陈军审稿人|孙淑娟Google是互联网的百科全书,几乎可以解答你所有的疑问和好奇。如果您仍然认为它只是一个用于查找图像、文章和视频的Web索引,那么您就真的错过了这个庞大的搜索引擎在抓取和利用领域的潜在力量。谷歌在这方面的能力虽然通常不为普通用户所知,但可以被恶意行为者有效利用以劫持目标网站并窃取目标公司的敏感数据。Google是Internet的百科全书,能够为您几乎所有的问题和好奇提供答案。如果您仍然认为它只是一个用于查找图像、文章和视频的Web索引,那么您就真的错过了这个庞大的搜索引擎在抓取和利用领域的潜在力量。谷歌在这方面的能力虽然通常不为普通用户所知,但可以被恶意行为者有效利用以劫持目标网站并窃取目标公司的敏感数据。下面,我们将讨论网络安全专业人员和黑客如何使用GoogleDorking作为有效的侦察工具来访问敏感数据、劫持网站等。下面,我们将讨论网络安全专业人员和黑客如何使用GoogleDorking作为有效的侦察工具来访问敏感数据、劫持网站等。下面,我们将讨论网络安全专业人员和黑客如何使用GoogleDorking作为有效的侦察工具来访问敏感数据、劫持网站等。下面,我们将讨论网络安全专业人员和黑客如何使用GoogleDorking作为有效的侦察工具来访问敏感数据、劫持网站等。1.什么是GoogleDorking?GoogleDorking(或GoogleHacking)是一种将高级搜索和查询要求输入到Google搜索引擎中的技术。它会查找敏感的网站数据,如用户名、密码和因网站配置错误而被谷歌索引的日志文件。由于这些数据在技术上是公开可见的,因此在某些情况下也可以下载。2.黑客如何利用GoogleDorking入侵网站GoogleDorking使用特殊的参数和称为“dorks”的搜索运算符来缩小搜索结果的范围,并寻找暴露在网站中的敏感数据和安全漏洞。这些参数和运算符指示爬虫在任何给定的URL中查找特定的文件类型。他们可以查询的搜索结果包括但不限于以下内容:打开FTP服务器。公司内部文件。可访问的IP网络摄像头。内部管理文件。服务器日志文件,其中包含可用于渗透或破坏目标组织的密码和其他敏感数据。3.最常用的GoogleDorking运算符尽管我们可以将大量不同的运算符和参数应用于搜索查询,但安全专业人员通常只需要其中的一小部分来满足特定的技术需要。以下是一些常用的查询参数:inurl:指示爬虫搜索包含指定关键字的URL。inurl:指示爬虫搜索包含指定关键字的网址。allintext:此参数在网页中搜索用户指定的文本。filetype:这个参数告诉爬虫寻找并显示特定的文件类型。intitle:抓取标题中包含指定关键字的网站。site:列出指定站点的所有索引URL。缓存:当与站点的参数配对时,此参数可以显示站点的缓存或旧版本。管道运算符(|):此逻辑运算符将列出包含两个指定搜索词之一的所有结果。通配符(*):此通配符可用于搜索包含与您的搜索词相关的任何内容的页面。减号运算符(-):这将从您的搜索中删除不需要的结果。4.GoogleDorking是否违法?虽然看起来很复杂,但GoogleDorking不会让你觉得无从下手。毕竟,你通常只是用它来优化搜索结果,而不是真正用它来深入渗透到一个组织中。事实上,我们鼓励高级用户使用GoogleDorking。当然,值得注意的是,谷歌会跟踪你的搜索,如果你继续访问敏感数据或进行恶意搜索,谷歌会将你标记为威胁参与者。因此,如果您正在进行渗透测试或寻求漏洞奖励,请确保您已获得相应组织的完全授权和支持。否则,您可能会被抓住甚至被起诉。5.如何保护您的网站免受GoogleHackingrobots.txt示例由以上介绍,作为网站管理员,您必须设置特定的防御措施来对付GoogleDorking。其中,最直接的方法是添加一个robots.txt文件,禁止访问所有敏感目录。这将防止搜索引擎爬虫将您列出的敏感文件、目录和URL编入索引。将robots.txt文件添加到根目录既是一种常见的良好做法,又对目标网站的整体安全状况至关重要。您可以使用链接:https://www.PCPC.me/tag/website-security-business-success/了解更多关于添加robots.txt和网站安全的重要性。除了上述方法外,我们还可以通过对用户名、密码、支付信息等敏感数据进行加密来降低GoogleDorking带来的威胁,并使用GoogleSearchConsole将敏感页面从搜索结果中移除。6.通过GoogleDorking成为Google高级用户如前所述,虽然我们大多数人每天都使用Google等搜索引擎,但我们几乎从未利用过它的真正潜力。通过以上介绍,您可以尝试使用合适的参数和关键字,谨慎使用GoogleDorking来提高您的Google-fu(指使用Google进行快速、简单和精确的搜索,这里的“fu”取自“Kong”-fu”)并在Internet上抓取所需信息。原文链接:https://www.makeuseof.com/google-dorking-how-hackers-use-it/译者介绍陈朱利安(JulianChen),51CTO社区编辑,拥有十余年IT项目实施经验,善于管控内外部资源和风险,注重传播网络与信息安全知识和经验;持续以博文、专题、翻译等形式分享前沿技术和新知识;经常开展信息安全线上线下培训和教学。
