資料結構
網路
RDBMS
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
時尚研究
法律研究什麼是谷歌駭客搜尋(Google Dorking)?
隨著科技的進步,每個人都可能使用谷歌,它是全球使用最廣泛的搜尋引擎之一。谷歌是一個搜尋引擎,允許您查詢資訊、資料和其他網際網路資源。但谷歌的功能並不侷限於此。在本教程中,您將學習如何使用谷歌搜尋技巧進行駭客策略,瞭解什麼是谷歌駭客搜尋。
谷歌駭客搜尋是什麼意思?
谷歌駭客搜尋是一種駭客技術,它利用谷歌的高階搜尋功能來查詢難以找到的有用資料或資料。
"谷歌駭客"是谷歌駭客搜尋的另一個術語。從表面上看,谷歌駭客搜尋需要使用某些修飾符修改搜尋結果。
使用者可以透過點選“影像”或“網站”等標籤來收集圖片或獲取有關單個網站的資訊,而不是掃描整個網路。其他命令,如“filetype”和“datarange”,可用於生成更具體的搜尋結果。
雖然某些形式的谷歌駭客搜尋是無害的,並且僅使用谷歌的資源,但其他一些形式卻令當局和安全專家感到擔憂,因為它們可能暗示駭客行為或網路攻擊偵察。這就是為什麼該術語在安全社群中獲得負面含義的原因,因為駭客可以使用這些型別的谷歌駭客搜尋和其他網路罪犯來訪問非法資料或利用網站的安全漏洞。
駭客是否可以使用谷歌入侵網站?
谷歌通常被誤解為僅僅是用於文字、圖片、影片和新聞的搜尋引擎。但是,資訊安全起著至關重要的作用。谷歌也可以用作駭客工具。
谷歌不能直接用於入侵網站。但是,它驚人的網路爬取能力在索引幾乎任何網站上的任何內容(甚至敏感資訊)方面可能非常有用。這可能包括使用者名稱、密碼和其他您不知道的基本弱點。
基本上,藉助原生的谷歌搜尋引擎,您可以使用谷歌駭客搜尋發現任何 Web 應用程式和伺服器中的漏洞。
"谷歌駭客搜尋"名稱的意義
谷歌駭客是指無意中在網際網路上釋出公司機密資訊的員工。駭客是一個俚語,指那些頭腦遲鈍或笨拙的人。攻擊者使用稱為谷歌駭客搜尋的複雜搜尋字串來查詢敏感資訊。
消除谷歌駭客搜尋
有許多方法可以避免落入谷歌駭客的控制之下。以下是一些建議的措施:
對敏感資料進行編碼或加密,例如使用者名稱、密碼、支付資訊、訊息、地址和電話號碼。
對您自己的網站執行查詢,以檢視是否可以找到任何敏感資訊。如果您發現任何敏感資訊,您可以使用 Google Search Console 將其從搜尋結果中刪除。
可以使用您根級站點目錄中的 **robots.txt** 檔案來保護敏感內容。雖然使用 robots.txt 有助於防止 Google 爬取我們的網站,但它也可能向攻擊者洩露有價值的資料。
谷歌駭客搜尋示例
讓我們看幾個谷歌駭客搜尋的例子,並瞭解它們如何用於在網際網路上查詢私人資訊。
透過 LOG 檔案查詢登入憑據
這是一種查詢錯誤上傳到網際網路的“.LOG”檔案的方法。這本質上是一個包含系統憑據或系統中眾多使用者/管理員帳戶資訊的 LOG 檔案。
Dork 命令中使用了兩個 Google 運算子。
您還可以組合使用兩個 Google 運算子,全部使用文字和檔案型別。
allintext:username filetype:log
上面的命令將向您顯示所有結果,包括 ***.log** 檔案中的使用者名稱。
考慮使用 ENV 檔案的選項
各種流行的 Web 開發框架使用 env 來宣告全域性變數和本地和開發環境的配置。
DB_USERNAME filetype:env DB_PASSWORD filetype:enc=v
您可以透過執行該命令來獲取在網際網路上公開其 **env** 檔案的網站列表。大多數開發人員將其 **".env"** 檔案儲存在主網站的公共目錄中,如果它落入網路罪犯手中,可能會對其網站造成危害。
如果您點選任何公開的“.env”檔案,則未加密的使用者、密碼和 IP 地址將直接顯示在搜尋結果中。
探測即時攝像頭
這聽起來可能有點令人不安,但您是否想過是否有人可以透過網際網路看到您的私人即時攝像頭?
使用谷歌駭客技術,您可以獲取不受 IP 限制的即時攝像頭網頁。假設您勇敢到足以嘗試谷歌駭客搜尋。在這種情況下,您可以遠端檢視和操作整個管理面板,甚至可以根據自己的喜好重新配置攝像頭。
您可以在 URL 中輸入“top.htm”以及當前時間和日期,以獲取公開可見的即時攝像頭的列表。
inurl:top.htm inurl:currenttime
另一個用於攝像頭的駭客搜尋是常見路由器託管即時檢視頁面的列表。
inurl:"lvappl.htm"
調查開放的 FTP 伺服器
由於未能設定 FTP 中的訪問許可權,內部資訊可能會意外發布。如果將其設定為“寫入”,則 FTP 伺服器被用作計算機病毒和非法複製檔案的“儲存”的風險甚至更大。
您可以使用以下駭客搜尋命令快速探索公開暴露的 FTP 伺服器,該命令有時可以檢查許多主題。
intitle:"index of" inurl:ftp
您只需執行以下駭客搜尋命令即可找到使用 HTTP 協議的網站列表。
intitle:"index of" inurl:http after:2018
只需更改搜尋標題中的文字,您就可以更具體地查詢使用 HTTP 的線上論壇。
intitle:"forum" inurl:http after −2018
檢視最新的快取
這將顯示給定網頁的最新快取。這對於確定頁面上次被抓取的時間很有用。
cache:websitename.com
1K+ 閱讀量
