互联网连接应用和搜索引擎

Oracle E-Business Suite自助应用程序通常与互联网连接,以便通过客户,供应商和员工直接访问。使用搜索引擎(Google,Altavista等)和简单的搜索短语,黑客可以快速找到Oracle E-Business套件的实例来攻击。Oracle E-Business Suite的所有互联网访问实例都应屏蔽Web爬网和索引服务。

积分安全警报

______________________________________________________________________

 

互联网连接应用和搜索引擎

2002年10月3日

______________________________________________________________________

 

概括:

 

Oracle E-Business Suite自助应用程序通常与互联网连接,以便通过客户,供应商和员工直接访问。使用搜索引擎(Google,Altavista等)和简单的搜索短语,黑客可以快速找到Oracle E-Business套件的实例来攻击。Oracle E-Business Suite的所有互联网访问实例都应屏蔽Web爬网和索引服务。  

 

产品:   Oracle E-Business Suite

版本:   All versions

平台:  All platforms

风险等级: Medium

______________________________________________________________________

 

描述:

 

搜索像Google和Altavista这样的搜索引擎,使用Web爬网程序查找网页索引。 大多数搜索引擎(包括Google和Altavista)都有能力搜索特定的URL。 使用此搜索功能,黑客可以快速查找所有索引Oracle应用程序登录页面。

 

通过Intacle的Intactigy进行了一项调查,这些网站运行Oracle应用程序 - 都可以从Internet完全访问。 没有测试漏洞所执行的。

 

一旦发现网站,黑客可以尝试利用该应用程序。 只能使用Web浏览器,可以从数据库中检索任意数据的几种发布的漏洞。

 

解决方案:

 

使用尽可能多的搜索引擎来查找服务器。 每个搜索引擎都具有将搜索缩小到特定域(即,example.com)或甚至是特定服务器。 即使您的服务器找不到,这并不意味着搜索引擎不会在将来定位它们。 应在使用服务器的URL上查找可能出现的文档或链接的文档或链接 - 通常培训或其网站可能包含此类信息。

 

这个问题有两个解决方案,它提供了至少由搜索引擎索引的网站的最小保护。

 

1. robots.txt.

 

robots.txt由许多搜索引擎使用(但不是全部)来限制包含在其数据库中。 Web爬网程序在Web服务器根目录中查找robots.txt文件(即, http://sun.example.com/robots.txt). robots.txt应该包含以下行,这将停止大多数Web爬网程序查看服务器上的任何页面 -

 

      User-agent: *

      Disallow: /

 

如果服务器已经索引,则服务器可能需要几周才能再次“爬行”并删除。

 

2.防火墙过滤

 

更复杂的解决方案是在防火墙和路由器上设置适当的过滤,以阻止对这些服务器的未授权访问。

 

 

对于已由搜索引擎索引的网站,请与个人搜索引擎联系以删除网站的URL。 这只会影响运行Oracle应用程序的服务器(例如,Sun.example.com)而不是组织中的任何其他网站。

 

这些解决方案仅提供有限保护,因为许多黑客使用自动扫描工具来搜索易受攻击的服务器。任何直接连接到互联网的服务器都必须在连续地进行并以连续监测。

 

附加信息:

 

不包括机器人 - http://www.robotstxt.org/wc/norobots.html

 

流行的搜索引擎

      www.google.com. - 搜索短语=“Allinurl:IcxIndex HTM”

      www.altavista.com. - 搜索短语= URL:icxindex.htm

      www.alltheweb.com. - 查看高级搜索

      www.hotbot.com. - 查看高级搜索

      www.teoma.com. - 搜索短语= inurl:icxindex.htm

 

______________________________________________________________________

 

关于积分公司 (www.katsenatps.com.)

 

Integigy Corporation是大型企业,关键任务应用程序的应用安全的领导者。我们的应用程序漏洞评估工具Appsentry协助公司确保其最大和最重要的应用程序。 Integy Consulting为领先的ERP和CRM应用提供安全评估服务。

 

有关更多信息,请访问 www.katsenatps.com..

 

分享这个帖子