True는 이전의 모든 사용자 출판물에 제목을 부여합니다. Instagram Stories: 이 기능을 사용하는 방법과 이유

Google 검색 엔진(www.google.com)은 다양한 검색 옵션을 제공합니다. 이러한 모든 기능은 인터넷을 처음 접하는 사용자를 위한 귀중한 검색 도구이자 동시에 해커뿐만 아니라 컴퓨터가 아닌 범죄자 및 테러리스트라도.
(1주 동안 조회수 9475회)

데니스 바란코프
데니스NOSPAMixi.ru

주목:이 글은 행동 지침이 아닙니다. 이 기사는 웹 서버 관리자 여러분을 위해 작성되었으므로 여러분은 안전하다는 잘못된 느낌을 버리고 마침내 이러한 정보 획득 방법의 교활함을 이해하고 사이트를 보호하는 임무를 맡게 될 것입니다.

소개

예를 들어 0.14초 만에 1670페이지를 찾았어요!

2. 예를 들어, 다른 줄을 입력해 보겠습니다.

inurl:"auth_user_file.txt"

조금 적지만 무료 다운로드 및 비밀번호 추측(동일한 John The Ripper 사용)에는 이미 충분합니다. 아래에서 더 많은 예를 들어 보겠습니다.

따라서 Google 검색 엔진이 대부분의 인터넷 사이트를 방문하고 해당 사이트에 포함된 정보를 캐시했다는 사실을 인식해야 합니다. 이렇게 캐시된 정보를 사용하면 사이트에 직접 연결하지 않고도 Google 내부에 저장된 정보를 탐색하는 것만으로 사이트 및 사이트 콘텐츠에 대한 정보를 얻을 수 있습니다. 또한 사이트의 정보를 더 이상 사용할 수 없는 경우 캐시의 정보는 계속 보존될 수 있습니다. 이 방법에 필요한 것은 몇 가지 Google 키워드를 아는 것뿐입니다. 이 기술을 Google 해킹이라고 합니다.

Google 해킹에 대한 정보는 3년 전 Bugtruck 메일링 리스트에 처음 등장했습니다. 2001년에 한 프랑스 학생이 이 주제를 제기했습니다. 다음은 이 편지에 대한 링크입니다(http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html). 이러한 쿼리의 첫 번째 예를 제공합니다.

1) /admin의 색인
2) /password 인덱스
3) /mail의 색인
4) / +banques +filetype:xls 색인(프랑스의 경우...)
5) / +passwd 인덱스
6) /password.txt의 색인

이 주제는 최근 인터넷의 영어 읽기 부문에서 큰 반향을 일으켰습니다. 2004년 5월 7일에 출판된 Johnny Long의 기사 이후였습니다. Google 해킹에 대한 보다 완전한 연구를 위해서는 이 저자의 웹사이트인 http://johnny.ihackstuff.com을 방문하는 것이 좋습니다. 이 기사에서는 최신 소식을 전해드리고 싶습니다.

누가 이것을 사용할 수 있습니까?
- 언론인, 스파이, 그리고 다른 사람의 일에 끼어들기를 좋아하는 모든 사람들은 이 앱을 이용해 유죄 증거를 찾을 수 있습니다.
- 해킹에 적합한 대상을 찾는 해커.

Google의 작동 방식

대화를 계속하려면 Google 검색어에 사용되는 몇 가지 키워드를 상기시켜 드리겠습니다.

+ 기호를 사용하여 검색

Google은 중요하지 않다고 판단되는 단어를 검색에서 제외합니다. 예를 들어 영어로 된 질문 단어, 전치사 및 관사는 예를 들어 are, of, where입니다. 러시아어에서는 Google이 모든 단어를 중요하게 생각하는 것 같습니다. 검색에서 단어가 제외되면 Google은 해당 단어에 대해 기록합니다. Google에서 이러한 단어가 포함된 페이지 검색을 시작하려면 단어 앞에 공백 없이 + 기호를 추가해야 합니다. 예를 들어:

에이스 + 베이스

기호를 사용하여 검색 –

Google에서 특정 주제가 포함된 페이지를 제외해야 하는 페이지를 많이 찾은 경우 Google에서 특정 단어가 포함되지 않은 페이지만 검색하도록 강제할 수 있습니다. 이렇게 하려면 단어 앞에 공백 없이 각 단어 앞에 기호를 배치하여 이러한 단어를 표시해야 합니다. 예를 들어:

낚시 - 보드카

~를 사용하여 검색

지정된 단어뿐만 아니라 해당 단어의 동의어도 검색할 수 있습니다. 이렇게 하려면 단어 앞에 ~ 기호를 붙입니다.

큰따옴표를 사용하여 정확한 문구 찾기

Google은 각 페이지에서 검색어 문자열에 작성한 모든 단어를 검색하며, 지정된 모든 단어가 동시에 페이지에 있는 한 단어의 상대적 위치에는 신경 쓰지 않습니다. 기본 동작). 정확한 문구를 찾으려면 따옴표로 묶어야 합니다. 예를 들어:

"북엔드"

지정된 단어 중 하나 이상을 가지려면 OR이라는 논리 연산을 명시적으로 지정해야 합니다. 예를 들어:

책 안전 또는 보호

또한 검색창에 * 기호를 사용하여 단어를 표시할 수 있습니다. 어떤 캐릭터를 표현하기 위해

추가 연산자를 사용하여 단어 검색

검색 문자열에 다음 형식으로 지정된 검색 연산자가 있습니다.

연산자:search_term

콜론 옆의 공백은 필요하지 않습니다. 콜론 뒤에 공백을 삽입하면 오류 메시지가 표시되며 그 앞에는 Google이 이를 일반 검색 문자열로 사용합니다.
추가 검색 연산자 그룹이 있습니다. 언어 - 결과를 보려는 언어 표시, 날짜 - 지난 3개월, 6개월 또는 12개월 동안의 결과 제한, 발생 횟수 - 검색해야 하는 문서의 위치 표시 라인: 제목, URL, 도메인의 모든 위치 - 지정된 사이트에서 검색하거나 반대로 검색에서 제외 - 지정된 유형의 정보가 포함된 사이트를 차단하고 검색 결과 페이지에서 제거합니다.
그러나 일부 연산자에는 추가 매개변수가 필요하지 않습니다(예: " 캐시:www.google.com"는 본격적인 검색 문자열이라고 할 수 있으며, 반대로 일부 키워드에는 검색어가 필요합니다. 예를 들어 " 사이트:www.google.com 도움말". 우리 주제에 비추어 다음 연산자를 살펴 보겠습니다.

운영자	설명	추가 매개변수가 필요합니까?
	search_term에 지정된 사이트에서만 검색하세요.
	search_term 유형의 문서에서만 검색
	제목에 search_term이 포함된 페이지 찾기
	제목에 모든 search_term 단어가 포함된 페이지 찾기
	주소에 search_term이라는 단어가 포함된 페이지를 찾습니다.
	주소에 모든 search_term 단어가 포함된 페이지를 찾습니다.

