|
今天的主题是和Google Hacking有关,用到的大部分“技巧”在之前一篇的《More Query Modifiers》里面提到过,忘记的话建议大家先回顾下。
Google Hacking就是利用修饰符进行hack活动,相关的技术不仅仅限于谷歌搜索引擎,其它的搜索引擎也支持这些技巧,只是使用方法略有不同。好奇的人类,大多数时候进行hack活动的目的是找出一些机密的资料以及找出网站后台。
下面列出了Google Hacking可以得到的信息: 1、个人私密信息以及公司财务信息 2、个别网站用户的用户名、密码,电脑管理员的密码 3、公司机密文件 4、政府敏感资料 5、网站的漏洞
看到这里,你可能会在心里犯嘀咕:“我用google这么多年了,还是第一次发现它能干这么多’坏事’!”。是的,利用google hacking,你可以轻松的获取到很多隐秘信息,但我在这里是不鼓励大家去“干坏事”的,还是建议大家将这些技巧应用在个人网站的安全检测。
下面我就给各位看官介绍下几颗栗子。
栗子1 ---- 组合技巧:filetype+site+keyword 很多机构会将财务、专利、简历等信息存在表格中(如Excel),更可笑的是,它们经常将这些表格标注成“机密”(外国站点就是“Confidential”)。假设现在你想寻找南非钻石国度的隐秘信息,你可以按照下面的格式进行搜索:
[filetype:xls site:za confidential]
我们也可以加入更多的关键词,你可以尝试下下面的这个搜索指令: [filetype:xls site:in budget]
栗子2 ---- 登录关键词:login+userid+password 这些关键词基本是全球通用,很凑巧的是这些关键词往往会存在一些表格文档中: [filetype:xls site:cn login] PS:在“搜”high的同时不要忘了处理这些office系列的注意点,它们很有可能包含宏病毒,所以以网页形式进行查看是个好选择。
栗子3 ---- 记性差的管理员 前段时间流行的一句话——不怕神一样的对手,就怕猪一样的队友。公司如果雇佣了不负责的管理员,可能就要遭受损失了,很多不应该暴露在互联网上的内容可能就会被看到: [intitle:”index of” site:kr password]
栗子4 ---- 秘密数搜索(确实不知道该怎么去解释“numrange search”) 秘密数搜索是最不为人知的官方Google Hacing技巧,不过它曾经让很多“坏人”大捞了一笔,现在的秘密数搜索的条件已经被严格的限制了,先举没被限制前的栗子(感受下): [numrange:4567000000000000..4567999999999999 visa] 或 [numrange:222000000..250999999 ssn] 现在你去执行这样的hack,你肯定会得到一个错误页。之前它被人用来找到信用卡卡号等私密信息。 私密数搜索现在的栗子:
以上是一些常用的Google Hacking技巧,为了避免大家误解,我没有将一些已经被证实的漏洞故意泄漏给大家。请务必将技术用在正途上,如果碰巧找到个别站点的漏洞,也要及时email给网站管理员,告知漏洞所在。助人为乐,攒人品。
明天《搜商》将介绍搜索的发展简史~~
记得多花时间练习最近交给大家的小技巧哟~~
欢迎灌水~~
| 
|手机版|Archiver|Crossin的编程教室
( 苏ICP备15063769号 ) 
发表于 2013-11-13 12:26:08
收藏
发表于 2013-11-18 00:32:07
~~话说我也建立了自己的公共号~~公共号id:itbaiwen,我的论坛头像现在就是公共号的二维码~~