks」――機密情報を見つけるための検索クエリ――にヒントを得たcDcの「Goolag Scan」は、さらに限界に挑み、Windows GUIベースのスタンドアロン検索アプリケーションを提供している。

　オープンソースのGoolag Scanには、脆弱なWebアプリケーション、設定ミスでバックドアが開いているWebサーバ、ユーザー名とパスワードなど、インターネット上で誤ってさらされてしまっている文書を検索するための約1500種のカスタムGoogleクエリがデフォルトで組み込まれている。

　「Webがプラットフォームであることは明白だ」とcDcの広報担当オクスブラッド・ラフィン氏は言う。「このプラットフォームは、セキュリティの観点から見るとかなりひどい。Goolag ScanはWebサイトオーナーが自分のサイトを修正する新たなツールを提供する」

　「北米、欧州、中東でこのツールを使ってランダムにテストしてみたところ、恐ろしい欠陥が見つかった。もしも私が政府機関や大企業、あるいは大規模なWebサイトのオーナーだったら、このツールをダウンロードして自分のサイトで試しているだろう。見つかった脆弱性はそれほど深刻なものだった」（ラフィン氏）

　このツールは.NETプログラムとして提供され、特定のサーバあるいはドメイン全体をグーグル検索できるように手動で設定できる。

原文へのリンク

（eWEEK Ryan Naraine）