数据结构
网络
RDBMS
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
时尚研究
法律研究什么是谷歌黑客搜索(Google Dorking)?
随着科技的进步,每个人都可能使用谷歌,它是全球使用最广泛的搜索引擎之一。谷歌是一个搜索引擎,允许您查找信息、数据和其他互联网资源。但谷歌的功能并不局限于此。在本教程中,您将学习如何使用谷歌搜索技巧进行黑客策略,了解什么是谷歌黑客搜索。
谷歌黑客搜索是什么意思?
谷歌黑客搜索是一种黑客技术,它利用谷歌的高级搜索功能来查找难以找到的有用数据或资料。
"谷歌黑客"是谷歌黑客搜索的另一个术语。从表面上看,谷歌黑客搜索需要使用某些修饰符修改搜索结果。
用户可以通过点击“图像”或“网站”等标签来收集图片或获取有关单个网站的信息,而不是扫描整个网络。其他命令,如“filetype”和“datarange”,可用于生成更具体的搜索结果。
虽然某些形式的谷歌黑客搜索是无害的,并且仅使用谷歌的资源,但其他一些形式却令当局和安全专家感到担忧,因为它们可能暗示黑客行为或网络攻击侦察。这就是为什么该术语在安全社区中获得负面含义的原因,因为黑客可以使用这些类型的谷歌黑客搜索和其他网络罪犯来访问非法数据或利用网站的安全漏洞。
黑客是否可以使用谷歌入侵网站?
谷歌通常被误解为仅仅是用于文本、图片、视频和新闻的搜索引擎。但是,信息安全起着至关重要的作用。谷歌也可以用作黑客工具。
谷歌不能直接用于入侵网站。但是,它惊人的网络爬取能力在索引几乎任何网站上的任何内容(甚至敏感信息)方面可能非常有用。这可能包括用户名、密码和其他您不知道的基本弱点。
基本上,借助原生的谷歌搜索引擎,您可以使用谷歌黑客搜索发现任何 Web 应用程序和服务器中的漏洞。
"谷歌黑客搜索"名称的意义
谷歌黑客是指无意中在互联网上发布公司机密信息的员工。黑客是一个俚语,指那些头脑迟钝或笨拙的人。攻击者使用称为谷歌黑客搜索的复杂搜索字符串来查找敏感信息。
消除谷歌黑客搜索
有许多方法可以避免落入谷歌黑客的控制之下。以下是一些建议的措施:
对敏感数据进行编码或加密,例如用户名、密码、支付信息、消息、地址和电话号码。
对您自己的网站运行查询,以查看是否可以找到任何敏感信息。如果您发现任何敏感信息,您可以使用 Google Search Console 将其从搜索结果中删除。
可以使用您根级站点目录中的 **robots.txt** 文件来保护敏感内容。虽然使用 robots.txt 有助于防止 Google 爬取我们的网站,但它也可能向攻击者泄露有价值的数据。
谷歌黑客搜索示例
让我们看几个谷歌黑客搜索的例子,并了解它们如何用于在互联网上查找私人信息。
通过 LOG 文件查找登录凭据
这是一种查找错误上传到互联网的“.LOG”文件的方法。这本质上是一个包含系统凭据或系统中众多用户/管理员帐户信息的 LOG 文件。
Dork 命令中使用了两个 Google 运算符。
您还可以组合使用两个 Google 运算符,全部使用文本和文件类型。
allintext:username filetype:log
上面的命令将向您显示所有结果,包括 ***.log** 文件中的用户名。
考虑使用 ENV 文件的选项
各种流行的 Web 开发框架使用 env 来声明全局变量和本地和开发环境的配置。
DB_USERNAME filetype:env DB_PASSWORD filetype:enc=v
您可以通过运行该命令来获取在互联网上公开其 **env** 文件的网站列表。大多数开发人员将其 **".env"** 文件保存在主网站的公共目录中,如果它落入网络罪犯手中,可能会对其网站造成危害。
如果您点击任何公开的“.env”文件,则未加密的用户、密码和 IP 地址将直接显示在搜索结果中。
探测实时摄像头
这听起来可能有点令人不安,但您是否想过是否有人可以通过互联网看到您的私人实时摄像头?
使用谷歌黑客技术,您可以获取不受 IP 限制的实时摄像头网页。假设您勇敢到足以尝试谷歌黑客搜索。在这种情况下,您可以远程查看和操作整个管理面板,甚至可以根据自己的喜好重新配置摄像头。
您可以在 URL 中输入“top.htm”以及当前时间和日期,以获取公开可见的实时摄像头的列表。
inurl:top.htm inurl:currenttime
另一个用于摄像头的黑客搜索是常见路由器托管实时查看页面的列表。
inurl:"lvappl.htm"
调查开放的 FTP 服务器
由于未能设置 FTP 中的访问权限,内部信息可能会意外发布。如果将其设置为“写入”,则 FTP 服务器被用作计算机病毒和非法复制文件的“存储”的风险甚至更大。
您可以使用以下黑客搜索命令快速探索公开暴露的 FTP 服务器,该命令有时可以检查许多主题。
intitle:"index of" inurl:ftp
您只需执行以下黑客搜索命令即可找到使用 HTTP 协议的网站列表。
intitle:"index of" inurl:http after:2018
只需更改搜索标题中的文本,您就可以更具体地查找使用 HTTP 的在线论坛。
intitle:"forum" inurl:http after −2018
查看最新的缓存
这将显示给定网页的最新缓存。这对于确定页面上次被抓取的时间很有用。
cache:websitename.com
1K+ 阅读量
