Crossin的编程教室

标题: [每天get点新技能]搜商——Google Hacking窥探互联网 [打印本页]

作者: 性感上帝    时间: 2013-11-13 12:26
标题: [每天get点新技能]搜商——Google Hacking窥探互联网
Img261860685.jpg
今天的主题是和Google Hacking有关,用到的大部分“技巧”在之前一篇的《More Query Modifiers》里面提到过,忘记的话建议大家先回顾下。

Google Hacking就是利用修饰符进行hack活动,相关的技术不仅仅限于谷歌搜索引擎,其它的搜索引擎也支持这些技巧,只是使用方法略有不同。好奇的人类,大多数时候进行hack活动的目的是找出一些机密的资料以及找出网站后台。

下面列出了Google Hacking可以得到的信息:
1、个人私密信息以及公司财务信息
2、个别网站用户的用户名、密码,电脑管理员的密码
3、公司机密文件
4、政府敏感资料
5、网站的漏洞

看到这里,你可能会在心里犯嘀咕:“我用google这么多年了,还是第一次发现它能干这么多’坏事’!”。是的,利用google hacking,你可以轻松的获取到很多隐秘信息,但我在这里是不鼓励大家去“干坏事”的,还是建议大家将这些技巧应用在个人网站的安全检测

下面我就给各位看官介绍下几颗栗子。

栗子1
----
组合技巧:filetype+site+keyword
很多机构会将财务、专利、简历等信息存在表格中(如Excel),更可笑的是,它们经常将这些表格标注成“机密”(外国站点就是“Confidential”)。假设现在你想寻找南非钻石国度的隐秘信息,你可以按照下面的格式进行搜索:

[filetype:xls site:za confidential]

我们也可以加入更多的关键词,你可以尝试下下面的这个搜索指令:
[filetype:xls site:in budget]

栗子2
----
登录关键词:login+userid+password
这些关键词基本是全球通用,很凑巧的是这些关键词往往会存在一些表格文档中:
[filetype:xls site:cn login]
PS:在“搜”high的同时不要忘了处理这些office系列的注意点,它们很有可能包含宏病毒,所以以网页形式进行查看是个好选择。

栗子3
----
记性差的管理员
前段时间流行的一句话——不怕神一样的对手,就怕猪一样的队友。公司如果雇佣了不负责的管理员,可能就要遭受损失了,很多不应该暴露在互联网上的内容可能就会被看到:
[intitle:”index of” site:kr password]

栗子4
----
秘密数搜索(确实不知道该怎么去解释“numrange search”)
秘密数搜索是最不为人知的官方Google Hacing技巧,不过它曾经让很多“坏人”大捞了一笔,现在的秘密数搜索的条件已经被严格的限制了,先举没被限制前的栗子(感受下):
[numrange:4567000000000000..4567999999999999 visa]
[numrange:222000000..250999999 ssn]
现在你去执行这样的hack,你肯定会得到一个错误页。之前它被人用来找到信用卡卡号等私密信息。
49AF6CD6-E3A9-47FB-BEFB-94F140BB4B00.png
私密数搜索现在的栗子:
[site:www.csdn.net 600..780]

以上是一些常用的Google Hacking技巧,为了避免大家误解,我没有将一些已经被证实的漏洞故意泄漏给大家。请务必将技术用在正途上,如果碰巧找到个别站点的漏洞,也要及时email给网站管理员,告知漏洞所在。助人为乐,攒人品

明天《搜商》将介绍搜索的发展简史~~

记得多花时间练习最近交给大家的小技巧哟~~


欢迎灌水~~

作者: crossin先生    时间: 2013-11-18 00:32
这里面大有文章啊!
我可以把你这个系列的文章转一部分作为微信推送吗?
作者: 性感上帝    时间: 2013-11-22 14:00
crossin先生 发表于 2013-11-18 00:32
这里面大有文章啊!
我可以把你这个系列的文章转一部分作为微信推送吗? ...

欢迎转载~~话说我也建立了自己的公共号~~公共号id:itbaiwen,我的论坛头像现在就是公共号的二维码~~
作者: war3mjq    时间: 2014-4-9 14:05
这么好的东西,论坛里面这么没有人回复呢?




欢迎光临 Crossin的编程教室 (https://bbs.crossincode.com/) Powered by Discuz! X2.5