利用搜索引擎收集信息-01

GoogleHacking:利用搜索引擎(例如Goog、baidu)有针对的搜索信息进行网络入侵的技术和行为。搜索引擎对于搜索的关键字提供了多中语法,构造出特殊的关键字,GoogleHacking技术能够快速全面的让攻击者挖掘到有价值的信息,利用搜索引擎的收集目标主要有以下几种:

1、敏感信息

2、具备已有的攻击结果

3、搜索已有的攻击结果

4、指定格式文件

5、其他与某个站点相关的信息

特别提示:利用搜索引擎的网页快照,有时可以发现很多有价值的信息。

 

例子:使用 googlehacking 搜索PDF文件 语法:googlehacking filetype:pdf

常用的googlehacking语法:

1、intext:(经针对Google有效)

把网页中的正文内容的某个字符作为搜索的条件

2、intitle:

把网页标题中的某个字符作为搜索的条件

3、cache:

搜索搜索引擎里关于某些内容的缓存,可能会在过期内容中发现有价值的信息

4、filetype:

指定一个格式类型的文件作为搜索对象

5、inurl:

搜索包含指定字符的URL

6、site:

在指定的站点搜索相关内容

 

例子:利用intext搜索admin 语法:intitle admin

利用搜索引擎收集信息-01_第1张图片

例子:利用inurl搜索一个 语法:inurl:asp?id=1

利用搜索引擎收集信息-01_第2张图片

 

例子 在指定的站点搜索相关内容 语法:site:freebuf.com intitle:googlehacking

利用搜索引擎收集信息-01_第3张图片

 

其他GoogleHacking语法:

1、引号“”

把关键字打上引号后把引号部分作为整体来搜索

2、or

同时搜索两个或者更多的关键字

3、link:

搜索某个网站的链接

 

典型用法:

1、找管理后台地址:

site:xxx.com intext:管理|后台|登录|用户名|密码|系统|账号

site:xxx.com intext:login/admin/manage/admin_login/system

site:xxx.com intext:管理|后台|登录

2、找上传类型漏洞地址:

site:xxx.com inurl:file

site:xxx.com inurl:upload

3、找注入页面

site:xxx.com inurl:php?id=

4、找编辑器页面

site:xxx.com inurl:ewebeditor

 

注意:

所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任

你可能感兴趣的:(安全测试,安全测试信息收集)