谷歌駭侵法
 |
谷歌駭侵法(Google hacking),也叫Google dorking,是一種利用谷歌搜索和其他谷歌應用程序來發現網站配置和計算機代碼中的安全漏洞的計算機黑客技術。[1][2]
基礎知識[編輯]
「谷歌駭侵法」是指利用谷歌搜索引擎中的高級操作符,在搜索結果中定位特定的文本字符串。 一些比較流行的例子是找到易受攻擊的 Web 應用程序的特定版本。 帶有 intitle: admbook intitle: Fversion filetype: php 的搜索查詢將定位所有包含該特定文本的網頁。 應用程序的默認安裝通常會在它們所服務的每個頁面中包含它們的運行版本,例如,「由 XOOPS 2.2.3 Final 提供支持」。
一個甚至可以檢索的用戶名和密碼,列出從 頭版的微軟 服務器輸入給microscript在谷歌搜索領域:
"#-Frontpage"inurl:管理员。pwd 或文件类型:日志inurl登录密码
設備連接到互聯網上可以找到。 搜索字符串如 inurl:"ViewerFrame?Mode=" 將找到公開網絡攝像頭。
另一個有用的搜索是 intitle: index.of 後面跟着一個搜索關鍵字。 這可以給出服務器上的文件列表。 例如,intitle: index.of MP3將提供各種服務器上可用的所有 MP3文件。
有許多類似的高級運算符可用於利用不安全的網站:
谷歌駭侵法的歷史[編輯]
「谷歌駭侵法」的概念可以追溯到2002年,當時Johnny Long開始收集谷歌的搜索查詢,這些查詢揭示了脆弱的系統和/或敏感信息的披露,並給它們貼上了googleDorks的標籤。[3]
Google Dorks列表發展成一個龐大的查詢字典,最終在2004年被組織到原始的Google Hacking數據庫(GHDB)中。 [4] [5]
自其全盛時期以來,谷歌駭侵法探索的概念已擴展到其他搜索引擎,如Bing和Shodan。[6][7]自動攻擊工具使用自定義搜索詞典來查找被搜索引擎索引的公共系統中的脆弱系統和敏感信息披露。[8][9]
參考資料[編輯]
- ^ Term Of The Day: Google Dorking - Business Insider. [2020-01-21]. (原始內容存檔於2020-06-19).
- ^ Google dork query (頁面存檔備份,存於網際網路檔案館), techtarget.com
- ^ googleDorks created by Johnny Long. Johnny Long. [8 December 2002]. (原始內容存檔於2002-12-08).
- ^ Google Hacking Database (GHDB) in 2004. Johnny Long. [5 October 2004]. (原始內容存檔於2007-07-07).
- ^ Google Hacking for Penetration Testers, Volume 1. Johnny Long. [20 February 2005]. (原始內容存檔於2019-07-16).
- ^ Bing Hacking Database (BHDB) v2. Bishop Fox. [27 August 2014]. (原始內容存檔於2019-06-08).
- ^ Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite. Bishop Fox. [21 June 2013]. (原始內容存檔於2019-06-08).
- ^ SearchDiggity - Search Engine Attack Tool Suite. Bishop Fox. [27 August 2014]. (原始內容存檔於2019-06-08).
- ^ Google Hacking History. Bishop Fox. [27 August 2014]. (原始內容存檔於2019-06-03).