운영자 대지:지정된 사이트로만 검색을 제한하며 도메인 이름뿐만 아니라 IP 주소도 지정할 수 있습니다. 예를 들어 다음을 입력합니다.

운영자 파일 형식:검색을 특정 파일 형식으로 제한합니다. 예를 들어:

기사가 게시된 날짜를 기준으로 Google은 13가지 파일 형식 내에서 검색할 수 있습니다.

• Adobe 휴대용 문서 형식(pdf)
• 어도비 포스트스크립트(ps)
• 로터스 1-2-3(wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
• 로터스 워드프로(lwp)
• 맥쓰기(MW)
• 마이크로소프트 엑셀(xls)
• 마이크로소프트 파워포인트(ppt)
• 마이크로소프트 워드(문서)
• 마이크로소프트 웍스(wks, wps, wdb)
• 마이크로소프트 쓰기(wri)
• 리치 텍스트 형식(rtf)
• 충격파 플래시(swf)
• 텍스트(ans, txt)

운영자 링크:지정된 페이지를 가리키는 모든 페이지를 표시합니다.
인터넷에서 얼마나 많은 장소가 귀하에 대해 알고 있는지 확인하는 것은 항상 흥미로울 것입니다. 해보자:

운영자 은닉처: Google이 해당 페이지를 마지막으로 방문했을 때의 모습 그대로 Google 캐시에 있는 사이트 버전을 표시합니다. 자주 변경되는 사이트를 살펴보겠습니다.

운영자 제목:페이지 제목에 지정된 단어를 검색합니다. 운영자 모든 제목:확장 프로그램입니다. 페이지 제목에 지정된 몇 개의 단어를 모두 검색합니다. 비교하다:

제목:화성으로의 비행
intitle:비행 intitle:on intitle:화성
allintitle:화성으로의 비행

운영자 URL: Google이 URL에 지정된 문자열을 포함하는 모든 페이지를 표시하도록 강제합니다. allinurl 연산자: URL의 모든 단어를 검색합니다. 예를 들어:

allinurl:산성 acid_stat_alerts.php

이 명령은 SNORT가 없는 사람들에게 특히 유용합니다. 최소한 실제 시스템에서 어떻게 작동하는지 볼 수는 있습니다.

Google을 이용한 해킹 방법

그래서 위의 연산자와 키워드의 조합을 이용하면 누구나 필요한 정보를 수집하고 취약점을 검색할 수 있다는 것을 알게 되었습니다. 이러한 기술을 흔히 Google 해킹이라고 합니다.

사이트 맵

site: 연산자를 사용하면 Google이 사이트에서 찾은 모든 링크를 나열할 수 있습니다. 일반적으로 스크립트에 의해 동적으로 생성된 페이지는 매개변수를 사용하여 색인을 생성하지 않으므로 일부 사이트에서는 ISAPI 필터를 사용하여 링크가 형식에 맞지 않도록 합니다. /article.asp?num=10&dst=5, 슬래시 포함 /기사/abc/num/10/dst/5. 이는 사이트가 일반적으로 검색 엔진에 의해 색인화되도록 수행됩니다.

해보자:

사이트:www.whitehouse.gov

Google은 웹사이트의 모든 페이지에 Whitehouse라는 단어가 포함되어 있다고 생각합니다. 이것이 우리가 모든 페이지를 얻는 데 사용하는 것입니다.
단순화된 버전도 있습니다:

사이트:whitehouse.gov

그리고 가장 좋은 점은 whitehouse.gov의 동지들이 우리가 그들의 사이트 구조를 살펴보고 심지어 Google이 다운로드한 캐시된 페이지를 살펴보았다는 사실조차 몰랐다는 것입니다. 이는 사이트의 구조를 연구하고 콘텐츠를 보는 데 사용될 수 있으며 당분간은 감지되지 않습니다.

디렉터리의 파일 목록 보기

웹 서버는 일반 HTML 페이지 대신 서버 디렉토리 목록을 표시할 수 있습니다. 이는 일반적으로 사용자가 특정 파일을 선택하고 다운로드하도록 하기 위해 수행됩니다. 그러나 대부분의 경우 관리자는 디렉토리의 내용을 표시할 의도가 없습니다. 이는 서버 구성이 잘못되었거나 디렉터리에 기본 페이지가 없기 때문에 발생합니다. 결과적으로 해커는 디렉토리에서 흥미로운 것을 찾아 자신의 목적에 맞게 사용할 기회를 갖게 됩니다. 이러한 페이지를 모두 찾으려면 해당 페이지에 index of라는 단어가 모두 포함되어 있다는 점만 알아두면 충분합니다. 그러나 단어 색인에는 그러한 페이지만 포함되어 있는 것이 아니기 때문에 검색어를 구체화하고 페이지 자체의 키워드를 고려해야 합니다. 따라서 검색어는 다음과 같습니다.

intitle:index.of 상위 디렉토리
intitle:index.of 이름 크기

대부분의 디렉토리 목록은 의도적이므로 처음에는 위치가 잘못된 목록을 찾는 데 어려움을 겪을 수 있습니다. 그러나 최소한 아래 설명된 대로 이미 목록을 사용하여 웹 서버 버전을 확인할 수 있습니다.

웹 서버 버전을 얻는 중입니다.

해커 공격을 시작하기 전에 웹 서버 버전을 아는 것이 항상 유용합니다. 이번에도 Google 덕분에 서버에 연결하지 않고도 이 정보를 얻을 수 있습니다. 디렉토리 목록을 자세히 살펴보면 웹 서버의 이름과 버전이 표시되어 있는 것을 볼 수 있습니다.

Apache1.3.29 - trf296.free.fr 포트 80의 ProXad 서버

숙련된 관리자는 이 정보를 변경할 수 있지만 일반적으로 이는 사실입니다. 따라서 이 정보를 얻으려면 요청을 보내는 것으로 충분합니다.

제목:index.of server.at

특정 서버에 대한 정보를 얻으려면 요청을 명확히 해야 합니다.

제목:index.of server.at 사이트:ibm.com

또는 그 반대로 특정 버전의 서버를 실행하는 서버를 찾고 있습니다.

제목:index.of Apache/2.0.40 서버 위치

이 기술은 해커가 피해자를 찾는 데 사용될 수 있습니다. 예를 들어, 특정 버전의 웹 서버에 대한 익스플로잇이 있는 경우 이를 찾아서 기존 익스플로잇을 시도할 수 있습니다.

최신 버전의 WEB 서버 설치 시 기본적으로 설치되는 페이지를 확인하여 서버 버전을 확인할 수도 있습니다. 예를 들어 Apache 1.2.6 테스트 페이지를 보려면 다음을 입력하십시오.

제목:Test.Page.for.Apache it.worked!

또한 일부 운영 체제에서는 설치 중에 웹 서버를 즉시 설치하고 실행합니다. 그러나 일부 사용자들은 이 사실조차 인지하지 못하고 있습니다. 당연히 누군가가 기본 페이지를 제거하지 않은 것을 보면 컴퓨터가 전혀 사용자 정의되지 않았으며 공격에 취약할 가능성이 있다고 가정하는 것이 논리적입니다.

