今天的主题是和Google Hacking有关,用到的大部分“技巧”在之前一篇的《More Query Modifiers》里面提到过,回复3进行回顾。
Google Hacking就是利用修饰符进行hack活动,相关的技术不仅仅限于谷歌搜索引擎,其它的搜索引擎也支持这些技巧,只是使用方法略有不同。好奇的人类,大多数时候进行hack活动的目的是找出一些机密的资料以及找出网站后台。
下面列出了Google Hacking可以得到的信息:
1、个人私密信息以及公司财务信息
2、个别网站用户的用户名、密码,电脑管理员的密码
3、公司机密文件
4、政府敏感资料
5、网站的漏洞
看到这里,你可能会在心里犯嘀咕:“我用google这么多年了,还是第一次发现它能干这么多’坏事’!”。是的,利用google hacking,你可以轻松的获取到很多隐秘信息,但百问君在这里是不鼓励大家去“干坏事”的,还是建议大家将这些技巧应用在个人网站的安全检测。
下面我就给各位看官介绍下几颗栗子。
栗子1
----
组合技巧:filetype+site+keyword
很多机构会将财务、专利、简历等信息存在表格中(如Excel),更可笑的是,它们经常将这些表格标注成“机密”(外国站点就是“Confidential”)。假设现在你想寻找南非钻石国度的隐秘信息,你可以按照下面的格式进行搜索:
[filetype:xls site:za confidential]
我们也可以加入更多的关键词,你可以尝试下下面的这个搜索指令:
[filetype:xls site:in budget]
栗子2
----
登录关键词:login+userid+password
这些关键词基本是全球通用,很凑巧的是这些关键词往往会存在一些表格文档中:
[filetype:xls site:cn login]
PS:在“搜”high的同时不要忘了处理这些office系列的注意点,它们很有可能包含宏病毒,所以以网页形式进行查看是个好选择。
栗子3
----
记性差的管理员
前段时间流行的一句话——不怕神一样的对手,就怕猪一样的队友。公司如果雇佣了不负责的管理员,可能就要遭受损失了,很多不应该暴露在互联网上的内容可能就会被看到:
[intitle:”index of” site:kr password]
栗子4
----
秘密数搜索(确实不知道该怎么去解释“numrange search”)
秘密数搜索是最不为人知的官方Google Hacing技巧,不过它曾经让很多“坏人”大捞了一笔,现在的秘密数搜索的条件已经被严格的限制了,先举没被限制前的栗子(感受下):
[numrange:4567000000000000..4567999999999999 visa]
或
[numrange:222000000..250999999 ssn]
现在你去执行这样的hack,你肯定会得到一个错误页。之前它被人用来找到信用卡卡号等私密信息。
私密数搜索现在的栗子:
[site:www.csdn.net 600..780]
以上是一些常用的Google Hacking技巧,为了避免大家误解,我没有将一些已经被证实的漏洞故意泄漏给大家。请务必将技术用在正途上,如果碰巧找到个别站点的漏洞,也要及时email给网站管理员,告知漏洞所在。助人为乐,攒人品。
明天《搜商》将介绍搜索的发展简史:metasearch、megasearch,学有余力的同学可以提前去了解下。
记得多花时间练习百问君最近交给大家的小技巧哟~~
===只做最真实的自己===
新开通了微信公共号IT百问
关注方式:
1、打开微信搜索微信号ID:itbaiwen
2、或者扫描下方的二维码
回复m查看文章列表
扫一扫
82
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
