如果你进行信息安全评估——渗透测试(penetration test),漏洞评估或更广范围的黑客攻击模拟(ethical hacking)测试——有一样测试工具是你必不可少的。
Google是你通常可以采用的用来测试Windows系统的安全漏洞的最热门工具之一。Google可以被认为是穷人的漏洞评估工具或是只有很少甚至没有IT预算的安全管理员的工具。我本人是商业安全工具的支持者,商业安全工具可以提供更全面的测试功能,出色的报告能力和其它功能,从而简化你的工作。但是,格言“你付出什么就得到什么”在此处并不完全适用。Google提供了从黑客的视角处理事情的方式,这可能是你从未想到过的,或者, Google可以利用各种安全测试工具(商业,免费或开放源代码的)——而且全部免费。
象许多外部测试工具一样,Google对发现你当前提供什么很有帮助。但是,它同时也在互联网上四处搜寻你从来不知道存在的,更不知道可以得到的信息。在进行你的安全评估时,你有几种选择。Google的主页,高级搜索页面,你甚至可以利用Google API编写你自己的定制网络应用。
当在你的系统上进行信息安全测试的时候,理想的状态是你希望可以从一个黑客的角度去观察——这一点Google可以做得十分出色。下面是一些在你进行黑客模拟测试时Google可以发现的信息。
1.信用卡信息,社会安全号码和其它存在于公众可以接触到的网络应用和数据库中的机密信息。
2.网络摄像机(webcam)
3.文字处理文档,电子表格和演示文档
4.Outlook Web访问相关文档
5.默认的(通常是不安全的)IIS文件和自定义IIS错误信息。
6.应该“隐藏”的网站登陆页面
7.不属于你的网络的可疑主机
8.包含敏感信息的新闻组记录。
作为一个与最后一项相关的例子,当进行一项Google Groups的基本搜索时,我发现了一个我正在考虑建立合作的电信制造商的网络管理员发布的支持组信息。在他的信息中,他泄露了该制造商的内部网络结构,包括网络布局,内部IP地址和主机名称。他泄露了过多的信息,让我感到为我自己公司的敏感信息着想,我不应该信任那家公司。我只通过简单搜索这个公司的名称和几个关键词就得到了这些信息——而这对于高级Google搜索来说才仅仅是个开头。
对于今天的高价漏洞评估工具来说,Google无疑带来了新的气息,它的安全测试查询是无可比拟的。为了战胜漏洞,你不仅仅需要象黑客一样思考,你还需要采用新的和具有创新性的方法进行测试。Google可以帮助你实现这些。
不久以后,我将讨论可以在你的系统上进行的Windows测试类型,以及你可以采用的Google搜索,用以确保你的Windows系统达到最佳安全状态。
(出处:http://www.sheup.com)