IIS 5.0 페이지를 검색해 보세요.

allintitle:Windows 2000 인터넷 서비스에 오신 것을 환영합니다.

IIS의 경우 서버 버전뿐만 아니라 Windows 버전과 서비스 팩도 확인할 수 있습니다.

WEB 서버 버전을 확인하는 또 다른 방법은 사이트에 기본적으로 설치될 수 있는 설명서(도움말 페이지)와 예제를 검색하는 것입니다. 해커는 이러한 구성 요소를 사용하여 사이트에 대한 권한 있는 액세스를 얻는 몇 가지 방법을 발견했습니다. 그렇기 때문에 생산 현장에서 이러한 구성 요소를 제거해야 합니다. 이러한 구성 요소가 있으면 서버 유형 및 버전에 대한 정보를 얻을 수 있다는 사실은 말할 것도 없습니다. 예를 들어, Apache 매뉴얼을 찾아보겠습니다:

inurl:수동 Apache 지시문 모듈

Google을 CGI 스캐너로 사용.

CGI 스캐너 또는 WEB 스캐너는 피해자 서버에서 취약한 스크립트 및 프로그램을 검색하는 유틸리티입니다. 이러한 유틸리티는 무엇을 찾아야 하는지 알아야 합니다. 이를 위해 다음과 같은 취약한 파일의 전체 목록이 있습니다.

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

Google을 사용하여 이러한 각 파일을 찾을 수 있으며 검색 창에 파일 이름과 함께 index of 또는 inurl이라는 단어를 추가로 사용하여 찾을 수 있습니다. 예를 들어 다음과 같이 취약한 스크립트가 있는 사이트를 찾을 수 있습니다.

allinurl:/random_banner/index.cgi

추가 지식을 사용하여 해커는 스크립트의 취약점을 악용하고 이 취약점을 사용하여 스크립트가 서버에 저장된 모든 파일을 강제로 내보내도록 할 수 있습니다. 예를 들어, 비밀번호 파일입니다.

Google 해킹으로부터 자신을 보호하는 방법.

1. WEB 서버에 중요한 데이터를 게시하지 마십시오.

일시적으로 데이터를 게시했더라도 잊어버릴 수도 있고, 삭제하기 전에 누군가가 이 데이터를 찾아 가져갈 시간이 생길 수도 있습니다. 그러지 마세요. 도난으로부터 데이터를 보호하기 위해 데이터를 전송하는 다른 방법이 많이 있습니다.

2. 사이트를 확인하세요.

설명된 방법을 사용하여 사이트를 조사하세요. 사이트 http://johnny.ihackstuff.com에 나타나는 새로운 방법을 정기적으로 확인하십시오. 작업을 자동화하려면 Google로부터 특별 허가를 받아야 한다는 점을 기억하세요. 잘 읽어보시면 http://www.google.com/terms_of_service.html을 클릭하면 다음 문구가 표시됩니다. Google의 사전 명시적 허가 없이는 Google 시스템에 어떤 종류의 자동 검색어도 보낼 수 없습니다.

3. 귀하의 사이트 또는 그 일부를 색인화하는 데 Google이 필요하지 않을 수도 있습니다.

Google에서는 귀하의 사이트에 대한 링크나 그 일부를 데이터베이스에서 제거할 수 있을 뿐만 아니라 캐시에서 페이지를 제거할 수 있습니다. 또한 사이트에서 이미지 검색을 금지하고, 페이지의 짧은 조각이 검색 결과에 표시되는 것을 금지할 수 있습니다. 사이트 삭제에 대한 모든 가능성은 페이지에 설명되어 있습니다. http://www.google.com/remove.html. 이렇게 하려면 귀하가 실제로 이 사이트의 소유자인지 확인하거나 페이지에 태그를 삽입해야 합니다.

4. robots.txt를 사용하세요

검색 엔진은 사이트 루트에 있는 robots.txt 파일을 보고 다음 단어로 표시된 부분을 색인화하지 않는 것으로 알려져 있습니다. 허용하지 않음. 이를 사용하여 사이트의 일부가 색인화되는 것을 방지할 수 있습니다. 예를 들어 전체 사이트의 색인이 생성되지 않도록 하려면 다음 두 줄이 포함된 robots.txt 파일을 만듭니다.

사용자 에이전트: *
허용하지 않음: /

또 무슨 일이 일어나는지

인생이 당신에게 꿀처럼 보이지 않도록 마지막으로 위에서 설명한 방법을 사용하여 스크립트와 웹 서버에서 구멍을 찾는 사람들을 모니터링하는 사이트가 있다고 말씀 드리겠습니다. 그러한 페이지의 예는 다음과 같습니다.

애플리케이션.

조금 달콤합니다. 다음 중 몇 가지를 직접 시도해 보세요.

1. #mysql dump filetype:sql - mySQL 데이터베이스 덤프 검색
2. 호스트 취약점 요약 보고서 - 다른 사람들이 발견한 취약점을 보여줍니다.
3. inurl:main.php에서 실행 중인 phpMyAdmin - phpmyadmin 패널을 통해 제어가 강제로 닫힙니다.
4. 기밀 배포용이 아닙니다.
5. 요청 세부 사항 제어 트리 서버 변수
6. 어린이 모드로 실행
7. 이 보고서는 WebLog에 의해 생성되었습니다.
8. 제목:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs – 누군가 방화벽 구성 파일이 필요한가요? :)
10. 제목:index.of Finances.xls – 흠....
11. intitle:dbconvert.exe 채팅 ​​색인 – icq 채팅 로그
12.intext:Tobias Oetiker 트래픽 분석
13. intitle:Webalizer에 의해 생성된 사용 통계
14. intitle:고급 웹 통계 통계
15. intitle:index.of ws_ftp.ini – ws ftp 구성
16. inurl:ipsec.secrets는 공유 비밀을 보유합니다 – 비밀 키 – 좋은 찾기
17. inurl:main.php phpMyAdmin에 오신 것을 환영합니다.
18. inurl:server-info 아파치 서버 정보
19. 사이트:교육 관리자 성적
20. ORA-00921: SQL 명령의 예기치 않은 종료 - 경로 가져오기
21. 제목:index.of trillian.ini
22. intitle:pwd.db의 색인
23.제목:index.of people.lst
24. 제목:index.of master.passwd
25.inurl:passlist.txt
26. intitle:.mysql_history의 인덱스
27. intitle:intext 인덱스:globals.inc
28. 제목:index.ofadminists.pwd
29. intitle:Index.of 등 ​​그림자
30.제목:index.ofsecring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:파일 형식 수행:ini

"Google을 통한 해킹"

교육 센터 "Informzashita" http://www.itsecurity.ru - 정보 보안 교육 분야의 선도적인 전문 센터(모스크바 교육위원회 라이센스 번호 015470, 국가 인증 번호 004251). 러시아 및 CIS 국가에서 인터넷 보안 시스템 및 Clearswift에 대한 유일한 공인 교육 센터입니다. Microsoft 공인 교육 센터(보안 전문화) 훈련 프로그램은 러시아 국가 기술 위원회인 FSB(FAPSI)와 협력합니다. 훈련 증명서 및 고급 훈련에 관한 주 문서.

