互联网连接的应用程序和搜索引擎

Oracle电子商务套件自助服务应用程序通常连接到Internet,以供客户,供应商和员工直接访问。黑客使用搜索引擎(Google,Altavista等)和简单的搜索短语,可以快速找到要攻击的Oracle电子商务套件实例。Oracle电子商务套件的所有Internet可访问实例都应与Web爬网程序和索引服务隔离。

完整性安全警报

______________________________________________________________________

 

互联网连接的应用程序和搜索引擎

2002年10月3日

______________________________________________________________________

 

概要:

 

Oracle电子商务套件自助服务应用程序通常连接到Internet,以供客户,供应商和员工直接访问。黑客使用搜索引擎(Google,Altavista等)和简单的搜索短语,可以快速找到要攻击的Oracle电子商务套件实例。Oracle电子商务套件的所有Internet可访问实例都应与Web爬网程序和索引服务隔离。  

 

产品:   Oracle电子商务套件

版本:   All versions

平台:  All platforms

风险等级:

______________________________________________________________________

 

描述:

 

诸如Google和Altavista之类的搜索引擎使用网络搜寻器来查找要编制索引的网页。 大多数搜索引擎(包括Google和Altavista)都可以搜索特定的URL。 使用此搜索功能,黑客可以快速找到所有已建立索引的Oracle应用产品登录页面。

 

整合学进行的一项调查确定了40多个运行Oracle应用产品的站点,所有站点都可以从Internet完全访问。 没有对漏洞进行测试。

 

一旦确定了站点,黑客就可以尝试利用该应用程序。 存在一些已发布的漏洞,其中仅使用Web浏览器就可以从数据库中检索任意数据。

 

解:

 

使用尽可能多的搜索引擎来查找服务器。 每个搜索引擎都有能力将搜索范围缩小到特定域(即example.com),甚至缩小到特定服务器。 即使找不到您的服务器,这也不意味着搜索引擎将来将找不到它们。 应该执行其他搜索以查找可能出现在具有您的服务器URL的相关网页上的文档或链接-通常是培训或IT网站可能包含此类信息。

 

此问题有两种解决方案,它们为从搜索引擎建立索引的站点提供了至少最少的保护。

 

1. Robots.txt

 

许多搜索引擎(但是不是全部)都使用robots.txt来限制对其数据库的包含。 网络搜寻器会在网络服务器的根目录中查找robots.txt文件(即, http://sun.example.com/robots.txt). robots.txt应该包含以下行,这将阻止大多数Web爬网程序查看服务器上的任何页面–

 

      User-agent: *

      Disallow: /

 

如果服务器已被索引,则可能需要数周的时间才能再次“爬网”并删除服务器。

 

2.防火墙过滤

 

一个更复杂的解决方案是在防火墙和路由器上设置适当的筛选,以阻止对这些服务器的未经授权的访问。

 

 

对于已经被搜索引擎索引的网站,请联系各个搜索引擎以删除该网站的URL。 这只会影响运行Oracle应用产品的服务器(例如sun.example.com),而不会影响您组织中的任何其他网站。

 

这些解决方案只能提供有限的保护,因为许多黑客使用自动扫描工具在Internet上搜索易受攻击的服务器。直接连接到Internet的任何服务器都必须经过充分加固和连续监控。

 

附加信息:

 

不包括机器人- http://www.robotstxt.org/wc/norobots.html

 

热门搜寻引擎

      www.google.com –搜索短语=“ allinurl:icxindex htm”

      www.altavista.com –搜索短语= url:icxindex.htm

      www.alltheweb.com –查看高级搜索

      www.hotbot.com –查看高级搜索

      www.teoma.com –搜索短语= inurl:ICXINDEX.HTM

 

______________________________________________________________________

 

关于Integrigy公司 (www.katsenatps.com)

 

整合学 Corporation是大型企业,关键任务应用程序的应用程序安全性的领导者。我们的应用程序漏洞评估工具AppSentry可帮助公司保护最大,最重要的应用程序。 整合咨询为领先的ERP和CRM应用程序提供安全评估服务。

 

有关更多信息,请访问 www.katsenatps.com.

 

分享这个帖子