google hacking

google hacking

Google Hacking的含義原指利用Google Google搜尋引擎搜尋信息來進行入侵的技術和行為;現指利用各種搜尋引擎搜尋信息來進行入侵的技術和行為;

概述

谷歌黑客(Google hacking)是使用搜尋引擎,比如谷歌來定位網際網路上的安全隱患和易攻擊點。Web上一般有兩種容易發現的易受攻擊類型:軟體漏洞和錯誤配置。雖然一些有經驗的入侵者目標是瞄準了一些特殊的系統,同時嘗試發現會讓他們進入的漏洞,但是大部分的入侵者是從具體的軟體漏洞開始或者是從那些普通用戶錯誤配置開始,在這些配置中,他們已經知道怎樣侵入,並且初步的嘗試發現或掃描有該種漏洞的系統。谷歌對於第一種攻擊者來說用處很少,但是對於第二種攻擊者則發揮了重要作用。

當一個攻擊者知道他想侵入的漏洞的種類,但是沒有明確的目標時,他使用掃描器。掃描器是自動開始一個檢查系統的絕大部分地方的過程,以便發現安全缺陷的這樣一個程式。最早和電腦相關的掃描器,例如,是戰爭撥號器這個程式,它會撥一長串的電話號碼,並且記錄下和數據機相匹配的號碼。

常規GoogleHacking

功能

CGI 掃描

連線埠掃描

翻譯( Translate Translate)

功能

快取(Cache Cache)

蒐集安全工具結果

- Locating Nessus Scans

- Locating ISS Scans

- IDS Data: ACID

蒐集已有攻擊結果

- 後門

- 遠程控制

蒐集敏感信息

- SSH Host Keys

- PGP Private Keys

- Credit card

快速

- 搜尋引擎預先準備了大量處理好的信息以供檢索;

準確

- 搜尋引擎做了關聯性、重要性等各種過濾處理措施;

隱蔽

- 搜尋、查詢都是通過搜尋引擎的資料庫進行;

智慧型:

- 搜尋引擎自身的智慧型特性;

快取

- 保留了已經實際不存在的敏感信息;

GHDB & googledork

Google Hacking Database

- 查詢條件集合查詢條件集合

Googledork: An inept or foolish person as revealed by Google.

查詢條件分類

Advisories and Vulnerabilities 公告和漏洞

Error Messages 錯誤信息

Files containing juicy info 有價值的檔案

Files containing passwords 口令檔案

Files containing usernames 用戶名檔案

Footholds 演示頁面

Pages containing login portals 登錄頁面

Pages containing network or vulnerability data 安全相關檔案

Sensitive Directories 敏感目錄

Sensitive Online Shopping Info 線上商業信息

Various Online Devices 線上設備

Vulnerable Files 有漏洞的檔案

Vulnerable Servers 有漏洞主機

Web Server Detection 網站伺服器檢測

最常用的10 個查詢條件

index.of.password

"access denied for user" "using password"

"http://*:*@www" " domainname

auth_user_file.txt

The Master List

allinurl: admin mdb

passlist.txt (a better way)

"A syntax error has occurred" filetype:ihtml

"# -FrontPage-" inurl:service.pwd

ORA-00921: unexpected end of SQL command

最新的10 個查詢條件

filetype:blt "buddylist "

intitle:"index of" inurl:ftp (pub | incoming)

filetype:cnf inurl:_vti_pvt access.cnf

allinurl:"/*/_vti_pvt/" | /" | allinurl:"/*/_vti_cnf/"

inurl:"install/install.php"

intitle:"welcome.to.squeezebox"

intext:""BiTBOARD v2.0" BiTSHiFTERS Bulletin Board"

intitle:Login intext:"RT is © Copyright"

ext:php program_listing

intitle:MythWeb.Program.Listing

intitle:index.of abyss.conf

相關詞條

熱門詞條

聯絡我們