Code Search: Novas ameaças de segurança

Como já era de se esperar a estréia do Google Code Search trouxe inúmeras novas oportunidades de crackers buscarem obter informações como senhas de sites alheios.

Em forma de pesquisa algumas pessoas buscaram obter acesso a senhas alheias utilizando expressões regulares no code search. No exemplo foi utilizada uma busca que retorna senhas de banco de dados de blogs do tipo wordpress.

Não! o Google não cometeu uma falha e esta indexando de alguma forma arquivos de configuração, como já demostrei arquivos .php não mostram seu código fonte na web. O problema esta um pouco mais além e na verdade é culpa de más práticas de desenvolvedores.

Como fugir destes problemas?

1. Não user arquivos .inc para configurações - ok esta é velha mas vale ainda, se você utilizar um arquivo desta extesão ele é indexado e visto como um arquivo de texto, use sempre .inc.php ou .inc.asp

2. Não armazene cópias em arquivos ZIP - Não só zip como qualquer outra forma de arquivo compactado, por um motivo simples, são estes arquivos que o Google Code Search esta indexando e disponibilizando em sua busca, ou seja, se vc tiver um backup do seu site em zip guardada lá e o google achar… sua configuração esta exposta.

Esta são duas dicas básicas que na verdade já deviam valer antes do Code Search, mas fica ai a recomendação para que não tenham problemas. Alguns comentpários já estao por aqi com string para busca de senhas em ASP e outras linguagens.

comments powered by Disqus

Related Posts

BlogBlog UserInfo Plugin goes PHP5!

BlogBlog UserInfo Plugin goes PHP5!

  • November 22, 2007

Support GoPHP5.orgApós muito ponderar sobre a compatibilidade do plugin, tomei uma decisão não radical, mas bem objetiva. Seguindo a filosofia do goPHP5 o BBUInfo não mais suportará a versão 4 do PHP, e trará todas as novidades e melhorias do PHP5 para seu rol de features.

Read More
1º PHPDF Pocket - Chamada para trabalhos

1º PHPDF Pocket - Chamada para trabalhos

  • March 16, 2007

O PHPDF anunciou esta semana uma extensão no prazo de envio das propostas de palestras até o dia 21/Março, adiando o evento para primeira quinzena de Abril conforme requisitado pelos seus parceiros de realização.

Read More
Star Wars: The Force Unleashed

Star Wars: The Force Unleashed

  • October 15, 2008

O mais recente lançamento na saga de jogos baseados no Star Wars, SWTFU trás um grande novo fator, a força!

Read More