［每天get点新技能］搜商——Google Hacking窥探互联网

2013-11-07 黄炎雷 IT百问

今天的主题是和Google Hacking有关，用到的大部分“技巧”在之前一篇的《More Query Modifiers》里面提到过，回复3进行回顾。

Google Hacking就是利用修饰符进行hack活动，相关的技术不仅仅限于谷歌搜索引擎，其它的搜索引擎也支持这些技巧，只是使用方法略有不同。好奇的人类，大多数时候进行hack活动的目的是找出一些机密的资料以及找出网站后台。

下面列出了Google Hacking可以得到的信息：

    1、个人私密信息以及公司财务信息

    2、个别网站用户的用户名、密码，电脑管理员的密码

    3、公司机密文件

    4、政府敏感资料

    5、网站的漏洞

看到这里，你可能会在心里犯嘀咕：“我用google这么多年了，还是第一次发现它能干这么多’坏事’！”。是的，利用google hacking，你可以轻松的获取到很多隐秘信息，但百问君在这里是不鼓励大家去“干坏事”的，还是建议大家将这些技巧应用在个人网站的安全检测。

下面我就给各位看官介绍下几颗栗子。

栗子1

－－－－

    组合技巧：filetype＋site＋keyword

很多机构会将财务、专利、简历等信息存在表格中（如Excel）,更可笑的是，它们经常将这些表格标注成“机密”（外国站点就是“Confidential”）。假设现在你想寻找南非钻石国度的隐秘信息，你可以按照下面的格式进行搜索：

［filetype:xls site:za confidential］

我们也可以加入更多的关键词，你可以尝试下下面的这个搜索指令：

［filetype:xls site:in budget］

栗子2

－－－－

    登录关键词：login+userid+password

这些关键词基本是全球通用，很凑巧的是这些关键词往往会存在一些表格文档中：

［filetype:xls site:cn login］

PS:在“搜”high的同时不要忘了处理这些office系列的注意点，它们很有可能包含宏病毒，所以以网页形式进行查看是个好选择。

栗子3

－－－－

    记性差的管理员

前段时间流行的一句话——不怕神一样的对手，就怕猪一样的队友。公司如果雇佣了不负责的管理员，可能就要遭受损失了，很多不应该暴露在互联网上的内容可能就会被看到：

［intitle:”index of” site:kr password］

栗子4

－－－－

秘密数搜索（确实不知道该怎么去解释“numrange search”）

秘密数搜索是最不为人知的官方Google Hacing技巧，不过它曾经让很多“坏人”大捞了一笔，现在的秘密数搜索的条件已经被严格的限制了，先举没被限制前的栗子（感受下）：

［numrange:4567000000000000..4567999999999999 visa］

或

［numrange:222000000..250999999 ssn］

现在你去执行这样的hack，你肯定会得到一个错误页。之前它被人用来找到信用卡卡号等私密信息。

私密数搜索现在的栗子：

［site:www.csdn.net 600..780］

以上是一些常用的Google Hacking技巧，为了避免大家误解，我没有将一些已经被证实的漏洞故意泄漏给大家。请务必将技术用在正途上，如果碰巧找到个别站点的漏洞，也要及时email给网站管理员，告知漏洞所在。助人为乐，攒人品。

明天《搜商》将介绍搜索的发展简史：metasearch、megasearch，学有余力的同学可以提前去了解下。

记得多花时间练习百问君最近交给大家的小技巧哟～～

＝＝＝只做最真实的自己＝＝＝

新开通了微信公共号IT百问

关注方式：

1、打开微信搜索微信号ID：itbaiwen

2、或者扫描下方的二维码

回复m查看文章列表

举报