Dieser Artikel wurde maschinell übersetzt.
Beim Google-Hacking (manchmal auch „Google Dorking“ genannt) nutzen Hacker Suchmaschinen, um Sicherheitslücken zu identifizieren. Mit etwas Zeit und Such-Know-how könnte ein Hacker den besten Weg finden, Sie anzugreifen.
Es ist nicht klug, Ihre Website von Google zu entfernen. Ihre Kunden müssen Sie finden, und die meisten von ihnen werden dazu zu Suchmaschinen gehen. Sie können jedoch vorbeugende Maßnahmen ergreifen, um sicherzustellen, dass Hacker nicht herausfinden können, wie sie Sie über Google angreifen können.
Wie funktioniert ein Google-Hack?
Ein Google-Hack ist eine Recherchesitzung, die auf Daten basiert, die Sie der Öffentlichkeit über eine Suchmaschine zur Verfügung gestellt haben. Um sich und Ihr Unternehmen zu schützen, müssen Sie prüfen, was Sie Google zeigen und was privat bleiben sollte.
Hacker könnten jede Website für Recherchen nutzen. Aber da Google einen Marktanteil von 90 Prozent hat, ist der Firmenname zum Synonym für die Suche geworden. Deshalb nennen wir dies einen Google-Hack und nicht einen einfachen Suchmaschinen-Hack.
Es mag seltsam erscheinen, zum Aufspüren von Sicherheitslücken beispielsweise eine Suchmaschine zu verwenden. Aber leider ist diese Technik unglaublich effektiv.
Studien deuten darauf hin, dass etwa die Hälfte aller Entwicklungsteams anfälligen Code live schaltet, weil ihnen die Testzeit ausgegangen ist. Beim Google-Hacking suchen Experten nach jedem Punkt der Schwachstelle.
Sie könnten nach Folgendem suchen:
- Fotoapparate. Haben Sie über ein angeschlossenes Gerät Aufzeichnung wichtige Bewegungen verfügt?
- Verzeichnis. Können die Namen und Kontaktdaten wichtiger Mitarbeiter schnell gefunden werden?
- Passwörter. Indizieren Sie Ordner, die mit vertraulichen Informationen gefüllt sind? Verschlüsseln Sie diese Informationen?
- Portal. Können die Leute Ihre Anmeldung Landing-Page finden?
- Versionen. Verwenden Sie Software mit bekannten Schwachstellen? Widerstehen Sie dem Herunterladen von Sicherheitspatches?
Hacker verwenden erweiterte Suchoperatoren, um ihre Arbeit schneller und effizienter zu gestalten. In Kombination mit dem Namen Ihrer Site liefern diese Begriffe Seiten oder Texte, die sehr spezifisch und leicht zu analysieren sind.
Am Ende eines Google-Hacks weiß Ihr Gegner ziemlich viel über Sie und darüber, was Sie tun, um Ihr Unternehmen zu schützen. Dieser Angreifer kann keinen Angriff über Google starten, aber die Forschung könnte dieser Person helfen, ihre nächsten Schritte zu planen.
Verhinderung von Google-Hacking-Angriffen
Sie sollten sich vor dieser Art von Angriffen schützen. Verschlüsseln Sie zunächst alle vertraulichen Informationen wie Zahlungsinformationen, Benutzernamen, Passwörter und Nachrichten.
Verwenden Sie dann eines von drei Google-Tags in Ihren Inhalten, um die Art und Weise zu steuern, wie der Suchbot wichtige Informationen indiziert (oder überspringt).
- Robots.txt: Dieses Tag kann private Inhalte nicht von der Indexierung abhalten. Die IT-Abteilung kann jedoch helfen, wenn das Crawling Ihren Server schädigt.
- Robots-Meta: Kontrollieren Sie, wie eine einzelne HTML-Seite in den Ergebnissen angezeigt wird, oder halten Sie die IT-Abteilung ganz aus den Ergebnissen heraus.
- X-robots-tag: Steuern, wie Nicht-HTML-Seiten in Ergebnissen angezeigt werden, oder blockieren Sie deren Anzeige.
Ihr webbasiert Entwickler hat möglicherweise eine klare Meinung darüber, welches Tag für Sie und Ihr Unternehmen das richtige ist. Sobald Sie den von Ihnen gewählten Code implementiert haben, sollten Sie Ihre Traffic-Bewertungen im Auge behalten, um sicherzustellen, dass Sie die Verbraucher nicht von Seiten fernhalten, die sie als kritisch erachten.
Sie können auch einen Schwachstellenscanner verwenden, um sicherzustellen, dass Sie keine Dateien oder Seiten offenlegen, die verborgen bleiben sollten. OWASP listet mehrere dieser Tools auf, und einige werden mit kostenlosen Scans geliefert, die Sie vor dem Kauf verwenden können.
Arbeiten mit Okta
Was ist, wenn bereits eine Google Dorking Session stattgefunden hat? Wie können Sie Ihr Unternehmen schützen?
Erfahren Sie mehr darüber, wie Sie Ihre Sicherheit mit Oktaerhöhen können.
Referenzen
Wie Google mehr als 90 Prozent des Marktanteils behält. (April 2018). Insider.
Die DevSecOps-Studie zeigt, dass fast die Hälfte der Unternehmen aufgrund von Zeitdruck bewusst anfällige Anwendungen einsetzt. (August 2020). PR Newswire.
FAQsRobotern. Google Suchzentrale.
