黑客如何借助Google Dorking攻击网站
发布时间:2022-06-21 16:45:33 所属栏目:安全 来源:互联网
导读:Google可谓互联网的百科全书,它能够为您提供几乎所有问题和好奇心的答案。如果您到现在还认为它只是一个用于查找图像、文章和视频的Web索引的话,那您就真的忽略了这个庞大的搜索引擎在爬网和开发领域的潜在实力。Google在此方面的能力虽然对于普通用户而言
|
Google可谓互联网的百科全书,它能够为您提供几乎所有问题和好奇心的答案。如果您到现在还认为它只是一个用于查找图像、文章和视频的Web索引的话,那您就真的忽略了这个庞大的搜索引擎在爬网和开发领域的潜在实力。Google在此方面的能力虽然对于普通用户而言往往是鲜为人知的,但是能够被恶意行为者有效地利用起来,达到劫持目标网站,并从目标公司处窃取敏感数据等目的。Google可谓互联网的百科全书,它能够为您提供几乎所有问题和好奇心的答案。如果您到现在还认为它只是一个用于查找图像、文章和视频的Web索引的话,那您就真的忽略了这个庞大的搜索引擎在爬网和开发领域的潜在实力。Google在此方面的能力虽然对于普通用户而言往往是鲜为人知的,但是能够被恶意行为者有效地利用起来,达到劫持目标网站,并从目标公司处窃取敏感数据等目的。 1.什么是Google Dorking? Google Dorking(或称Google Hacking)是一种将高级搜索与查询需求,输入到Google搜索引擎的技术。它可以寻找由于站点的配置错误,而被Google编入索引的诸如:用户名、密码、以及日志文件等网站敏感数据。由于这些数据在技术上是公开可见的,因此它们在某些情况下也可以被下载。 2.黑客如何使用Google Dorking入侵网站 Google Dorking使用被称为“dorks”的特殊参数和搜索运算符,来缩小搜索结果的范围,并寻找网站中暴露的敏感数据、以及安全漏洞。这些参数和运算符会指示爬虫在任何指定的URL中查找特定的文件类型。它们能够查询到的搜索结果包括但不限于如下方面: 打开FTP服务器。 公司内部文件。 可访问的IP网络摄像头。 内部管理类文件。 服务器的日志文件,其中包含着可用于渗透或破坏目标组织的密码和其他敏感数据。 3.最常用的Google Dorking运算符 图片 尽管我们可以将大量不同的运算符和参数应用于搜索查询,但是对于安全专业人员而言,他们往往只需要其中的一小部分,即可满足特定的技术需求。以下便是一些常用的查询参数: inurl:指示爬虫搜索包含指定有关键字的URL。 inurl:指示爬虫搜索包含指定有关键字的URL。 allintext:此参数可在网页中搜索用户指定的文本。 4.Google Dorking是非法的吗? 虽然看似复杂,但是Google Dorking并不会让您觉得无从入手,毕竟您通常只会用它来优化搜索结果,而不是真正用来深度渗透到某个组织中。事实上,对于高级用户而言,此类使用Google Dorking的做法是受鼓励的。当然,值得注意的是,Google会一直跟踪您的搜索,如果您持续访问敏感数据、或进行恶意搜索的话,Google会将您标记为威胁的参与者。因此,如果您正在进行渗透测试、或在寻找漏洞赏金的话,请确保您已获得了相应组织的完全授权与支持。否则,您可能由此被抓,甚至为此吃官司。 5.如何保护您的网站免受Google Hacking的攻击 6.通过Google Dorking成为Google高级用户 如前所述,虽然我们大多数人每天都在使用Google之类的搜索引擎,但我们几乎没能充分利用其真正的潜力。通过上述介绍,您可以试着使用适当的参数和关键字,谨慎地利用Google Dorking,来完善自己的Google-fu(是指使用Google进行快速、简便、精确的搜索,此处“fu”取自于“Kong- fu”) ,并在互联网上爬取所需的信息。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号