Foundstone SiteDigger 2.0

SiteDigger使用Google的API，能夠比對Google的索引搜尋記錄（index），找出企業網站弱點，協助管理者進行防護。

弱點掃描工具能夠實際檢查每個企業網站存在哪些弱點，但是SiteDigger則不同，它並不會掃描網站，而是去檢查Google的索引搜尋記錄，模擬駭客利用Google搜尋的行為。在Google上面，駭客能夠找到相當多的資源，包括隱私權、備分檔案、設定錯誤、遠端管理介面、錯誤訊息、公開弱點及技術設定檔等。

以遠端管理界面為例，在Google下「…tsweb/default …」 指令後，就能夠找到可攻擊的目標，之後再去破解帳號和密碼，同樣的，如果公司有使用Outlook的Web界面，也要注意。

我們再以備分檔案為例，只要下「…asp.bak filetype: ...」 指令檢索，就能夠找到有用的資料，因為一般的ASP檔案是以HTML格式呈現，並不會出現原始碼，但是ASP.BAK則是以文字檔呈現完整內容，包括程式語法和資料庫連結等機密資料。安裝設定容易，內建2種資料庫

SiteDigger的安裝與設定都相當容易，不過在使用前必須先申請Google API的授權碼，申請程序請參考軟體內附的線上使用說明。

安裝完成後，首先要做的就是更新資料庫，產品內建Foundstone Signature Database（FSDB）與Google Hacking Database（GHDB）等2種資料庫，顧名思義，FSDB是Foundstone自行研發的特徵資料庫，目前有175筆，而GHDB則是由社群發展的資料庫，目前有804筆。你也許會問，為什麼Foundstone的特徵會比較少？其實兩者的功能並不同，而且後者的發展時間較長，所以數量也較多。

如果你的功力高深，找到新的語法，也可以上傳給Foundstone，經過審核之後，就會將你的語法加入資料庫中。掃描快速，點選連結實際查看

我們以iThome網站實際測試，整個掃描過程約10多分鐘，但要注意是，每次只能選擇其中一種資料庫，而且每天只能執行1000筆掃描。掃描完成後，FSDB找出1個弱點，而GHDB則發現4個弱點。

測試結果也讓我們了解，駭客能夠利用Google的檢索資料，了解伺服器的路徑結構、SQL伺服器的帳號密碼，甚至發現FTP帳號和密碼。管理者可以透過掃描報告直接修補弱點、修改設定，或拉高安全層級。

SiteDigger是專門用來評估網站弱點的工具，但它只是其中的一小塊，你可能還需要評估網站服務的弱點、網頁伺服器的安全性、帳號密碼的強度……等，端看你的安全需求而定。

Foundstone有很多免費的工具，範圍包含電腦鑑識、弱點評估、Web攻擊等，比較知名的有SuperScan、Fport、SiteDigger等工具。與Foundstone Enterprise相比，這些免費工具都只是其中的一小部分，能進行初步的檢查，以協助企業進行安全防護。Foundstone會持續推出新版，希望能提高本身的知名度，也教育使用者一些安全知識。文⊙陳世煌