Nuestras webs son vulnerables gracias a google

sisi.
El secreto esta en nuestros dedos y en nuestra imaginacion

Google: Utilizar siempre las Propiedades Avanzadas

Usar comunmente las frases entre comillas ( " " ) como "index of" , "parent directory"

Ej: Google: "index of"+/mp3
etc etc..

Tambien otras es intitle:"index of" intitle:mp3 que busca mucho mas especifico.. sacando bastante basura

[ Nota: viendo la cantidad de search que se hacen asi... algunos sitios de pornografia.. utilizan estos metodos para generar mas visitas aunque no veas un lista de archivos en verdad... ]

Bueno los que comunmente se utilizan para buscar vulnerabilidades
"Index of /admin"
"Index of /password"
"index of /logs"
"Index of /mail"
"Index of /" +passwd
"Index of /" password.txt
index of ftp +.mdb

- allinurl:/cgi-bin/ +mailto

inurl:"wwwroot/.*"
inurl:"cgi-bin/log"
inurl:"cgi-bin/passwd.txt"
inurl:"cgi/bin/*.log"
inurl:"passwd.txt"
inurl:"auth_user_file.txt"
inurl:"_private"
inurl:"user.txt"
inurl:"members.txt"
inurl:"cgi/bin/*.txt"
inurl:"shop.mdb"
inurl:~htpasswd/ -inurl:html -inurl:shtml -inurl:htm -tutorial
inurl:~htaccess/ -inurl:html -inurl:shtml -inurl:htm -tutorial
etc, etc...

Para buscar mas especificamente:
Code:
intitle:"index of" site:gov -filetype:html -filetype:htm name size
intitle:"index of" site:yahoo.com -filetype:html -filetype:htm name size

File search:

intitle:"index of" intitle:porn -filetype:html -filetype:htm name size
intitle:"index of" intitle:mp3 -filetype:html -filetype:htm name size
intitle:"index of" intitle:movies -filetype:html -filetype:htm name size

Tambien se puede buscar por nombre del archivo, no olviden que Google es bastante avanzado ya que busca por el nombre especifico tambien

intitle:"index of" .avi -filetype:html -filetype:htm name size
intitle:"index of" chris.jpg -filetype:html -filetype:htm name size
intitle:"index of" quake3 -filetype:html -filetype:htm name size

Hola,
No, las webs son vulnerables por webmasters y administradores que no se preocupan de la seguridad. Google solo indexa a lo que tiene acceso. Si el webmaster de alguna forma deja que se pueda acceder a esos ficheros, la culpa no es de google.

Saludos.

Si tenes razon pero por apurado me exprese mal.

Je je je

Si a eso le agregamos que hay un montónde bases de datos de access (y seguramente de otor formatos tambien) con información relativa a passwords y usurios disponibles con las búsquedas adecuadas...

Toda una bicoca para quien quiera aprovecharse...

Definitivamente hay que ser más cuidadoso...

Felicidad

entonces.....?

disculpen la ignorancia, pero que se podria hacer (del lado del webmaster) para hacer mas seguro un sitio?

Salu2 y gracias.

Hola

No colocar información delicada o sensible en lugares públicos del servidor.

Eso basicamente.

Felicidad

gracias..........

Otra cosa, Google sólo indexa contenidos que son accesibles desde páginas que tiene indexadas. Si tu tienes un fichero de passwords en un lugar público de tu servidor web, PERO NO LO ENLAZAS desde ningún sitio. Google no lo encontrará.

Siempre y cuando no pase que debido a un fallo aparezca un link a la carpeta (dominio.com/inc/) y tenga configurado indice automatico y ese directorio no tenga indice

De todas formas, hay muchos malos habitos que se han cogido por copiar al pie de la letra tutoriales que se centraban en otra cosa que no era la seguridad, o que suponian que uno tenia control sobre configurar el servidor web para que los ficheros .inc no seria accesibles via web.

Internet se ha vuelto un mundo muy peligroso, lejos del concepto "hippie" original. Ahora la gente quiere hacer virus, hackear webs y hostings, ... y les parece gracioso.

Y como hay mucho aficionado haciendo webs y hosting, estos problemas de seguridad salen a la luz.

Saludos.

Les cuento sólo un caso de una empresa, que puso en su intranet un buscador y el buscador como google no decide que muestra.

Asi, esta buena gente en su buscador tenía los balances económicos, las cuotas pagadas en negro, hasta cartas de amor!!!

No, no. Google no es criminal.

Hay que vigilar lo que se publica en internet

siempre pudes utilizar el robot.txt para limitar acceso de los robots

Eso es algo que NUNCA debe hacerse.

