快捷搜索:   nginx

保护你的企业遭受“Google hacking”攻击

“Google hacking”是使用特殊制作的搜索引擎查询来收集攻击目标的信息的做法。这应该是每一个入侵测试者的全部技能。这个想法是利用Google强大的搜索能力搜集企业有漏洞的服务器和文件、口令记录、公开的目录、基于网络的设备管理台、以及用于路由器和交换机的远程桌面协议客户或者管理接口。你要在黑客找到那些在互联网上暴露的敏感信息之前发现那些信息。这个方法就是使用高级运算符,特别是Google提供的进行高级查询的搜索技术。下面是一些运算符的例子,你可以针对你的公司域名的搜索词汇与这些运算符结合起来使用:

  ·intitle, allintitle:用于搜索网页或者Google组标题中的词汇。

  ·inurl, allinurl:搜索URL中的词汇。

  ·filetype:搜索以特定文件扩展名结尾的URL。

  ·allintext:搜索一个网页网站的文本中的字符串。

  ·site:仅搜索具体服务器或者域名托管的网页。

  ·link:搜索连接到其它网页的网页。

  ·inanchor:搜索一个HTML标记中的一个链接的文本表现形式。

  ·daterange:搜索某个日期范围内Google做索引的网页。

  ·cache:搜索缓存版本的网页。

  ·inf搜索一个网站的摘要信息。

  ·phonebook:搜索商业或者住宅电话号码簿。

  ·rphonebook:仅搜索住宅电话号码簿。

  ·bphonebook:仅搜索商业电话号码簿。

  ·author:搜索新闻组帖子的作者。

  ·group:搜索Google组搜索词汇帖子的题目。

  ·msgid:搜索识别新闻组帖子的Google组信息标识符和字符串。

  ·insubject:搜索Google组的标题行。

  ·stocks:搜索有关一家公司的股票市场信息。

  ·define:返回一个搜索词汇的定义。

  来源:Johnny Long撰写的《Google Hacking for Penetration Testers》。

  此外,还有一些工具能够针对你的公司域名运行自动的Google扫描,以确定是否可以通过搜索查询暴露敏感的信息。这些工具包括:

  ·SiteDigger:自动的和基于Windows的使用Google应用程序接口的工具,需要Google许可证密钥。下载网站是:www.foundstone.com/resources/proddesc/sitedigger.htm

  ·Witk需要Google许可证密钥;兼容Google Hacking数据库。下载网址是:http://www.sensepost.com/research/wikto/

  ·Athena:基于Windows的工具,一次只能执行一次搜索任务。下载网址是:http://snakeoillabs.com*

  ·Gooscan:基于Linux的工具;执行大量搜索任务。下载网址是:http://johnny.ihackstuff.com/*

  备注:有*符号的产品使用了Google的应用程序接口,违反了Google的服务条款。Google可以选择在其搜索引擎中封锁你的IP地址范围。

顶(0)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论