扫一扫
关注微信公众号

保护你的企业遭受“Google hacking”攻击
2006-04-03   

“Google hacking”是使用特殊制作的搜索引擎查询来收集攻击目标的信息的做法。这应该是每一个入侵测试者的全部技能。这个想法是利用Google强大的搜索能力搜集企业有漏洞的服务器和文件、口令记录、公开的目录、基于网络的设备管理台、以及用于路由器和交换机的远程桌面协议客户或者管理接口。你要在黑客找到那些在互联网上暴露的敏感信息之前发现那些信息。这个方法就是使用高级运算符,特别是Google提供的进行高级查询的搜索技术。下面是一些运算符的例子,你可以针对你的公司域名的搜索词汇与这些运算符结合起来使用:
  ·intitle, allintitle:用于搜索网页或者Google组标题中的词汇。
  ·inurl, allinurl:搜索URL中的词汇。
  ·filetype:搜索以特定文件扩展名结尾的URL。
  ·allintext:搜索一个网页网站的文本中的字符串。
  ·site:仅搜索具体服务器或者域名托管的网页。
  ·link:搜索连接到其它网页的网页。
  ·inanchor:搜索一个HTML标记中的一个链接的文本表现形式。
  ·daterange:搜索某个日期范围内Google做索引的网页。
  ·cache:搜索缓存版本的网页。
  ·info:搜索一个网站的摘要信息。
  ·phonebook:搜索商业或者住宅电话号码簿。
  ·rphonebook:仅搜索住宅电话号码簿。
  ·bphonebook:仅搜索商业电话号码簿。
  ·author:搜索新闻组帖子的作者。
  ·group:搜索Google组搜索词汇帖子的题目。
  ·msgid:搜索识别新闻组帖子的Google组信息标识符和字符串。
  ·insubject:搜索Google组的标题行。
  ·stocks:搜索有关一家公司的股票市场信息。
  ·define:返回一个搜索词汇的定义。
  来源:Johnny Long撰写的《Google Hacking for Penetration Testers》。
  此外,还有一些工具能够针对你的公司域名运行自动的Google扫描,以确定是否可以通过搜索查询暴露敏感的信息。这些工具包括:
  ·SiteDigger:自动的和基于Windows的使用Google应用程序接口的工具,需要Google许可证密钥。下载网站是:
www.foundstone.com/resources/proddesc/sitedigger.htm
  ·Witko:需要Google许可证密钥;兼容Google Hacking数据库。下载网址是:http://www.sensepost.com/research/wikto/
  ·Athena:基于Windows的工具,一次只能执行一次搜索任务。下载网址是:http://snakeoillabs.com*
  ·Gooscan:基于Linux的工具;执行大量搜索任务。下载网址是:
http://johnny.ihackstuff.com/*
  备注:有*符号的产品使用了Google的应用程序接口,违反了Google的服务条款。Google可以选择在其搜索引擎中封锁你的IP地址范围。

热词搜索:

上一篇:常见捆绑器介绍与防范
下一篇:确保备份服务器不受黑客攻击的六个步骤

分享到: 收藏