Google可謂互聯(lián)網(wǎng)的百科全書�,它能夠?yàn)槟峁⿴缀跛袉栴}和好奇心的答案。如果您到現(xiàn)在還認(rèn)為它只是一個(gè)用于查找圖像����、文章和視頻的Web索引的話,那您就真的忽略了這個(gè)龐大的搜索引擎在爬網(wǎng)和開發(fā)領(lǐng)域的潛在實(shí)力�。Google在此方面的能力雖然對于普通用戶而言往往是鮮為人知的,但是能夠被惡意行為者有效地利用起來�����,達(dá)到劫持目標(biāo)網(wǎng)站���,并從目標(biāo)公司處竊取敏感數(shù)據(jù)等目的����。Google可謂互聯(lián)網(wǎng)的百科全書,它能夠?yàn)槟峁⿴缀跛袉栴}和好奇心的答案����。如果您到現(xiàn)在還認(rèn)為它只是一個(gè)用于查找圖像、文章和視頻的Web索引的話���,那您就真的忽略了這個(gè)龐大的搜索引擎在爬網(wǎng)和開發(fā)領(lǐng)域的潛在實(shí)力。Google在此方面的能力雖然對于普通用戶而言往往是鮮為人知的�����,但是能夠被惡意行為者有效地利用起來�,達(dá)到劫持目標(biāo)網(wǎng)站,并從目標(biāo)公司處竊取敏感數(shù)據(jù)等目的����。
圖片
下面,我們將和您討論網(wǎng)絡(luò)安全專業(yè)人員與黑客如何使用Google Dorking��,作為一種有效的偵察工具���,來達(dá)到訪問敏感數(shù)據(jù)����、以及劫持網(wǎng)站等目的。下面����,我們將和您討論網(wǎng)絡(luò)安全專業(yè)人員與黑客如何使用Google Dorking,作為一種有效的偵察工具�����,來達(dá)到訪問敏感數(shù)據(jù)�、以及劫持網(wǎng)站等目的。下面���,我們將和您討論網(wǎng)絡(luò)安全專業(yè)人員與黑客如何使用Google Dorking����,作為一種有效的偵察工具�,來達(dá)到訪問敏感數(shù)據(jù)、以及劫持網(wǎng)站等目的�����。下面���,我們將和您討論網(wǎng)絡(luò)安全專業(yè)人員與黑客如何使用Google Dorking�,作為一種有效的偵察工具,來達(dá)到訪問敏感數(shù)據(jù)��、以及劫持網(wǎng)站等目的�����。
1.什么是Google Dorking?
Google Dorking(或稱Google Hacking)是一種將高級搜索與查詢需求�,輸入到Google搜索引擎的技術(shù)。它可以尋找由于站點(diǎn)的配置錯(cuò)誤�,而被Google編入索引的諸如:用戶名���、密碼���、以及日志文件等網(wǎng)站敏感數(shù)據(jù)。由于這些數(shù)據(jù)在技術(shù)上是公開可見的���,因此它們在某些情況下也可以被下載�。
2.黑客如何使用Google Dorking入侵網(wǎng)站
Google Dorking使用被稱為“dorks”的特殊參數(shù)和搜索運(yùn)算符���,來縮小搜索結(jié)果的范圍�����,并尋找網(wǎng)站中暴露的敏感數(shù)據(jù)�����、以及安全漏洞���。這些參數(shù)和運(yùn)算符會指示爬蟲在任何指定的URL中查找特定的文件類型�。它們能夠查詢到的搜索結(jié)果包括但不限于如下方面:
打開FTP服務(wù)器����。
公司內(nèi)部文件。
可訪問的IP網(wǎng)絡(luò)攝像頭�����。
內(nèi)部管理類文件�。
服務(wù)器的日志文件,其中包含著可用于滲透或破壞目標(biāo)組織的密碼和其他敏感數(shù)據(jù)��。
3.最常用的Google Dorking運(yùn)算符
圖片
盡管我們可以將大量不同的運(yùn)算符和參數(shù)應(yīng)用于搜索查詢���,但是對于安全專業(yè)人員而言��,他們往往只需要其中的一小部分���,即可滿足特定的技術(shù)需求�����。以下便是一些常用的查詢參數(shù):
