保护你的企业遭受“Google hacking”攻击
·intitle, allintitle:用于搜索网页或者Google组标题中的词汇。
·inurl, allinurl:搜索URL中的词汇。
·filetype:搜索以特定文件扩展名结尾的URL。
·allintext:搜索一个网页网站的文本中的字符串。
·site:仅搜索具体服务器或者域名托管的网页。
·link:搜索连接到其它网页的网页。
·inanchor:搜索一个HTML标记中的一个链接的文本表现形式。
·daterange:搜索某个日期范围内Google做索引的网页。
·cache:搜索缓存版本的网页。
·inf搜索一个网站的摘要信息。
·phonebook:搜索商业或者住宅电话号码簿。
·rphonebook:仅搜索住宅电话号码簿。
·bphonebook:仅搜索商业电话号码簿。
·author:搜索新闻组帖子的作者。
·group:搜索Google组搜索词汇帖子的题目。
·msgid:搜索识别新闻组帖子的Google组信息标识符和字符串。
·insubject:搜索Google组的标题行。
·stocks:搜索有关一家公司的股票市场信息。
·define:返回一个搜索词汇的定义。
来源:Johnny Long撰写的《Google Hacking for Penetration Testers》。
此外,还有一些工具能够针对你的公司域名运行自动的Google扫描,以确定是否可以通过搜索查询暴露敏感的信息。这些工具包括:
·SiteDigger:自动的和基于Windows的使用Google应用程序接口的工具,需要Google许可证密钥。下载网站是:www.foundstone.com/resources/proddesc/sitedigger.htm
·Witk需要Google许可证密钥;兼容Google Hacking数据库。下载网址是:http://www.sensepost.com/research/wikto/
·Athena:基于Windows的工具,一次只能执行一次搜索任务。下载网址是:http://snakeoillabs.com*
·Gooscan:基于Linux的工具;执行大量搜索任务。下载网址是:http://johnny.ihackstuff.com/*
备注:有*符号的产品使用了Google的应用程序接口,违反了Google的服务条款。Google可以选择在其搜索引擎中封锁你的IP地址范围。
- 最新评论