SoftKey는 구매자, 개발자, 딜러 및 제휴 파트너를 위한 고유한 서비스입니다. 또한 이것은 러시아, 우크라이나, 카자흐스탄 최고의 온라인 소프트웨어 상점 중 하나로서 고객에게 다양한 제품, 다양한 결제 방법, 신속한(종종 즉시) 주문 처리, 개인 섹션의 주문 프로세스 추적, 다양한 기능을 제공합니다. 매장 및 제조업체의 할인 BY.

확실히 당신은 Google과 같은 훌륭한 검색 엔진에 대해 한 번 이상 들어 보셨을 것입니다. 뭔가 알고 싶을 때 한 번쯤은 이용해 보셨을 것 같아요. 그런데 원하는 것을 찾았나요? 저처럼 자주 Google에서 답변을 검색하신다면 이 글은 검색을 더 빠르고 효율적으로 할 수 있도록 고안되었기 때문에 유용할 것이라고 생각합니다. 먼저, 약간의 역사를 살펴보겠습니다.

구글(Google)은 미국 수학자 에드워드 카이저(Edward Kaiser)의 조카인 밀턴 시로타(Milton Sirotta)가 만든 영어 단어 "googol"을 변형한 것으로, 1과 100개의 0으로 구성된 수를 나타냅니다. 이제 Google이라는 이름은 Google Inc.에서 개발한 인터넷 검색 엔진의 선두주자입니다.

Google은 세계 시장의 70% 이상을 점유하고 있습니다. 이는 온라인 사용자 10명 중 7명이 인터넷에서 정보를 검색할 때 Google 페이지를 방문한다는 의미입니다. 현재 매일 약 5천만 개의 검색어를 등록하고 80억 개 이상의 웹페이지를 색인화합니다. Google은 101개 언어로 정보를 찾을 수 있습니다. 2004년 8월 말 Google은 지구의 여러 지역에 위치한 132,000개의 기계로 구성되었습니다.

Google은 지능형 텍스트 분석 기술을 사용하여 검색어에 대한 중요하고 관련성 있는 페이지를 찾는 데 도움을 줍니다. 이를 위해 Google은 검색어와 일치하는 페이지 자체뿐만 아니라 해당 페이지에 연결된 페이지도 분석하여 검색어 목적에 맞는 페이지의 가치를 결정합니다. 또한 Google은 입력한 키워드가 서로 가까운 페이지를 선호합니다.

Google 인터페이스에는 검색 범위를 특정 도메인, 언어, 파일 형식 등으로 제한할 수 있는 다소 복잡한 쿼리 언어가 포함되어 있습니다. 이 언어에서 일부 연산자를 사용하면 필요한 정보를 찾는 프로세스를 더욱 유연하고 유연하게 만들 수 있습니다. 정확한. 그 중 일부를 살펴보겠습니다.

논리 “AND”:
기본적으로 검색어를 공백으로 구분하여 작성하면 Google은 검색어가 모두 포함된 문서를 검색합니다. 이는 AND 연산자에 해당합니다. 저것들. 공백은 AND 연산자와 동일합니다.

예를 들어:
고양이 개 앵무새 얼룩말
고양이와 개와 앵무새와 얼룩말
(두 쿼리 모두 동일)

논리 "OR"(OR):
OR 연산자를 사용하여 작성되었습니다. OR 연산자는 대문자로 작성해야 합니다. 비교적 최근에는 Yandex에서와 마찬가지로 수직 막대(|) 형태로 논리 "OR"을 작성하는 것이 가능해졌습니다. 필요한 정보를 여러 옵션으로 검색하는 데 사용됩니다.

예를 들어:
닥스훈트 장모 또는 부드러운 털
긴 머리 닥스훈트 | 부드러운 머리
(두 쿼리 모두 동일)

Google 검색어는 대소문자를 구분하지 않는다는 점을 기억하세요! 저것들. Greenland Island와 Greenland Island의 쿼리는 정확히 동일합니다.

연산자 "더하기"(+):
철자가 다를 수 있는 단어를 텍스트에 강제로 삽입해야 하는 상황이 있습니다. 이렇게 하려면 필수 단어 앞에 "+" 연산자를 사용하십시오. 나홀로 집에 I에 대한 쿼리가 있는 경우 쿼리로 인해 나홀로 집에 II, 나홀로 III에 대해서는 불필요한 정보만 있고 나홀로 집에 I에 대해서는 거의 정보가 없는 결과가 나온다고 가정해 보겠습니다. 나홀로 집에 +I 형식으로 쿼리하면 영화 '나홀로 집에 I'에 대한 정보만 검색됩니다.

예를 들어:
신문 +자리야
베르누이 방정식 + 수학

쿼리에서 단어를 제외합니다. 논리 NOT(-):
아시다시피 요청을 작성할 때 정보 쓰레기가 자주 발생합니다. 이를 제거하기 위해 제외 연산자가 표준 논리 "NOT"으로 사용됩니다. Google에서는 이 연산자를 빼기 기호로 표시합니다. 이 연산자를 사용하면 텍스트에 특정 단어가 포함된 페이지를 검색 결과에서 제외할 수 있습니다. 제외된 단어 앞에 "+" 연산자처럼 사용됩니다.

예를 들어:
크레인 우물새
죽은 영혼 - 소설

정확한 문구("") 검색:
실제로 특정 작품의 텍스트를 검색하거나, 설명의 이름이나 일부가 일관되게 반복되는 특정 제품이나 회사를 검색하려면 정확한 문구를 검색해야 합니다. Google을 사용하여 이 작업을 처리하려면 쿼리를 따옴표로 묶어야 합니다(예를 들어 직접적인 연설을 강조하는 데 사용되는 큰따옴표를 의미).

예를 들어:
작품 "조용한 돈"
"밖은 추웠지만 이것이 보리스가 그의 계획을 수행하는 것을 막지는 못했습니다."

그런데 Google에서는 검색어 표시줄에 최대 32단어를 입력할 수 있습니다!

단어 잘림(*):
때로는 하나 이상의 단어를 알 수 없는 단어 조합에 대한 정보를 찾아야 할 때가 있습니다. 이를 위해 알 수 없는 단어 대신 "*" 연산자가 사용됩니다. 저것들. "*" - 임의의 단어 또는 단어 그룹입니다.

