Google Hacking

# Google Hacking ### 搜尋引擎利用網路蜘蛛遊走網頁，並下載頁面庫存在資料庫中，以增加查詢、檢閱速度。 Google hacking是一種利用google搜尋引擎尋找安全漏洞的駭客技術，透過進階的搜尋指令查找符合特定字串的結果，為有名的「人肉搜尋」其中一種較簡單的方法。 > 利用google搜尋功能，從網路中找尋機敏資料 > 機敏資訊：如名冊、身分證字號、曾經被找到的漏洞網頁或原始碼 ## Google Hacking常用關鍵字 site: (搜尋特定網址) inurl: (搜尋特定連結) intext: (搜尋網頁內文字) intitle: (搜尋網頁標題) filetype: (搜尋特定檔案格式) link: (搜尋互相連結的網頁) "index of" (搜尋開放目錄瀏覽) cache: (顯示網頁在google中的暫存資料) ## Google Hacking常用關鍵字組合範例 "access denied for user" "using password" "Index of /backup" allinurl: admin mdb inurl:passlist.txt "ASP.NET_SessionId" "data source=" "AutoCreate=TRUE password=*" "Index of /" +password.txt "Index of /password" "mysql dump" filetype:sql "pcANYWHERE EXPRESS Java Client" "VNC Desktop" inurl:5800 "phpMyAdmin MySQL-Dump" "INSERT INTO" -"the“ "phpMyAdmin MySQL-Dump" filetype:txt "phpMyAdmin" "running on" inurl:"main.php“ "robots.txt" "Disallow:" filetype:txt intitle:"Remote Desktop Web Connection" inurl:tsweb intitle:"Welcome to Windows 2000 Internet Services" inurl:"printer/main.html" intext:"settings“ intitle:index.of administrators.pwd ## 常見的搜尋語法 intitle:"index of" etc intitle:"Index of" .sh_history intitle:"Index of" .bash_history intitle:"index of" passwd intitle:"index of" people.lst intitle:"index of" pwd.db intitle:"index of" etc/shadow intitle:"index of" spwd intitle:"index of" master.passwd intitle:"index of" htpasswd ## 如何防止Google Hacking 將資料檔案（或目錄）移除網路伺服器可以存取的範圍或刪除。或是在網路伺服器上，將該檔案（或目錄）的讀取權限設為保護或需密碼才能讀取。在網路伺服器上，增加一個 robots.txt。然後在這個檔案中加入這2句話進行設定，一般來說都可以阻止有道德的搜尋引擎程式讀取並儲存您的網頁。 User-agent:Googlebot Disallow:/*.mdb$ 可以在網頁的HEAD區段中，加入一些特殊的HTML META TAG標籤，來指出某一個網頁是否可以被索引、分析或鏈接。例如你可以加入。 <META NAME="ROBOTS" CONTENT="NOINDEX"> 表示：不希望搜尋引擎處理、儲存這個網頁。 <META NAME="ROBOTS" CONTENT="NOARCHIVE"> 表示：希望搜尋引擎處理這個網頁，但是不儲存網頁，也就是說，不會有庫存頁。 <META NAME="ROBOTS" CONTENT="NOFOLLOW"> 表示：希望搜尋引擎處理這個網頁，但是不繼續處理這個網頁中另外連結的網頁。 <META NAME="ROBOTS" CONTENT="NOINDEX,NOFOLLOW"> 表示：不希望搜尋引擎處理、儲存這個網頁，以及這個網頁中另外連結的所有資訊。 >## NISRA 資訊安全研究會某作者說: 網路蜘蛛就是所謂的程式他被設計出來要把所有網路上的資訊抓回家但是你的資料為什麼要給人家抓回家所以有一個君子協議出現那個東西叫做robots.txt 當網路蜘蛛看到robots.txt裡面設定說我只能讀那些資料只能什麼時候來造訪網路蜘蛛就應該遵守這份條約但是我已經說過是君子條約了所以有些程式設計出來根本就不遵守這些條約 ---- ### `參考資料` [Google Hacking - Jack Yu | 傑克](https://yu-jack.github.io/2017/10/17/google-hacking/) [NISRA 資訊安全研究會](https://sites.google.com/a/nisra.net/nisra/) [0. Google Hacking | 宅學習](https://sls.weco.net/node/12922)