Dvojsečná zbraň jménem Google Code Search

Na první pohled může fulltextové prohledávání všech dostupných zdrojových kódů znít přinejmenším zajímavě. Po bližším pohledu jde o dvojsečnou zbraň, která umožní jednoduchým způsobem hledat v programech neošetřené části kódu a využít jejich zranitelností. Služba se stává silným nástrojem pro útočníka, který nemá vybraný určitý cíl, ale chce nějaký server napadnout.

Silnější zbraň pro hackery

Při vyhledávání je možné využít nejen omezení na typ licence či typ souboru, ale také lze vyhledávat regulárním výrazem. Hned po spuštění před službou varovalo několik odborníků zabývajících se bezpečností a upozornilo na možná rizika. Nicméně musím připustit, že většina útoku již byla možná i za použití klasického fulltextového vyhledávače Google. Novou službou jen potencionální útočník dostává do ruky o něco silnější zbraně.

Příklady zajímavých dotazů

S troškou fantazie je možné využít Google Code Search třeba následovně:

• nalezení spousty validních emailů
• Bezpečnostní díry v PHP
• Heslo pro zadní vrátka :-)
• XSS v Java aplikacích
• SQL injection v Java aplikacích

Prameny

• Slashdot - Hackers Find Use for Google Code Search
• SecurityFocus - Google Code Search peers into programs' flaws
• SecuriTeam Blogs - More fun with Google Code Search! [updated #5]
• kottke.org - Google code search