예를 들어:
석사 및 *
레오나르도 * 빈치

캐시 연산자:
검색 엔진은 검색 스파이더가 색인화한 텍스트 버전을 캐시라는 특수 저장 형식으로 저장합니다. 원본 페이지를 사용할 수 없는 경우(예: 해당 페이지가 저장된 서버가 다운된 경우) 페이지의 캐시된 버전을 검색할 수 있습니다. 캐시된 페이지는 검색 엔진의 데이터베이스에 저장된 그대로 표시되며 페이지 상단에 캐시된 페이지임을 나타내는 알림이 함께 표시됩니다. 또한 캐시된 버전이 생성된 시간에 대한 정보도 포함되어 있습니다. 캐시의 페이지에서는 검색어 키워드가 강조 표시되며, 각 단어는 사용자 편의를 위해 다른 색상으로 강조 표시됩니다. 특정 주소(cache: page_address)가 있는 페이지의 캐시된 버전을 즉시 반환하는 요청을 생성할 수 있습니다. 여기서 "page_address" 대신 캐시에 저장된 페이지의 주소가 있습니다. 캐시된 페이지에서 정보를 찾아야 하는 경우 페이지 주소 뒤에 공백으로 구분하여 해당 정보에 대한 요청을 작성해야 합니다.

예를 들어:
캐시:www.bsd.com
캐시:www.knights.ru 토너먼트

":"와 페이지 주소 사이에는 공백이 있어서는 안 된다는 점을 기억해야 합니다!

파일 유형 연산자:
아시다시피 Google은 HTML 페이지만 색인을 생성하는 것이 아닙니다. 예를 들어 html 이외의 파일 형식에서 일부 정보를 찾아야 하는 경우 특정 파일 형식(html, pdf, doc, rtf...)의 정보를 검색할 수 있는 파일 형식 연산자를 사용할 수 있습니다. .

예를 들어:
사양 html 파일 형식:pdf
에세이 파일 형식:rtf

운영자 정보:
정보 연산자를 사용하면 Google이 이 페이지에 대해 알고 있는 정보를 볼 수 있습니다.

예를 들어:
정보:www.wiches.ru
정보:www.food.healthy.com

사이트 운영자:
이 연산자는 검색을 특정 도메인이나 사이트로 제한합니다. 즉, 마케팅 인텔리전스 사이트:www.acfor-tc.ru를 요청하면 "acfor-tc.ru" 사이트의 "marketing" 및 "intelligence"라는 단어가 포함된 페이지에서 결과를 얻을 수 있습니다. 인터넷의 다른 부분에는 없습니다.

예를 들어:
음악사이트:www.music.su
도서 사이트:ru

링크 연산자:
이 연산자를 사용하면 요청이 이루어진 페이지로 연결되는 모든 페이지를 볼 수 있습니다. 따라서 link:www.google.com 요청은 google.com에 대한 링크가 포함된 페이지를 반환합니다.

예를 들어:
링크:www.ozone.com
친구 링크:www.happylife.ru

allintitle 연산자:
"모든 것이 제목에 있습니다"로 번역되는 allintitle 연산자를 사용하여 검색어를 시작하면 Google은 검색어의 모든 단어가 제목(HTML의 TITLE 태그 내부)에 포함된 텍스트를 반환합니다.

예를 들어:
allintitle: 무료 소프트웨어
allintitle: 음악 앨범 다운로드

제목 연산자:
제목 연산자 바로 뒤의 단어만 제목에 포함되고 다른 모든 검색어는 텍스트의 어느 위치에나 포함될 수 있는 페이지를 표시합니다. 쿼리의 각 단어 앞에 intitle 연산자를 넣는 것은 allintitle 연산자를 사용하는 것과 같습니다.

예를 들어:
프로그램 제목: 다운로드
제목: 무료 제목: 소프트웨어 다운로드

allinurl 연산자:
쿼리가 allinurl 연산자로 시작되면 모든 쿼리 단어가 페이지 주소, 즉 URL에만 포함된 문서로 검색이 제한됩니다.

예를 들어:
allinurl:rus 게임
allinurl:책 판타지

inurl 연산자:
inurl 연산자와 함께 직접적으로 위치한 단어는 인터넷 페이지의 주소에서만 찾을 수 있고 나머지 단어는 해당 페이지 어디에서나 찾을 수 있습니다.

예를 들어:
inurl:도서 다운로드
inurl:게임 크랙

운영자 관련:
이 연산자는 특정 페이지와 "유사한" 페이지를 설명합니다. 따라서 관련 검색어:www.google.com은 Google과 유사한 주제를 가진 페이지를 반환합니다.

예를 들어:
관련:www.ozone.com
관련:www.nnm.ru

정의문:
이 연산자는 일종의 설명 사전 역할을 하여 연산자 뒤에 입력되는 단어의 정의를 빠르게 얻을 수 있습니다.

예를 들어:
정의: 캥거루
정의: 마더보드

동의어 검색 연산자(~):
키워드뿐만 아니라 동의어도 포함된 텍스트를 찾으려면 동의어를 찾으려는 단어 앞에 "~" 연산자를 사용할 수 있습니다.

예를 들어:
~변태의 유형
~ 객체 지향

범위 연산자(..):
숫자로 작업해야 하는 사람들을 위해 Google에서는 숫자 사이의 범위를 검색할 수 있도록 했습니다. "from - to" 특정 범위의 숫자가 포함된 모든 페이지를 찾으려면 이러한 극단값 사이에 두 개의 점(..)을 넣어야 합니다. 즉, 범위 연산자입니다.

예를 들어:
책 구입 $100..$150
인구 1913..1935

내가 아는 모든 Google 쿼리 언어 연산자는 다음과 같습니다. 나는 그들이 당신이 필요로 하는 정보를 찾는 과정을 더 쉽게 만들 수 있기를 바랍니다. 어쨌든 저는 이 기능을 매우 자주 사용하며, 이 기능을 사용할 때 사용하지 않을 때보다 검색에 소요되는 시간이 훨씬 적다고 자신있게 말할 수 있습니다.

행운을 빌어요! 그리고 포스가 당신과 함께하길 바랍니다.

