- 搜索引擎语法
Baidu、bing、google,搜索引擎中有海量信息,如何更快的找到所需信息呢?
例如百度页面的右上角还有高级搜索的功能。(在使用高级搜索的时候,地址栏会显示相应语法,感兴趣可以自己尝试一下)
Site:搜索指点站点信息
Inurl:搜索URL中包含有指定字符串的网址(|,是或的意思)
Intitle:搜索网页标题中包含指定的字符串的网址
Intext:搜索站点页面内容中具有关键字内容的网址
Filetype:搜索出特定后缀名的文件
高级搜索技术:自由组合,灵活运用,会有惊喜
不同搜索引擎支持的语法是有些区别的,有些搜索引擎也有些特殊的功能,例如bing,他有同ip站点的查询功能
- 网络空间搜索
万物互联:个人计算机和服务器、路由器、智能家居、平板电脑、手机、摄像头、工业控制设备等
如果把每个接入互联网的设备看做一个节点,就构成了我们的网络空间
那么如何在网络空间快速找到我们的 设备呢?
这里就用到了网络空间搜索工具,一下是比较有名的:
www.Shodan.io、www.zoomeye.org、fofa.so
我们在使用每一个工具的时候第一件事情就是找到帮助文档或者用户手册,他会帮助我们了解功能、特性、操作、语法等等
网络空间搜索引擎的基本原理
探测/爬取→识别/打标签→存储供检索
- 在线web工具
例如我想对一个目标站点进行一个基本的探测,可以使用:whatweb.net
我们在安全测试中经常会用到ip的查寻,可以使用:www.ipip.net
密文还原成明文的站点:www.cmd5.com
提供多可可以使用的小工具:www.chinaz.com
安全导航站点:www.anquanquan.info
课后练习
- google hack搜索尝试
- 网络空间搜索引擎尝试
- 尝试多种web在线工具
Web安全工具整节课小结
- 浏览器与插件
- 代理抓包工具
- 扫描工具
- 在线工具
回顾一下,我们所掌握的这些知识已经可以对目标站点进行多角度的安全测试了。
- 也是新的开始,首先学习和掌握最常用的功能,然后继续学习更多的用法
- 同类工具,精于一种,然后在触类旁通
- 在同类工具中选择一款用熟练,好过什么工具都智慧一点
- 会寻找适合的工具
- 你需要的工具,很可能已经有人分享过,所以,学会发现和使用新的工具去接近遇到的问题
- 工具就在那里,用之正则正,用之邪则邪
- 工具是人思想的延伸,除了能帮助实现你的测试思路,还有你的测试动机。
- 思考现实原理,以及了解工具的局限性
- 知其然,更要知其所以然。除了会使用,还要了解工具的运行原理,适用场景,以及局限。
- 不要依赖工具,以我为主,为我所用
- 工作中可以借助工具提高效率,但是在web安全的学习实践中,很多时候要敢于摆脱工具手工测试。
野兔
2019.2.24
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