inurl:指示爬蟲搜索包含指定有關(guān)鍵字的URL�����。
inurl:指示爬蟲搜索包含指定有關(guān)鍵字的URL����。
allintext:此參數(shù)可在網(wǎng)頁中搜索用戶指定的文本���。
filetype:此參數(shù)可告訴網(wǎng)絡(luò)爬蟲查找并顯示特定的文件類型。
intitle:在標(biāo)題中爬取包含有指定關(guān)鍵字的網(wǎng)站�����。
site:列出指定站點(diǎn)的所有索引URL����。
cache:與站點(diǎn)的參數(shù)配對時(shí),該參數(shù)可以顯示網(wǎng)站的緩存或舊的版本����。
管道運(yùn)算符 (|):該邏輯運(yùn)算符將列出包含兩個(gè)指定搜索關(guān)鍵詞中任意一個(gè)的所有結(jié)果�。
通配符運(yùn)算符 (*):該通配符運(yùn)算符可用于搜索包含了與您的搜索關(guān)鍵詞相關(guān)的任意內(nèi)容的頁面�����。
減運(yùn)算符 (-):它會從您的搜索中去除那些不需要的結(jié)果�����。
4.Google Dorking是非法的嗎?
雖然看似復(fù)雜�����,但是Google Dorking并不會讓您覺得無從入手����,畢竟您通常只會用它來優(yōu)化搜索結(jié)果,而不是真正用來深度滲透到某個(gè)組織中��。事實(shí)上����,對于高級用戶而言,此類使用Google Dorking的做法是受鼓勵(lì)的���。當(dāng)然�,值得注意的是,Google會一直跟蹤您的搜索���,如果您持續(xù)訪問敏感數(shù)據(jù)�����、或進(jìn)行惡意搜索的話�,Google會將您標(biāo)記為威脅的參與者�����。因此�,如果您正在進(jìn)行滲透測試、或在尋找漏洞賞金的話����,請確保您已獲得了相應(yīng)組織的完全授權(quán)與支持����。否則,您可能由此被抓�,甚至為此吃官司���。
5.如何保護(hù)您的網(wǎng)站免受Google Hacking的攻擊
圖片
robots.txt示例
由上述介紹可知,作為網(wǎng)站管理員�,您必須設(shè)置特定的防御措施,來應(yīng)對Google Dorking�����。其中���,最直接的一種方法便是添加robots.txt文件��,以禁止訪問所有敏感的目錄���。此舉將能夠讓搜索引擎爬蟲無法將您羅列的敏感文件、目錄和URL編入索引�����。將robots.txt文件添加到根目錄����,既是一種比較普遍的良好實(shí)踐,也是對目標(biāo)網(wǎng)站的整體安全態(tài)勢至關(guān)重要的。您可以通過鏈接:https://www.makeuseof.com/tag/website-security-business-success/來進(jìn)一步了解robots.txt的添加和網(wǎng)站安全的重要性��。除了上述方法����,我們還可以通過加密諸如:用戶名、密碼�、以及支付信息等敏感數(shù)據(jù),減少由Google Dorking引發(fā)的威脅����,并可以使用Google Search Console,從搜索結(jié)果中剔除敏感頁面�。
6.通過Google Dorking成為Google高級用戶
如前所述,雖然我們大多數(shù)人每天都在使用Google之類的搜索引擎���,但我們幾乎沒能充分利用其真正的潛力����。通過上述介紹���,您可以試著使用適當(dāng)?shù)膮?shù)和關(guān)鍵字���,謹(jǐn)慎地利用Google Dorking,來完善自己的Google-fu(是指使用Google進(jìn)行快速��、簡便���、精確的搜索����,此處“fu”取自于“Kong- fu”) ��,并在互聯(lián)網(wǎng)上爬取所需的信息��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