태그: 검색, 연산자, Google

안녕하세요. 오늘은 CCTV 카메라 보호 및 접근에 대해 이야기하겠습니다. 그 수가 꽤 많으며 다양한 목적으로 사용됩니다. 언제나 그렇듯이, 우리는 그러한 카메라를 찾고 비밀번호를 선택할 수 있는 표준 데이터베이스를 사용할 것입니다. 이론 대부분의 장치는 설치 후 구성되거나 업데이트되지 않습니다. 따라서 우리의 대상 고객은 인기 있는 포트 8000, 8080 및 554 아래에 있습니다. 네트워크를 스캔해야 하는 경우 이러한 포트를 즉시 선택하는 것이 좋습니다. 방법 1번 명확한 예를 들어 Shodan 및 Sensys 검색 엔진에서 흥미로운 쿼리를 볼 수 있습니다. 간단한 쿼리를 사용하여 몇 가지 예시를 살펴보겠습니다. has_screenshot:true port:8000 // 결과 183개; has_screenshot:true port:8080 // 결과 1025개; has_screenshot:true port:554 // 결과 694개; 이 간단한 방법으로 상점, 병원, 주유소 등 흥미로운 장소에 위치한 수많은 개방형 카메라에 접근할 수 있습니다. 명확성을 위해 몇 가지 흥미로운 옵션을 살펴보겠습니다. 의사의 대기실 유럽 깊은 곳 어딘가의 개인실 첼랴빈스크 어딘가의 수업 여성 의류 매장 이 간단한 방법으로 접근이 가능한 흥미로운 물건을 상당히 많이 찾을 수 있습니다. 국가 필터를 사용하여 국가별 데이터를 얻을 수 있다는 것을 잊지 마세요. has_screenshot:true 포트:8000 국가:ru has_screenshot:true 포트:8080 국가:ru has_screenshot:true 포트:554 국가:ru 방법 2번 표준 소셜 네트워크 검색을 사용할 수 있습니다. 이렇게 하려면 카메라에서 이미지를 볼 때 페이지 헤더를 사용하는 것이 더 좋습니다. 가장 흥미로운 옵션은 다음과 같습니다. inurl:/view.shtml inurl:ViewerFrame?Mode= inurl:ViewerFrame?Mode=Refresh inurl:view/ index.shtml inurl:view/ view.shtml intitle:”라이브 뷰” intitle:axis intitle:liveapplet 제목 전체:”네트워크 카메라 네트워크 카메라” intitle:axis intitle:”비디오 서버” intitle:liveapplet inurl:LvAppl intitle:” EvoCam” inurl:”webcam.html” intitle:”Live NetSnap Cam-Server Feed” intitle:”Live View / - AXIS 206M” intitle:”Live View / - AXIS 206W” intitle:”Live View / - AXIS 210″ inurl :indexFrame.shtml 축 intitle: start inurl:cgistart intitle:”WJ-NT104 메인 페이지” intitle:snc-z20 inurl:home/ intitle:snc-cs3 inurl:home/ intitle:snc-rz30 inurl:home/ intitle:” sony network Camera snc-p1″ intitle: “sony network Camera snc-m1″ intitle: “Toshiba Network Camera” 사용자 로그인 intitle: “i-Catcher Console - Web Monitor” 혜택을 누리고 공항 찾기 회사 사무실에 다른 포트 추가 컬렉션을 완료하면 방법 3번을 완료할 수 있습니다. 이 방법이 대상입니다. 한 지점이 있고 비밀번호를 추측해야 하거나 표준 비밀번호를 사용하여 데이터베이스를 실행하고 유효한 결과를 찾으려는 경우에 사용됩니다. Hydra는 이러한 목적에 적합합니다. 그러기 위해서는 사전을 준비해야 합니다. 라우터의 표준 비밀번호를 살펴보고 찾을 수 있습니다. 구체적인 예를 살펴 보겠습니다. 카메라 모델인 DCS-2103이 있습니다. 꽤 자주 발생합니다. 포트 80을 통해 작동합니다. 해당 데이터를 활용하여 샤단에서 필요한 정보를 찾아보겠습니다. 다음으로 우리는 우리에게 흥미로운 잠재적 표적의 모든 IP를 수집합니다. 다음으로 목록을 만듭니다. hydra 유틸리티를 사용하여 비밀번호 목록을 수집하고 모두 사용해 보겠습니다. 이렇게 하려면 사전, IP 목록을 폴더에 추가하고 다음 명령을 실행해야 합니다. hydra -l admin -P pass.txt -o good.txt -t 16 -vV -Mtargets.txt http- get 루트 폴더 pass.txt에 비밀번호가 포함된 파일이 있어야 합니다. 로그인하려면 -l 매개변수와 함께 하나의 관리자를 사용합니다. 로그인을 위한 사전을 설정해야 하는 경우 루트 디렉터리에 파일을 추가하고 등록해야 합니다. -L 매개변수를 사용하여 수행합니다. 선택한 결과는 good.txt 파일에 저장됩니다. IP 주소 목록은 target.txt 파일을 사용하여 루트 디렉터리에 추가해야 합니다. http-get 명령의 마지막 문구는 포트 80을 통한 연결을 담당합니다. 프로그램 예 명령 입력 및 시작하기 마지막에 스캔에 대한 몇 가지 정보를 추가하고 싶습니다. 네트워크 번호를 얻으려면 훌륭한 서비스를 이용할 수 있습니다. 다음으로, 이러한 메시에 필요한 포트가 있는지 확인해야 합니다. 나는 스캐너를 추천하지는 않지만 Masscan, VNC 스캐너 등과 같은 유사한 스캐너로 전환할 가치가 있다고 말할 것입니다. 잘 알려진 nmap 유틸리티를 기반으로 작성할 수 있습니다. 주요 작업은 범위를 스캔하고 필요한 포트가 있는 활성 IP를 찾는 것입니다. 결론 표준 보기 외에도 사진을 찍고, 비디오를 녹화하고, 직접 다운로드할 수도 있다는 점을 기억하십시오. 카메라를 제어하고 원하는 방향으로 회전할 수도 있습니다. 그리고 가장 흥미로운 점은 일부 카메라에서 소리를 켜고 말하는 기능입니다. 여기서 무엇을 추천할 수 있나요? 강력한 액세스 비밀번호를 설정하고 포트를 반드시 전달하세요.

개인 데이터를 얻는 것이 항상 해킹을 의미하는 것은 아닙니다. 때로는 공개적으로 게시되기도 합니다. Google 설정에 대한 지식과 약간의 독창성을 통해 신용카드 번호부터 FBI 문서까지 흥미로운 것들을 많이 찾을 수 있습니다.

경고

모든 정보는 정보 제공의 목적으로만 제공됩니다. 편집자나 저자 모두 이 기사의 자료로 인해 발생할 수 있는 피해에 대해 책임을 지지 않습니다.

오늘날 모든 것이 인터넷에 연결되어 있어 액세스 제한에 대한 걱정은 거의 없습니다. 따라서 많은 개인 데이터가 검색 엔진의 먹이가 됩니다. 스파이더 로봇은 더 이상 웹 페이지에만 국한되지 않고 인터넷에서 사용 가능한 모든 콘텐츠를 색인화하고 비공개 정보를 데이터베이스에 지속적으로 추가합니다. 이러한 비밀을 알아내는 것은 쉽습니다. 이에 대해 물어보는 방법만 알면 됩니다.

파일을 찾는 중

유능한 사람이라면 Google은 개인 정보, 공식 사용을 위한 파일 등 인터넷에서 찾을 수 없는 모든 것을 신속하게 찾아낼 것입니다. 이들은 양탄자 아래 열쇠처럼 숨겨져 있는 경우가 많습니다. 실제 액세스 제한이 없으며 데이터는 링크가 연결되지 않는 사이트 뒷면에 있을 뿐입니다. 표준 Google 웹 인터페이스는 기본적인 고급 검색 설정만 제공하지만 이것만으로도 충분합니다.

filetype 및 ext 두 가지 연산자를 사용하여 Google 검색을 특정 파일 유형으로 제한할 수 있습니다. 첫 번째는 검색 엔진이 파일 제목에서 결정한 형식을 지정하고, 두 번째는 내부 내용에 관계없이 파일 확장자를 지정합니다. 두 경우 모두 검색할 때는 확장자만 지정하면 됩니다. 처음에는 파일에 특정 형식 특성이 없는 경우(예: 무엇이든 포함할 수 있는 ini 및 cfg 구성 파일 검색) ext 연산자를 사용하는 것이 편리했습니다. 이제 Google의 알고리즘이 변경되었으며 연산자 간에 눈에 띄는 차이가 없습니다. 대부분의 경우 결과는 동일합니다.

