McAfee发布升级版安全工具 抵御“Google攻击”
McAfee于2005年1月发布了一款安全工具的升级版本,该安全工具能够利用Google自动地发现网站上的安全漏洞。
SiteDigger 2.0通过向Google的Web 数据库发送指定的搜索请求,查找有关网站安全方面的信息。被称作“Google攻击”的这类搜索能够很容易地发现网站上可被利用的缺陷和机密信息,其中包括信用卡号码、用户帐户资料。
McAfee负责全球专业服务的副总裁克里斯说,这一免费服务将使网站管理员知道与他们网站相关的哪些信息被Google“掌握”了。他表示, SiteDigger 2.0是一款通知性质的工具,它能够收集网站管理员尚不知道的问题。
SiteDigger无法知道使用它的人是获得授权的管理人员,还是正在寻找安全缺陷的黑客。克里斯承认,这意味着该工具可能会被用来对网站发动进攻,但他指出,Google要求使用其自动服务的用户签署Web 服务开发计划。
最近爆发的Santy 蠕虫病毒利用Google的查询功能发现存在缺陷的计算机,进行传播。其它调研机构也开发了数款利用Google的数据库查找缺陷的工具。
计算机科学公司的高级工程师约翰尼表示,这些工具是Web 网站管理员保证网站安全所必需的。他说,不使用自动化的工具,安全团队不可能对Google上的数据进行处理。约翰尼维持着一个网站,其中包含能够使用Google搜索的800 多个常见安全问题的特征。SiteDigger和其它工具都使用这些特征查找可能存在的问题。
尽管强调SiteDigger将有助于配备专门安全人员的网站的安全,但约翰尼承认,在打击潜在的黑客方面,对安全不太在意的网站处于劣势。他说,网站规模越小,越应当担心安全问题。