Google Hacking
原指利用Google搜索引擎搜索信息来进行入侵的技术和行为;
现指利用各种搜索引擎搜索信息来进行入侵的技术和行为,但我们也可利用这个在互联网上进行更加便捷精准的搜索我们想要的资源。
intext:在正文中搜索指定的关键字
inurl:在URL中搜索指定的关键字 inurl:admin/login.php
intitle: 在标题中搜索指定的关键字
site: 搜索包含关键词的站点
filetype:搜索指定文件类型
百度界面化搜索:http://www.baidu.com/gaoji/advanced.html
Shodan:Shodan收集有关直接连接到Internet的所有设备的信息。如果设备直接连接到Internet,则Shodan会查询该设备以获取各种公开可用的信息。(https://www.shodan.io/search?query=mvs)
类似的还有:Fofa(https://fofa.info/)
zoomeye:https://www.zoomeye.org/
利用思路:1.一个公司的建站服务肯定是有很多客户
2.当前客户没有漏洞,其他客户可能有漏洞
3.利用漏洞拿下源码即可进行审计