결과 필터링

기본적으로 Google은 색인이 생성된 페이지의 모든 파일에 있는 단어 및 일반적으로 입력된 문자를 검색합니다. 최상위 도메인, 특정 사이트 또는 파일 자체의 검색 순서 위치를 기준으로 검색 영역을 제한할 수 있습니다. 처음 두 옵션의 경우 사이트 연산자를 사용하고 그 뒤에 도메인 이름이나 선택한 사이트 이름을 입력하세요. 세 번째 경우에는 전체 연산자 세트를 사용하여 서비스 필드 및 메타데이터의 정보를 검색할 수 있습니다. 예를 들어, allinurl은 링크 자체의 본문에서 주어진 항목인 allinanchor를 찾습니다. - 태그가 포함된 텍스트에서 , allintitle - 페이지 제목, allintext - 페이지 본문.

각 연산자에는 더 짧은 이름(접두사 all 제외)의 경량 버전이 있습니다. 차이점은 allinurl은 모든 단어가 포함된 링크를 찾고, inurl은 그 중 첫 번째 단어가 포함된 링크만 찾는다는 것입니다. 검색어의 두 번째 및 후속 단어는 웹페이지 어디에나 나타날 수 있습니다. inurl 연산자는 유사한 의미를 지닌 다른 연산자인 사이트와도 다릅니다. 첫 번째 방법을 사용하면 알려진 취약점이 있는 구성 요소를 찾는 데 널리 사용되는 검색된 문서(예: /cgi-bin/)에 대한 링크에서 일련의 문자를 찾을 수 있습니다.

실제로 시도해 봅시다. 우리는 allintext 필터를 사용하여 요청이 2년 후에만 만료되는(또는 소유자가 모든 사람에게 먹이를 주는 데 지쳤을 때) 신용 카드의 번호 및 확인 코드 목록을 생성하도록 합니다.

Allintext: 카드번호 유효기간/2017 cvv

젊은 해커가 국방부나 NASA의 서버를 해킹하여 기밀 정보를 훔쳤다는 뉴스를 읽을 때 대부분의 경우 Google을 사용하는 기본 기술에 대해 이야기하고 있습니다. NASA 직원 목록과 연락처 정보에 관심이 있다고 가정해 보겠습니다. 확실히 그러한 목록은 전자 형식으로 제공됩니다. 편의를 위해 또는 감독으로 인해 해당 조직의 웹사이트 자체에 있을 수도 있습니다. 이 경우에는 내부용이므로 링크가 없다는 것이 논리적입니다. 그러한 파일에는 어떤 단어가 포함될 수 있습니까? 최소한 "주소" 필드입니다. 이러한 모든 가정을 테스트하는 것은 쉽습니다.

Inurl:nasa.gov 파일 유형:xlsx "주소"

우리는 관료주의를 사용합니다

이와 같은 발견은 좋은 터치입니다. 웹마스터를 위한 Google 운영자, 네트워크 자체 및 찾고 있는 구조의 특성에 대한 보다 자세한 지식을 통해 정말 확실한 정보를 얻을 수 있습니다. 세부 사항을 알면 결과를 쉽게 필터링하고 필요한 파일의 속성을 구체화하여 나머지 부분에서 정말 귀중한 데이터를 얻을 수 있습니다. 관료주의가 여기서 구출된다는 것이 재밌습니다. 실수로 인터넷에 유출된 비밀 정보를 검색하는 데 편리한 표준 공식을 생성합니다.

예를 들어, 미국 국방부에서 요구하는 배포 명세서 스탬프는 문서 배포에 대한 표준화된 제한을 의미합니다. 문자 A는 비밀이 없는 공개 릴리스를 나타냅니다. B - 내부 전용, C - 엄격한 기밀 등 F까지 계속됩니다. 문자 X는 별도로 표시되며 최고 수준의 국가 비밀을 나타내는 특히 귀중한 정보를 표시합니다. 근무 중 이 작업을 수행해야 하는 사람들이 해당 문서를 검색하도록 하세요. 그러면 문자 C가 있는 파일로 제한하겠습니다. DoDI 지침 5230.24에 따르면 이 표시는 수출 통제 대상인 중요 기술에 대한 설명이 포함된 문서에 할당됩니다. . 이렇게 세심하게 보호된 정보는 미 육군에 할당된 최상위 domain.mil 사이트에서 찾을 수 있습니다.

"배포문 C" inurl:navy.mil

.mil 도메인에는 미국 국방부 및 그 계약 조직의 사이트만 포함되어 있어 매우 편리합니다. 도메인 제한이 있는 검색 결과는 매우 깨끗하며 제목 자체가 말해줍니다. 이런 방식으로 러시아 비밀을 검색하는 것은 사실상 쓸모가 없습니다. domains.ru 및.rf에서는 혼돈이 지배하고 많은 무기 시스템의 이름은 식물 이름 (PP "Kiparis", 자주포 "Akatsia")처럼 들리거나 심지어 멋진 ( TOS "부라티노").

.mil 도메인 사이트의 문서를 주의 깊게 조사하면 검색 범위를 좁힐 수 있는 다른 마커를 볼 수 있습니다. 예를 들어, 흥미로운 기술 정보를 검색하는 데에도 편리한 수출 제한 "Sec 2751"에 대한 참조가 있습니다. 한때 등장했던 공식 사이트에서는 삭제되는 경우가 있기 때문에 검색결과에서 흥미로운 링크를 따라갈 수 없다면 구글의 캐시(캐시 운영자)나 인터넷 아카이브 사이트를 이용해보세요.

구름 위로 올라가다

실수로 기밀 해제된 정부 문서 외에도 공개적으로 게시된 데이터에 대한 '비공개' 링크를 생성하는 Dropbox 및 기타 데이터 저장 서비스의 개인 파일 링크가 Google 캐시에 나타나는 경우가 있습니다. 대체 서비스와 직접 만든 서비스의 경우 상황은 더욱 악화됩니다. 예를 들어 다음 쿼리는 FTP 서버가 설치되어 있고 라우터를 적극적으로 사용하는 모든 Verizon 고객에 대한 데이터를 찾습니다.

Allinurl:ftp:// verizon.net

현재 그러한 똑똑한 사람들은 4만 명이 넘고, 2015년 봄에는 그 수가 더 많아졌습니다. Verizon.net 대신 잘 알려진 제공업체의 이름으로 대체할 수 있으며, 유명할수록 더 큰 피해를 입을 수 있습니다. 내장된 FTP 서버를 통해 공유기에 연결된 외부 저장장치에 있는 파일을 볼 수 있습니다. 일반적으로 이는 원격 작업, 개인 클라우드 또는 일종의 P2P 파일 다운로드를 위한 NAS입니다. 이러한 미디어의 모든 콘텐츠는 Google 및 기타 검색 엔진에 의해 색인화되므로 직접 링크를 통해 외부 드라이브에 저장된 파일에 액세스할 수 있습니다.

