谷歌駭侵法
谷歌駭侵法(Google hacking),也叫Google dorking,是一種利用谷歌搜尋和其他谷歌應用程式來發現網站配置和計算機代碼中的安全漏洞的計算機黑客技術。[1][2]
簡介
「谷歌駭侵法」是指利用谷歌搜尋引擎中的高級操作符,在搜索結果中定位特定的文本字符串。 一些比較流行的例子是找到易受攻擊的 Web 應用程式的特定版本。 帶有 intitle: admbook intitle: Fversion filetype: php 的搜索查詢將定位所有包含該特定文本的網頁。 應用程式的默認安裝通常會在它們所服務的每個頁面中包含它們的運行版本,例如,"Powered by XOOPS 2.2.3 Final"。
設備連接到網際網路上可以找到。 搜索字符串如 inurl:"ViewerFrame?Mode="
將找到公開網絡攝像頭。
另一個有用的搜索是 intitle: index.of 後面跟著一個搜索關鍵字。 這可以給出伺服器上的文件列表。 例如,intitle: index.of MP3將提供各種伺服器上可用的所有 MP3文件。
有許多類似的高級運算符可用於利用不安全的網站:
谷歌駭侵法的歷史
「谷歌駭侵法」的概念可以追溯到2002年,當時Johnny Long開始收集谷歌的搜索查詢,這些查詢揭示了脆弱的系統和/或敏感信息的披露,並給它們貼上了googleDorks的標籤。[3]
Google Dorks列表發展成一個龐大的查詢字典,最終在2004年被組織到原始的Google Hacking資料庫(GHDB)中。 [4] [5]
自其全盛時期以來,谷歌駭侵法探索的概念已擴展到其他搜尋引擎,如Bing和Shodan。[6][7]自動攻擊工具使用自定義搜索詞典來查找被搜尋引擎索引的公共系統中的脆弱系統和敏感信息披露。[8][9]
參考資料
- ^ Term Of The Day: Google Dorking - Business Insider. [2020-01-21]. (原始內容存檔於2020-06-19).
- ^ Google dork query (頁面存檔備份,存於網際網路檔案館), techtarget.com
- ^ googleDorks created by Johnny Long. Johnny Long. [8 December 2002]. (原始內容存檔於2002-12-08).
- ^ Google Hacking Database (GHDB) in 2004. Johnny Long. [5 October 2004]. (原始內容存檔於2007-07-07).
- ^ Google Hacking for Penetration Testers, Volume 1. Johnny Long. [20 February 2005]. (原始內容存檔於2019-07-16).
- ^ Bing Hacking Database (BHDB) v2. Bishop Fox. [27 August 2014]. (原始內容存檔於2019-06-08).
- ^ Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite. Bishop Fox. [21 June 2013]. (原始內容存檔於2019-06-08).
- ^ SearchDiggity - Search Engine Attack Tool Suite. Bishop Fox. [27 August 2014]. (原始內容存檔於2019-06-08).
- ^ Google Hacking History. Bishop Fox. [27 August 2014]. (原始內容存檔於2019-06-03).