Google hacking

De la Wikipedia, enciclopedia liberă
Sari la navigare Sari la căutare
Nu confundați cu cartea Google Hacks.

Google hacking” (numit și „Google dorking”)[1][2] este o tehnică de hacking în informatică, care utilizează motorul Google Search și alte aplicații Google pentru a găsi breșe de securitate în configurația și codul sursă al unui site web.

Conceptul „Google Hacking” datează încă din anul 2002, când Johnny Long a început să colecteze interogări interesante de căutare pe Google care care descopereau sisteme vulnerabile și/sau breșe de securitate (cum ar fi neprotejarea informațiilor sensibile) - și le-a numit googleDorks.[3]

Lista acelor googleDorks a crescut treptat într-un dicționar mare de interogări, care au fost apoi organizate în baza de date originală Google Hacking Database (GHDB) în 2004.[4] Aceste tehnici de Google hacking au făcut subiectul unei cărți publicate de Johnny Long în 2005, intitulată Google Hacking for Penetration Testers, Volume 1.[5]

Odată cu apariția sa, conceptele explorate în Google Hacking au fost extinse și pe alte motoare de căutare, cum ar fi Bing[6] și Shodan.[7] Au fost dezvoltate unelte de atac de atomatizat[8] care folosesc dicționare de expresii de căutare spcificife pentru a găsi sisteme vulnerabile și breșe de securitate în resurse publice care au fost indexate de motoarele de căutare.

O cronologie vizuală completă referitoare la evenimentele majore din Google Hacking începând cu anul 2002 până în present a fost realizată de firma de consultanță în securitate IT Bishop Fox.[9]

Principii de bază[modificare | modificare sursă]

Google hacking implică utilizarea unor operatori avansați în motorul de căutare Google pentru a depista string-uri specifice ale unui text în rezultatele de căutare. Unele din cele mai populare exemple sunt găsirea versiunilor specifice ale unor aplicații web vulnerabile.

De exemplu, următoarea expresie va găsi toate paginile web care conțin un text anumit: "publicat la 16 ianuarie"

Următoarea interogare va găsi toate paginile web care conțin cuvintele „admbook” și „version” în titlul site-ului, dar totodată, doar paginile web cu extensia „.php” (scrise în PHP).

intitle:admbook intitle:version filetype:php

Pot fi găsite și dispozitive connectate la Internet. De exemplu, următorul string va găsi toate camerele web publice: inurl:"ViewerFrame?Mode="

Combinația intitle:index.of urmată de cuvintele cheie dorite poate returna pagini de pe unele servere web ce conțin directorii de fișiere accesibile publicului. De exemplu, intitle:index.of mp3 va oferi în rezultate legături către directorii de pe servere web ce conțin fișiere MP3 accesibile publicului.

Operatori avansați[modificare | modificare sursă]

Descriere operatori avansați:[10]

Operator Scop Îmbinare cu alți operatori? Folosit separat? Web Imagini Grupuri
Google Groups
Știri
intitle Căutare în titlul paginilor da da da da da da
allintitle[11] Căutare în titlul paginilor nu da da da da da
inurl Căutare în URL da da da da nu chiar la fel ca intitle
allinurl Căutare în URL nu da da da da la fel ca intitle
filetype Căutare de tipuri specifice de fișiere da nu da da nu nu chiar
allintext Căutare doar de text în corpul paginii nu chiar da da da da da
site Căutare într-un site specific da da da da nu nu chiar
link Căutare linkuri către pagini nu da da nu nu nu chiar
inanchor Căutare de legături-ancoră da da da da nu chiar da
numrange Căutare de numere și intervale de numere da da da nu nu nu chiar
daterange Căutare în intervale de date da nu da nu chiar nu chiar nu chiar
author Caută rezultate pe Google Groups după autor da da nu nu da nu chiar
group Caută pe Google Groups într-un grup specific nu chiar da nu nu da nu chiar
insubject Caută pe Google Groups în subiecte da da la fel ca intitle la fel ca intitle da la fel ca intitle

Referințe[modificare | modificare sursă]

  1. ^ Term Of The Day: Google Dorking - Business Insider
  2. ^ Google dork query, techtarget.com
  3. ^ „googleDorks created by Johnny Long”. Johnny Long. Accesat în . 
  4. ^ „Google Hacking Database (GHDB) in 2004”. Johnny Long. Accesat în . 
  5. ^ „Google Hacking for Penetration Testers, Volume 1”. Johnny Long. Accesat în . 
  6. ^ „Bing Hacking Database (BHDB) v2”. Bishop Fox. Accesat în . 
  7. ^ „Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite”. Bishop Fox. Accesat în . 
  8. ^ „SearchDiggity - Search Engine Attack Tool Suite”. Bishop Fox. Accesat în . 
  9. ^ „Google Hacking History”. Bishop Fox. Accesat în . 
  10. ^ Search Operators, googleguide.com
  11. ^ Karch, Marziah. „Allintitle Definition”. About.com. About.com. Accesat în . 

Legături externe[modificare | modificare sursă]