Google — это энциклопедия Интернета, в которой есть ответы на все ваши вопросы и любопытство. В конце концов, это всего лишь веб-индекс для поиска изображений, статей и видео, верно?
Что ж, если вы так думаете, вы закрываете глаза на неиспользованный потенциал возможностей сканирования гигантской поисковой системы. Эта сторона Google менее известна обычному пользователю, но злоумышленники эффективно используют ее для захвата веб-сайтов и кражи конфиденциальных данных у компаний.
Здесь мы рассмотрим, как специалисты по безопасности и хакеры используют Google в качестве эффективного инструмента разведки для доступа к конфиденциальным данным, взлома веб-сайтов и многого другого.
Что такое Google Доркинг?
Google dorking или Google hacking — это метод подачи расширенных поисковых запросов в поисковую систему Google для охоты. для конфиденциальных данных, таких как имя пользователя, пароль, файлы журналов и т. д., веб-сайтов, которые Google индексирует из-за сайта неправильная конфигурация. Эти данные общедоступны и в некоторых случаях доступны для загрузки.
Обычный поиск в Google включает исходное ключевое слово, предложение или вопрос. Но в доркинге Google злоумышленник использует специальные операторы для улучшения поиска и диктует поисковый робот стрелять из очень специфических файлов или каталогов в Интернете. В большинстве случаев это файлы журналов или неправильные настройки веб-сайта.
Как хакеры используют Google Dorking для взлома веб-сайтов
Google dorking включает в себя использование специальных параметров и поисковых операторов, называемых «dorks», для сужения результатов поиска и поиска открытых конфиденциальных данных и лазеек в безопасности на веб-сайтах.
Параметры и операторы указывают сканеру искать определенные типы файлов в любом указанном URL-адресе. Результаты поиска по запросу включают, но не ограничиваются:
- Открытым FTP-серверы.
- Внутренние документы компании.
- Доступные IP-камеры.
- Правительственные документы.
- Файлы журнала сервера, содержащие пароли и другие конфиденциальные данные, которые можно использовать для проникновения в организацию или нарушения ее работы.
Наиболее часто используемые операторы Google Dorking
Хотя существует множество операторов и параметров, которые можно применить к поисковому запросу, для удовлетворения потребностей специалиста по безопасности требуется всего несколько из них. Вот несколько часто используемых запросов:
- inurl: Указывает сканеру искать URL-адреса, содержащие указанное ключевое слово.
- всетекст: Этот параметр ищет указанный пользователем текст на веб-странице.
- тип файла: Этот параметр указывает сканеру искать и отображать файлы определенного типа.
- название: Скрапы для сайтов, содержащих указанные ключевые слова в заголовке.
- сайт: Список всех проиндексированных URL-адресов для указанного сайта.
- кеш: В сочетании с параметром site этот отображает кэшированные или старая версия сайта.
- Оператор трубы (|): Этот логический оператор будет отображать результаты, содержащие одно из двух указанных условий поиска.
- Подстановочный оператор (*): Это оператор подстановки, который ищет страницы, содержащие что-либо, связанное с вашим поисковым запросом.
- Оператор вычитания (-): Это исключает нежелательные результаты из вашего поиска.
Является ли Google Dorking незаконным?
Хотя это может показаться пугающим, но Google dorking не приведет вас за решетку, учитывая, что вы используете его только для уточнения результатов поиска, а не для проникновения в организацию.
Это неизбежное зло и, по сути, поощряемая практика среди опытных пользователей. Имейте в виду, что Google постоянно отслеживает ваши поисковые запросы, поэтому, если вы получаете доступ к конфиденциальным данным или выполняете поиск со злым умыслом, Google помечает вас как злоумышленника.
Если вы проводите пентест или ищете вознаграждение за ошибку, убедитесь, что вы полностью авторизованы и поддержаны организацией. В противном случае, если вас поймают, все может обернуться скверно, и вас могут даже засудить.
Как защитить свой сайт от взлома Google
Как веб-мастер, вы должны установить определенные защитные контрмеры для борьбы с Google Dorking. Очень простым подходом было бы добавить robots.txt файл и запретить доступ ко всем конфиденциальным каталогам. Это не позволит сканерам поисковых систем индексировать конфиденциальные файлы, каталоги и URL-адреса по мере их перечисления.
Добавление robots.txt файл в корневой каталог является хорошей практикой и необходим для общей безопасности вашего веб-сайта. Узнать больше о почему безопасность сайта имеет решающее значение.
Другими способами уменьшить эту угрозу могут быть шифрование конфиденциальных данных, таких как имена пользователей, пароли, платежная информация и т. д., и использование консоли поиска Google для удаления страниц из результатов поиска.
Станьте опытным пользователем Google с Google Dorking
Хотя большинство из нас используют Google каждый день, мы почти никогда не используем его истинный потенциал. Вы можете этически использовать часто упускаемую из виду силу Google, чтобы усовершенствовать свое Google-фу и найти практически все в Интернете.
С правильными параметрами и ключевыми словами, ответы на все ваши любопытства и вопросы будут у вас под рукой, всего одним нажатием клавиши. Узнайте больше о лучших советах и рекомендациях, чтобы максимально эффективно использовать поиск в Google.
10 советов и приемов для более эффективного использования поиска Google
Читать далее
Похожие темы
- Безопасность
- Поиск Гугл
- Взлом
- Компьютерная безопасность
- Интернет-безопасность
Об авторе
Я люблю ломать вещи и делать вещи, которые помогают мне ломать вещи. Когда экраны выключены, вы можете найти меня на футбольном поле или в местном шахматном клубе.
Подпишитесь на нашу рассылку
Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!
Нажмите здесь, чтобы подписаться