Назад в дневник


Пишет
Ageнт членS

Взлом с помощью Google
В начале своего появления, служба WWW содержала относительно небольшое количество сайтов, поэтому пользователи имели возможностьвручную найти необходимую им информацию, если нужный документ был выложен в сети интернет. В дальнейшем, Всемирная паутина разрослась настолько, что самому найти необходимую информацию стало невероятно сложно. На данный момент, в интернете содержатся миллиарды документов. Для упрощения поиска информации были созданы поисковые системы. Наиболее популярным поисковиком считается Google. Именно этот поисковик обладает высоким быстродействием и выдает наиболее релевантные результаты. Google обладает собственнымязыком запросов, который позволяет уточнить поиск и показать наиболее полезные ссылки. Сейчас мы рассмотрим опции для поиска и попытаемся ответить, чем Google может быть опасен для сайтов. Опция “inurl” позволяет искать заданные слова в url. Пример: inurl:passwords. Данный запрос ищет все адреса, в которых содержится слово “password”. Следующая опция “filetype” ищет файлы заданного типа. Пример запроса: filetype:txt. Таким образом, мы найдем все текстовые файлы из проиндексированной части сети. Если мы хотим ограничить поиск определенным доменом или сайтом, используем опцию “site”. Например, запрос site:ua выведет все сайты расположенные в этой доменной зоне. Следующая опция “intitle” помогает искать страницы с определенным заголовком. Пример: intitle:админка. Этот запрос покажет нам все страницы, в заголовках которых присутствует слово “админка”. На некоторых сайтах, если в какой-либо директории нет главной страницы, можно увидеть листинг файлов и папок данной директории. Для поиска данных директорий служитопция “index of”. Пример запроса: “index of” users. Данный запрос выведет нам ссылки, на которых будет можно увидеть листинг файлов и папок директории users. Иногда бывает необходимо найти все сайты, на которых есть ссылка на определенный ресурс. Для этого необходимо воспользоваться опцией “link”. Пример запроса: link:www.google.ru . Данный запрос отобразит все страницы которые ссылаются на www.google.ru . Комбинируя опции, можно получить интересные результаты. Например, для поиска сайтов, содержащих php-include можно воспользоваться следующими запросами: filetype:php inurl:file= ; filetype:php inurl:txt ; filetype:php inurl:txt. Для поиска сайтов содержащих sql-injection: filetype:php inurl:id= . Иногда, некоторые документы должны быть недоступными для пользователей, но если злоумышленник примерно знает содержание документа, он может составить запрос вида: site:site.ru filetype:docключевые слова, где site.ru адрес исследуемого сайта. Некоторые администраторы не ставят пароли на админ-панель, считая, что ееадрес никому неизвестен. Для поиска админок без пароля хакер может составить следующий запрос: intitle:админка filetype:php. Конечно большинство найденных сценариев потребуют пароль, но незащищенные позволят овладеть сайтом. Защититься от этого позволит файл robots.txt, размещенный в корне сайта. В нем должно быть указано, какие директории запрещены для индексирования. Но вместе стем, это указание для злоумышленника, какие директории содержат наиболее полезную информацию, потому что этот файл может прочесть любой пользователь.
Таги: Взлом

Яндекс.Метрика
Вы не авторизованы!
Авторизация
Обновить
Глав

Добавить в избранное (только для авторизированных)