Si hay algún archivo que no quieres que la gente vea, no lo pongas en el robots.txt, porque cualquiera puede bajarse tu robots.txt y ver que es lo que quieres ocultar.

El robots.txt por si solo no es suficiente. Utilizalo solo para lo que quieras que no sea indexado por buscadores, pero que no te importa que vea la gente normal (directorio de imagenes, por ejemplo). O para paginas que sea necesario estar autentificado, ¿para que molestar a los bots para que intenten acceder a una pagina que no pueden?

Pero el robots.txt no es ninguna proteccion. Poner en el robots.txt una indicacion al directorio "base_datos" no va a impedir que un ser maligno entre en ese directorio. Hay que proteger los contenidos de los directorios. Y luego si es necesario le indicas a los buscadores que no intente indexar esos contenidos.

Como dice Cain, a veces es darle pistas al enemigo. Otras se usan como señuelos (poner en el robots.txt un directorio con un nombre "suculento" y vigilar que IPs/useragents intentan accederlo; seguro que son los "malos").

Saludos.

CAIN yo me referia a directorios, claro esta que o a los archivos.

Algo muy peligroso, son los sistemas de estadisticas, si google los referencia, puede apuntar a paginas privadas.

Un Supuesto practico con el awstats:
Tienes una pagina de estadisticas, donde aparece un links a todas las paginas publicas y privadas.

si haces publicas las estadisticas o estas son accesibles desde el exterior estas mostrando todas las puestas.

pero voy mas lejos aún, en el awstast tiene un link de paginas de origen, si pulsas sobre este link, crearas en el otro servidor una entrada que delatara tu pagina de origen, la de tus estadisticas, si no proteges el acceso desde el exterior, es una puerta a tu intimidad.


q mal q me explico.

Lo que yo haría:

Usar bases de datos fuera del scope web (no accesibles via HTTP).
Usar protecciones en lenguajes del lado del servidor (NUNCA javascript).
Proteger los directorios privados con .htaccess o similar.

Es muy cómodo darle la culpa a los demás (en este caso Google). Pero lo realmente interesante es corregir nuestros errores (en este caso los webmasters) y aprender de ellos.

Hay que aprender que lo que se publica en Internet pasa a ser público, a menos que se tomen las precauciones indicadas.

Google no da mas informacion de la que el webmaster y el administrador de la web le dejan coger. Google no indexa a lo que no tiene acceso. Y si google tiene acceso, es que cualquiera tiene acceso. No es google el que le da acceso.

Si pones tu direccion de email en los mensajes de un foro, y luego recibes SPAM, ¿es culpa del foro?

Saludos.

Esactamente Josemi, creo lo mismo que vos.

Ademas:
¿si damos a Google acceso a nuestras paginas privadas, eso implica mejor posicionamiento?

Otra pregunta:

¿Alcanza con solamente no colocar un vinculo en html a esa pagina privada que no quiero que se indexe?
En otras palabras: ¿como hago para que google no indexe cierta pagina?

Salu2

Con el robots.txt puedes evitar que indexen ciertas páginas. Acá hay un poco de información:
http://www.forosdelweb.com/f64/hola-gente-206867/

Salu2

Si Bex, pero se dice que con el robots.txt tambien estas dando a un lammer información de cuales son tus archivos protegidos. no?

Salu2

el robots.txt es para evitar que los archivos sean indexados, no para que no se accedan a ellos

Hay mil formas seguras para proteger archivos, pero todas son del lado del servidor.

Puedes proteger archivos directamente desde el servidor web (Apache, IIS, Netscape...) o mediante código (PHP, ASP, JSP...).

Si Twity, si alguien entrara a tu robots.txt sabría cuáles son los archivos que quieres que nadie vea. Pero como bien dice Cain puedes proteger el archivo.
Salu2

Chicos miren la opcion que yo uso y es la mas sencilla es poner contraseña a los directorios que no quiero que vean. La mayoria de los hosting pagos te dan esa herramienta.

No les parece por mas que accedan a la url no van a poder ver el contenido sin el pass.

http://www.whitehouse.gov/robots.txt

Si es claro que no es aconsejable el uso de robots.txt para que google no indexe paginas que no queres que vean pero por ejemplo puede servir para que google no indexe paginas cn contenido duplicado y te penalizen por eso que opinan?

La mejor forma de denegar accsos a pagina que tienen contenido privado es con .hatacces

o a veces por terceros, como fue el caso de karloz que un dia vino a llorar porque le hackeraon su webada y los "nuevos dueños" la dejaron mas insegura que cualquier persona desde google podia obtener datos claves...

curioso, ahora resulta que google es bulnerable a nuestros ordenadores.

Pobrecito google con lo bien q me CAE

LEASE CAE COMO SHUTDOWN