web安全-信息收集之使用Google Hacking语法探测敏感信息

目录

一、介绍

二、逻辑运算符

+

-

~

.

*

" "

|或OR

三、基本语法

intext:key

allintext:key

intitle:key

allintitle:key

cache:url

filetype:

info:

inurl:

site:

related:url

四、高级案例

intitle:管理登录 filetype:php

site:baidu.com

site:baidu.com intitle:登陆

intitle:"index of " "shell.txt"

site:baidu.com inurl:/login

site:36.110.213.* 

五、Google Hacking语法收集网站

六、小知识:网络蜘蛛


一、介绍

        使用Google搜索引擎或其它Google应用程序通过特定于法来查找网站配置或代码中的安全漏洞。

        可以Google Hacking语法搜索Web信息、登陆后台、特定文件、漏洞页面、错误信息等等。

二、逻辑运算符

  • +

        强制搜索其最后的一个单词。

  • -

        把某个关键字忽略掉。

  • ~

        同意词识别,将有同意词的页面也一起搜索出来。

  • .

        单一通配符。

  • *

        通配符,可以代表多个字母。

  • " "

        精确查询,只查询完整连续的关键词,不讲输入的关键词进行拆分。

  • |或OR

        将只要符合多个关键字中的任意一个的结果予以显示。

三、基本语法

  • intext:key

        搜索网页页面内带有关键字的页面。

  • allintext:key

        功能与intext相似,但是可以接多个关键字。

  • intitle:key

        搜素网页标题中带有关键字的网页。

  • allintitle:key

        功能与allintext相似,可以接多个关键字,但是不能与别的关键字连用。

  • cache:url

        查看指定URL快照。

  • filetype:

        搜素指定类型的文件。

  • info:

        搜素输入URL的摘要信息和其它相关信息,不能与其它关键词混用。

  • inurl:

        搜素输入字符是否存在与URL中,可以与site结合来找后台。

  • site:

        搜素指定网站或者子域名或c段地址。

  • related:url

        搜素与该url相关的,同类的页面。

四、高级案例

  • intitle:管理登录 filetype:php

web安全-信息收集之使用Google Hacking语法探测敏感信息_第1张图片

  • site:baidu.com

web安全-信息收集之使用Google Hacking语法探测敏感信息_第2张图片

  • site:baidu.com intitle:登陆

web安全-信息收集之使用Google Hacking语法探测敏感信息_第3张图片

  • intitle:"index of " "shell.txt"

web安全-信息收集之使用Google Hacking语法探测敏感信息_第4张图片

  • site:baidu.com inurl:/login

web安全-信息收集之使用Google Hacking语法探测敏感信息_第5张图片

  • site:36.110.213.* 

web安全-信息收集之使用Google Hacking语法探测敏感信息_第6张图片

五、Google Hacking语法收集网站

        在这个网站内存在许多Google Hacking语法的高级用法,如果自己对Google Hacking语法使用不熟练,可以来到这个网站内进行借鉴和学习。

        Google Hacking Database (GHDB) - Google Dorks, OSINT, Recon

web安全-信息收集之使用Google Hacking语法探测敏感信息_第7张图片

六、小知识:网络蜘蛛

        蜘蛛在爬行时,会爬行整个网站,网站内所有的链接都会被一一提交到 Google 的数据库中。

        那么如何完全隐藏网站的敏感信息呢?

        从开发人员的角度来讲,一定要保证敏感信息不被外部引用。如果在一些对外暴露的页面中引用一些敏感目录,那么 Google 的蜘蛛就会顺藤摸瓜找到地址。同时,也要保证敏感信息的名字很复杂,否则很有可能被攻击者扫描出地址。

        Google 也不是万能的,它只能查询出蜘蛛爬行过的网页,而蜘蛛遵照网站根目录robots.txt的约定进行爬行,如果一些敏感目录不希望蜘蛛进行爬行,则可以写在网站根目录robots.txt 中。虽然这样不会被蜘蛛爬行到,但是攻击者可以直接访问robots.txt。

web安全-信息收集之使用Google Hacking语法探测敏感信息_第8张图片

你可能感兴趣的:(web安全,安全,Google,Hacking,网络安全,搜索引擎)