に元のURL (ウェブ版の記事を表示)
------------
http://www.defendingthenet.com/newsletters/ hackingwithgoogle.htm
にタイトル-----
ハッキングして
にGoogle検索エンジンのGoogle :はい、ちょうどについては何も見つけることができます
----------------------------
ハッカーやセキュリティの専門家やオープンソースのツールを使ってさまざまなカスタムのタスクを完了する。実際に、彼らの1つのツールを使用する場合、おそらく、ウェブを閲覧するたびに使用する場合は、 Googleの検索エンジンです。
に覚えのは初めて私は、 Googleの検索エンジン年前に使用されています。私は驚いて私の検索リクエストにどのように迅速に果たされている。 Googleの巨大なインデックスのシステム/情報や複雑な検索を行うことができる能力を長年にわたって進化しています。セキュリティ評価の際に行われると貫入試験我々は、我々の位置情報を定期的にGoogleを使用することを変えたくないと、通常の民間団体や機密情報です。
にその理由は、この記事を書くために私を与える場合の例としていくつかの基本的かつGoogleの検索用語と複雑なクエリを実行します。免責事項として、それは私の意図して使用し、この情報を他人のプライバシーを侵害するとのファイルやデータにアクセスしていないシステム上に属することができます。それは教育の情報を厳格に行うとする方法を知ってより多くの人々にどのような情報がありますが、世界の他露出している。
にGoogleを使ってパスワードファイルを見つけること
--------------------------
の1つウェブ上で最も共通のオーサリングツールは、マイクロソフト社のリモートフロントページです。てWebDAVの拡張や、フロントページには、ウェブ上でのサービスのサーバーにリモートで接続できるようにとの著者のウェブページには、設定することもできますし、ある程度の安全保障です。ただし、特定の設定は、ユーザーIDとパスワードでは、サーバ上のローカルファイルに保存されています。 Googleのクエリを使用して、簡単に検索することができますし、これらのファイルを何千人ものダンプの内容です。
には、クエリフォームはかなりシンプル:に" inurl : (ファイル名) 。 pwdを"と、どこの名前(ファイル名)は、 。 pwdをファイルです。このクエリは非常に具体的に拡張されると、特定のサイトをターゲットとするコマンドを使用して、特定のサイトやドメインを検索します。特定の検索結果のリストのようなこれは何百何千人もの場合は、これらのファイルが含まれるように" #にはFrontPage - dmiller : i1keah1tzqxew " 。基本的にダンピングのユーザーIDとパスワードを入力します。
に、このタイプの基本的なクエリを探すことに使われるなど、あらゆる種類の興味深い情報を使用してに" intitle : "インデックス" (名前のディレクトリを捜して) "これだけ多くのウェブディレクトリ構造を明らかに"インデックス/ "とは、どのようにすることも明らかに多くのウェブサーバーでも、インターネット上ではありませんが、最も基本的な安全保障の形態のディレクトリのパーミッションとします。発見した場合は、特定のディレクトリにアクセスしたら、次に移動することができますし、ディレクトリツリーを見つけるのか全然分からない場合があります。
に、より複雑な検索クエリ
----- ---------------------------------------------
、非常に複雑なクエリをGoogle検索エンジンの種類をサポートしています。例えば、もし、あなたがクエリを建設するように" "親ディレクトリ" gamez - xxxに- HTMLのファイルが正常- phpに- shtml - opendivx - MD5にmd5sumsを"と、このクエリは、結果としてシステムのリストを表示することがある/ gamezオフのルートディレクトリには、 "親ディレクトリ"とは、ウェブサーバーです。または、 mp3ファイルの種類の音楽を見つけることがあなたのクエリを発行するように" intitle : index.of mp3 (バンド名/ソング) "です。
に、ここで肝心なのは、それを見つけることが可能非常に特定のタイプのファイルです。クエリを実行することも可能な様々な検索エンジンからのパスワードをインラインでクエリを実行する場合と同様には" http:// * : * @ www " 。ほかに何ができる
に発見されると、 Googleの検索クエリ
----------------------------
1つのことを私たちはセキュリティアセスメントを実行するときには、我々はすぐに実行し、様々なウェブサーバーの見直しを決定するどのような種類のスクリプトが使われています。例えば、多くの人々に動的なコンテンツを作成するPHPコードを使用しています。多くの人々や管理ツールをインストールするPHPのサンプルコードを自分のサイトを管理する手助けをしています。残念なことに、ほとんどの時間を確保し、これらのファイルが含まれていないのログインIDとパスワードを使用します。次に、 Googleの検索クエリを使用してサーバー上の特定のファイルの位置はこれらの問題です。私成功していると言っているようにこれらのファイルを見つけるのに役立つシステムにアクセスできるように私たちの時間は約60 %です。
に学んだ我々は最近の金融機関のクレジットカード情報を服用していたより1つ自分のパートナーを使用して、ウェブベースのサービスがメインのウェブサーバーにアップロードしています。この問題は、このファイルは、マイクロソフト社のインデックスサービスでインデックス化され、その情報が検索エンジンスパイダーでは、ファイル自体にしなかったが、効果的な安全保障のパーミッションをすることです。その結果、 Googleのインデックスに登録されると、ファイルは、 Googleのクエリーを実行させることができた発見してから、ブラウザを開くことで、何百人もの啓発クレジットカード番号、名前、およびその他の個人情報です。この問題が発生したすべての時間です。
に結論----------
、 Googleの検索エンジンは、強力なツールで使用されることのできる病気を持つ人々の意図それと同じように基本的なウェブ検索に使用することができます。セットアップする場合は、ウェブサーバーの自宅や事務所は、必要なことを理解することもありますので、ウェブ上で公開していない情報を1つを参照しておく必要があります。このファイルが含まれて金融、クレジットカード情報、およびその他の民間/個人情報です。がたくさんあるこちらをセットアップする" secure "の次は、マイクロソフトのサイトよりもセットアップウィザードだけです。