„Google“ yra interneto enciklopedija, kurioje rasite atsakymus į visus jūsų klausimus ir smalsumą. Galų gale, tai tik žiniatinklio rodyklė, skirta vaizdams, straipsniams ir vaizdo įrašams rasti, tiesa?

Na, o jei taip manote, užmerkiate akis į neišnaudotą behemoto paieškos variklio rodymo galimybių potencialą. Ši „Google“ pusė yra mažiau žinoma paprastam vartotojui, tačiau ją veiksmingai skatina blogi veikėjai užgrobti svetaines ir pavogti neskelbtinus duomenis iš įmonių.

Čia aptarsime, kaip saugumo specialistai ir įsilaužėliai naudoja „Google“ kaip veiksmingą žvalgybos įrankį, kad pasiektų neskelbtinus duomenis, užgrobtų svetaines ir kt.

Kas yra „Google Dorking“?

„Google dorking“ arba „Google“ įsilaužimas yra išplėstinių paieškos užklausų tiekimo į „Google“ paieškos variklį būdas medžioti neskelbtiniems duomenims, pvz., naudotojo vardui, slaptažodžiui, žurnalo failams ir kt., svetainių, kurias „Google“ indeksuoja dėl svetainės klaidinga konfigūracija. Šie duomenys yra viešai matomi ir kai kuriais atvejais juos galima atsisiųsti.

instagram viewer

Įprasta Google paieška apima pradinį raktinį žodį, sakinį ar klausimą. Tačiau „Google“ dorkinge užpuolikas naudoja specialius operatorius, kad pagerintų paiešką ir diktuotų žiniatinklio tikrinimo programa ieškoti labai konkrečių failų ar katalogų internete. Daugeliu atvejų tai yra žurnalo failai arba netinkamos svetainės konfigūracijos.

Kaip įsilaužėliai naudoja „Google Dorking“, norėdami nulaužti svetaines

„Google“ dorkingas apima specialių parametrų ir paieškos operatorių, vadinamų „dorks“, naudojimą, siekiant susiaurinti paieškos rezultatus ir ieškoti neskelbtinų duomenų bei saugos spragų svetainėse.

Parametrai ir operatoriai nukreipia tikrintuvą ieškoti konkrečių failų tipų bet kuriame nurodytame URL. Užklausos paieškos rezultatai apima, bet tuo neapsiribojant:

  • Atviras FTP serveriai.
  • Įmonės vidaus dokumentai.
  • Prieinamos IP kameros.
  • Vyriausybės dokumentai.
  • Serverio žurnalo failai su slaptažodžiais ir kitais slaptais duomenimis, kuriuos galima panaudoti siekiant įsiskverbti į organizaciją arba ją sutrikdyti.

Dažniausiai naudojami „Google Dorking“ operatoriai

Nors yra daugybė operatorių ir parametrų, kuriuos galima pritaikyti paieškos užklausai, užtenka tik kelių jų, kad būtų patenkinti saugos profesionalo poreikiai. Štai keletas dažniausiai naudojamų užklausų:

  1. inurl: Padiktuoja tikrinimo programą ieškoti URL, kuriuose yra nurodytas raktinis žodis.
  2. allintext: Šis parametras tinklalapyje ieško vartotojo nurodyto teksto.
  3. Failo tipas: Šis parametras nurodo tikrintuvui ieškoti ir rodyti konkretaus tipo failą.
  4. pavadinimas: Svetainių, kurių pavadinime yra nurodyti raktiniai žodžiai, įbrėžimai.
  5. svetainė: Pateikiamas visų nurodytos svetainės indeksuotų URL sąrašas.
  6. talpykla: Suporavus su svetainės parametru, šis rodo talpykloje saugomą arba senesnę svetainės versiją.
  7. Vamzdžių operatorius (|): šis loginis operatorius pateiks rezultatus, kuriuose yra vienas iš dviejų nurodytų paieškos terminų.
  8. Pakaitos simbolių operatorius (*): Tai pakaitos simbolių operatorius, kuris ieško puslapių, kuriuose yra viskas, kas susiję su jūsų paieškos terminu.
  9. Atimti operatorius (-): taip pašalinsite nepageidaujamus paieškos rezultatus.

Ar „Google Dorking“ yra neteisėta?

Nors tai gali atrodyti bauginančiai, Google dorkingas nepaleis jūsų už grotų, nes naudojate ją tik paieškos rezultatams patikslinti, o ne įsiskverbti į organizaciją.

Tai būtinas blogis ir, tiesą sakant, skatinama praktika tarp energijos vartotojų. Atminkite, kad „Google“ visą laiką seka jūsų paieškas, todėl jei pasieksite neskelbtinus duomenis arba ieškote turėdami piktų kėslų, „Google“ pažymės jus kaip grėsmės veikėją.

Jei atliekate rašiklio testą arba ieškote klaidų, įsitikinkite, kad esate visiškai įgalioti ir remiami organizacijos. Priešingu atveju, jei būsite sučiuptas, reikalai gali pasikeisti blogiausia linkme ir netgi galite pateikti ieškinį.

Kaip apsaugoti savo svetainę nuo „Google“ įsilaužimo

Kaip žiniatinklio valdytojas, turite nustatyti konkrečias gynybines atsakomąsias priemones, kad susidorotumėte su „Google Dorking“. Labai paprastas būdas būtų pridėti a robots.txt failą ir neleisti pasiekti visų jautrių katalogų. Tai neleis paieškos sistemų tikrintuvams indeksuoti neskelbtinų failų, katalogų ir URL, kai juos išvardysite.

Pridedant a robots.txt failą į šakninį katalogą yra bendra gera praktika ir būtina bendram jūsų svetainės saugumui. Išmokti daugiau apie kodėl svetainės saugumas yra labai svarbus.

Kiti būdai, kaip sumažinti šią grėsmę, būtų užšifruoti neskelbtinus duomenis, pvz., naudotojų vardus, slaptažodžius, mokėjimo informaciją ir kt., ir naudoti „Google Search Console“ puslapiams pašalinti iš paieškos rezultatų.

Tapkite „Google Power“ naudotoju naudodami „Google Dorking“.

Nors dauguma iš mūsų „Google“ naudojasi kiekvieną dieną, beveik niekada neišnaudojame tikrosios jos galimybės. Galite panaudoti dažnai nepastebimą „Google“ galią etiškai patobulinti savo „Google-fu“ ir rasti beveik bet ką internete.

Turėdami tinkamus parametrus ir raktinius žodžius, atsakymai į visus jūsų smalsumus ir klausimus bus po ranka, vos vienu klavišo paspaudimu. Sužinokite daugiau apie geriausius patarimus ir gudrybes, kaip išnaudoti visas „Google“ paieškos galimybes.

10 patarimų ir gudrybių, kaip efektyviau naudoti „Google“ paiešką

Skaitykite toliau

DalintisTviteryjeDalintisEl. paštas

Susijusios temos

  • Saugumas
  • Google
  • Google paieška
  • Įsilaužimas
  • Kibernetinė sauga
  • Interneto sauga

Apie autorių

Debarshi Das (11 straipsnių paskelbta)

Man patinka laužyti daiktus ir kurti daiktus, kurie man padeda sulaužyti. Kai ekranai išjungti, mane galite rasti futbolo aikštėje arba kovojantį su protu vietiniame šachmatų klube.

Daugiau iš Debarshi Das

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia