谷歌骇侵法
 |
谷歌骇侵法(Google hacking),也叫Google dorking,是一种利用谷歌搜索和其他谷歌应用程序来发现网站配置和计算机代码中的安全漏洞的计算机黑客技术。[1][2]
基础知识[编辑]
“谷歌骇侵法”是指利用谷歌搜索引擎中的高级操作符,在搜索结果中定位特定的文本字符串。 一些比较流行的例子是找到易受攻击的 Web 应用程序的特定版本。 带有 intitle: admbook intitle: Fversion filetype: php 的搜索查询将定位所有包含该特定文本的网页。 应用程序的默认安装通常会在它们所服务的每个页面中包含它们的运行版本,例如,“由 XOOPS 2.2.3 Final 提供支持”。
一个甚至可以检索的用户名和密码,列出从 头版的微软 服务器输入给microscript在谷歌搜索领域:
"#-Frontpage"inurl:管理员。pwd 或文件类型:日志inurl登录密码
设备连接到互联网上可以找到。 搜索字符串如 inurl:"ViewerFrame?Mode=" 将找到公开网络摄像头。
另一个有用的搜索是 intitle: index.of 后面跟着一个搜索关键字。 这可以给出服务器上的文件列表。 例如,intitle: index.of MP3将提供各种服务器上可用的所有 MP3文件。
有许多类似的高级运算符可用于利用不安全的网站:
谷歌骇侵法的历史[编辑]
“谷歌骇侵法”的概念可以追溯到2002年,当时Johnny Long开始收集谷歌的搜索查询,这些查询揭示了脆弱的系统和/或敏感信息的披露,并给它们贴上了googleDorks的标签。[3]
Google Dorks列表发展成一个庞大的查询字典,最终在2004年被组织到原始的Google Hacking数据库(GHDB)中。 [4] [5]
自其全盛时期以来,谷歌骇侵法探索的概念已扩展到其他搜索引擎,如Bing和Shodan。[6][7]自动攻击工具使用自定义搜索词典来查找被搜索引擎索引的公共系统中的脆弱系统和敏感信息披露。[8][9]
参考资料[编辑]
- ^ Term Of The Day: Google Dorking - Business Insider. [2020-01-21]. (原始内容存档于2020-06-19).
- ^ Google dork query (页面存档备份,存于互联网档案馆), techtarget.com
- ^ googleDorks created by Johnny Long. Johnny Long. [8 December 2002]. (原始内容存档于2002-12-08).
- ^ Google Hacking Database (GHDB) in 2004. Johnny Long. [5 October 2004]. (原始内容存档于2007-07-07).
- ^ Google Hacking for Penetration Testers, Volume 1. Johnny Long. [20 February 2005]. (原始内容存档于2019-07-16).
- ^ Bing Hacking Database (BHDB) v2. Bishop Fox. [27 August 2014]. (原始内容存档于2019-06-08).
- ^ Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite. Bishop Fox. [21 June 2013]. (原始内容存档于2019-06-08).
- ^ SearchDiggity - Search Engine Attack Tool Suite. Bishop Fox. [27 August 2014]. (原始内容存档于2019-06-08).
- ^ Google Hacking History. Bishop Fox. [27 August 2014]. (原始内容存档于2019-06-03).