查看原文
其他

好可怕的搜索引擎!

IT服务圈儿 2022-09-11

The following article is from 小白学黑客 Author 小白哥

来源丨本文经授权转自 小白学黑客(ID:xiaobaihacker)

作者丨小白哥

文末送书!

在之前的一些文章中,我展现了很多网络信息搜集的能力,让不少小伙伴惊呼:哇,一个域名都能挖出这么多信息,太牛了!

实际上,信息搜集和社会工程学也是网络安全的非常重要组成部分。今天这篇文章就来介绍下信息搜集方面经常用到的技术:Google Hacking,就算暂时没有太多专业的网络安全知识,但是如果能熟练运用搜索引擎,也能变身一个小小的黑客。

Google Hacking,字面意义是利用Google搜索引擎搜索信息来进行入侵的技术和行为,现在已经引申为利用一切搜索引擎进行网络入侵的技术和行为。

搜索引擎大家都用过,在搜索框中输入关键词,一键回车,结果就展示在我们面前。但实际上,这个搜索框内藏玄机,除了关键词,还有别的用法。

搜索引擎对于搜索的内容提供了多种语法,通过构造特定的搜索语句,能够快速全面的让攻击者挖掘到有价值的信息。

本文列举一些常用的例子,如果没有特别说明,本文列出的搜索语法在Google和百度中都能适用,本文内容以Google为例展示。

site

语法:site

作用:限定在特定的网址中搜索

有时候全网搜索有点像大海捞针,而如果我们有特别关心的网站,想只显示这个网站的搜索结果,就可以用到site语法,比如我在微软的官网内搜索漏洞编号CVE-2014-4114:

可以看到,显示的结果都是在指定网站中的,大大减少了我们在海量信息中的筛选成本。

实际上,不少网站为了省事,这些网站的站内搜索功能就是利用搜索引擎的site语法来实现的。

filetype

语法:filetype

作用:搜索特定的文件类型

有时候我们想找特定类型的文档,比如PPT、PDF等,但默认情况下出来的都是网页,很难找到我们想要的内容,这个时候就可以用上filetype语法。比如我想搜索web安全相关的PDF电子书:

这下出来的,都是我们想要的了,用这一招搜索技术文档、电子书等等屡试不爽哦。

inurl

语法:inurl

作用:在URL中搜索出现指定内容的链接

这一个语法有什么用?普通人很少直接关心链接本身的内容,但是对于咱们hacker来说,URL就重要了,比如我们可以用来搜索可能存在SQL注入的链接:

  • inurl:.php?id=
  • inurl:.jsp?id=
  • inurl:.asp?id=

除了SQL注入,还可以搜索可能存在的网站后台管理入口:

  • inurl:login.php
  • inurl:login.jsp
  • inurl:login.asp

如果我们再加上前面的site语法组合使用,就可以找出指定网站的这种链接了,定向寻找攻击点。

intitle

语法:intitle

作用:在网页title中搜索出现指定内容的网页

除了在URL中搜索,咱们还能在标题中搜索。一般网站后台管理页面都会带有“后台”、“管理”、“登录”等字眼,我们可以通过在HTML的title字段位置搜索这些关键词,寻找可疑的后台登录页面。

intext

语法:intext

作用:除了URL和title,剩下的就是正文位置搜索了

比如我们搜索使用discuz搭建的论坛网站:

Google Hacking DataBase

看了这么多,不知道你学废了吗?

如果没有也没有关系,这里有个神器:Google Hacking数据库,汇集了非常多的有价值的搜索语句,你可以用这些来搜搜看,看看能不能发现些什么信息。

网址:https://www.exploit-db.com/google-hacking-database

学会使用搜索引擎,是每一个hacker必备的技能之一,看完这篇赶紧操练起来,动动手试一试。不过以学习为主,切莫拿去做违法事情哦,现在的网络安全法那可不是闹着玩的!

end


👇👇👇留言的朋友均有机会获得书籍呦~
今日书单 | 包邮送

推荐理由:本书既适合希望从事Python数据处理与可视化的用户学习,也适合广大职业院校作为相关专业教材,还可作为社会培训班的参考用书。

推荐理由:人工智能时代,深度学习是程序员必须具备的基础技能,此书知识全面,从环境搭建,学习方法到应用分析,真正做到了“深度学习的开发指南”。

推荐理由:本书内容精炼、重点突出、案例丰富,适合在企业中从事数据分析、数据挖掘、机器学习等工作的人员学习使用,同样适合想从事数据分析挖掘工作的各大中专院校的学生与教师,以及其他对数据分析挖掘技术领域有兴趣爱好的各类人员。
推荐理由:本书内容精练、重点突出、实例丰富、讲解通俗,是广大网络应用设计和开发人员不可多得的一本参考书,同时非常适合大中专院校师生学习和阅读,也可作为高等院校计算机及相关培训机构的教材。


活动规则:我们将从精选留言中随机抽取 8名 伙伴赠书,中奖者可在上方书单中任选一本图书,我们包邮赠送。书籍有限,中奖后先选先得。
  • 《Python数据分析与可视化从入门到精通》 *2
    《Tensorflow+PyTorch深度学习从算法到实战》 *2
    《Python数据分析全流程实操指南》 *2
    《Python Web开发从入门到精通》 *2

留言要求:
  • 内容与本文核心信息相关 & 想要的书籍名称

  • 每人仅限精选一条留言(用心留言更容易上墙)

  • 为了大家都有机会中奖,每个小伙伴每个星期只能中一次奖哦~


截止时间: 2021 年 6 月 7 日 16:00 整兑奖时效:2天,收到留言请尽快联系圈儿。

每天 17:30 不见不散!


1、华为正式发布鸿蒙2.0,更新人数太多挤爆服务器,P50也官宣了!

2、9.3k Star!一个开源的现代化 Windows 文件管理器!

3、算法面试题:均分纸牌

4、我这样升级 Go 版本,你呢?

识别关注我们

了解更多精彩内容

点分享

点点赞

点在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存