구성을 살펴보면

클라우드로의 광범위한 마이그레이션 이전에는 단순 FTP 서버가 원격 스토리지로 사용되었으며 이 역시 취약점이 많았습니다. 그 중 다수는 오늘날에도 여전히 관련이 있습니다. 예를 들어, 널리 사용되는 WS_FTP Professional 프로그램은 ws_ftp.ini 파일에 구성 데이터, 사용자 계정 및 비밀번호를 저장합니다. 모든 기록은 텍스트 형식으로 저장되며, 비밀번호는 난독화를 최소화한 Triple DES 알고리즘으로 암호화되므로 찾기 및 읽기가 쉽습니다. 대부분의 버전에서는 첫 번째 바이트를 삭제하는 것만으로도 충분합니다.

WS_FTP 비밀번호 해독기 유틸리티나 무료 웹 서비스를 사용하면 이러한 비밀번호를 쉽게 해독할 수 있습니다.

임의의 웹사이트 해킹에 관해 이야기할 때 일반적으로 CMS 또는 전자 상거래 애플리케이션의 구성 파일 백업 및 로그에서 비밀번호를 얻는 것을 의미합니다. 일반적인 구조를 알면 키워드를 쉽게 표시할 수 있습니다. ws_ftp.ini에 있는 것과 같은 줄은 매우 일반적입니다. 예를 들어 Drupal과 PrestaShop에는 항상 사용자 식별자(UID)와 해당 비밀번호(pwd)가 있으며 모든 정보는 .inc 확장자를 가진 파일에 저장됩니다. 다음과 같이 검색할 수 있습니다.

"pwd=" "UID=" 내선:inc

DBMS 비밀번호 공개

SQL 서버의 구성 파일에는 사용자 이름과 이메일 주소가 일반 텍스트로 저장되고 해당 MD5 ​​해시가 비밀번호 대신 기록됩니다. 엄밀히 말하면 암호를 해독하는 것은 불가능하지만 알려진 해시-비밀번호 쌍 중에서 일치하는 항목을 찾을 수 있습니다.

비밀번호 해싱조차 사용하지 않는 DBMS가 여전히 있습니다. 이들 중 하나의 구성 파일은 브라우저에서 간단히 볼 수 있습니다.

텍스트:DB_PASSWORD 파일 유형:env

Windows 서버의 출현으로 구성 파일의 위치는 레지스트리에서 부분적으로 차지했습니다. reg를 파일 유형으로 사용하여 정확히 동일한 방식으로 해당 분기를 검색할 수 있습니다. 예를 들어 다음과 같습니다.

파일 형식:reg HKEY_CURRENT_USER "비밀번호"=

당연한 사실을 잊지 말자

때로는 실수로 공개되어 Google의 주목을 받은 데이터를 사용하여 기밀 정보에 접근하는 것이 가능합니다. 이상적인 옵션은 일반적인 형식의 비밀번호 목록을 찾는 것입니다. 절박한 사람들만이 계정 정보를 텍스트 파일, Word 문서 또는 Excel 스프레드시트에 저장할 수 있지만 항상 충분합니다.

파일 형식:xls inurl:비밀번호

한편으로는 그러한 사고를 예방할 수 있는 방법이 많이 있습니다. htaccess에 적절한 액세스 권한을 지정하고 CMS를 패치하며 왼손 스크립트를 사용하지 말고 다른 구멍을 닫아야 합니다. 검색 엔진이 지정된 파일과 디렉터리를 색인화하는 것을 금지하는 robots.txt 예외 목록이 포함된 파일도 있습니다. 반면에 일부 서버의 robots.txt 구조가 표준 서버와 다른 경우 서버에서 무엇을 숨기려고 하는지 즉시 알 수 있습니다.

모든 사이트의 디렉터리 및 파일 목록 앞에는 표준 색인이 붙습니다. 서비스 목적을 위해서는 제목에 표시되어야 하므로 검색을 제목 연산자로 제한하는 것이 합리적입니다. 흥미로운 내용은 /admin/, /personal/, /etc/ 및 심지어 /secret/ 디렉토리에 있습니다.

업데이트를 계속 지켜봐주세요

여기서 관련성은 매우 중요합니다. 오래된 취약점은 매우 느리게 해결되지만 Google과 Google의 검색 결과는 지속적으로 변경됩니다. "마지막 순간" 필터(요청 URL 끝에 &tbs=qdr:s)와 "실시간" 필터(&tbs=qdr:1) 사이에도 차이가 있습니다.

파일의 마지막 업데이트 날짜의 시간 간격도 Google에서 암시적으로 표시합니다. 그래픽 웹 인터페이스를 통해 표준 기간(시, 일, 주 등) 중 하나를 선택하거나 날짜 범위를 설정할 수 있지만 이 방법은 자동화에 적합하지 않습니다.

주소 표시줄의 모양을 보면 &tbs=qdr: 구성을 사용하여 결과 출력을 제한하는 방법만 추측할 수 있습니다. 1년 제한을 설정한 뒤의 문자 y(&tbs=qdr:y), m은 지난 달의 결과를 표시합니다. w - 이번 주, d - 지난 날, h - 지난 시간, n - 잠시 동안, 그리고 s - 잠시만 기다려주세요. Google이 방금 공개한 가장 최근 결과는 &tbs=qdr:1 필터를 사용하여 찾을 수 있습니다.

영리한 스크립트를 작성해야 하는 경우 날짜 범위 연산자를 사용하여 Google에서 날짜 범위가 율리우스 형식으로 설정되어 있다는 것을 아는 것이 유용할 것입니다. 예를 들어, 2015년 1월 1일부터 7월 1일까지 다운로드된 기밀 단어가 포함된 PDF 문서 목록을 찾는 방법입니다.

기밀 파일 형식:pdf 날짜 범위:2457024-2457205

범위는 분수 부분을 고려하지 않고 율리우스력 날짜 형식으로 표시됩니다. 그레고리력에서 수동으로 번역하는 것은 불편합니다. 날짜 변환기를 사용하는 것이 더 쉽습니다.

다시 타겟팅 및 필터링

검색 쿼리에 추가 연산자를 지정하는 것 외에도 링크 본문에서 직접 보낼 수 있습니다. 예를 들어, filetype:pdf 사양은 as_filetype=pdf 구성에 해당합니다. 이렇게 하면 설명을 묻는 것이 편리해집니다. 검색 URL에 cr=countryHN 구문을 추가하여 온두라스 공화국의 결과 출력만 지정하고 Bobruisk 시(gcs=Bobruisk)에서만 결과 출력을 지정한다고 가정해 보겠습니다. 개발자 섹션에서 전체 목록을 찾을 수 있습니다.

Google의 자동화 도구는 삶을 더 쉽게 만들도록 설계되었지만 종종 문제를 추가합니다. 예를 들어, 사용자의 도시는 WHOIS를 통해 사용자의 IP에 의해 결정됩니다. 이 정보를 바탕으로 Google은 서버 간의 부하 균형을 조정할 뿐만 아니라 검색 결과도 변경합니다. 지역에 따라 동일한 요청에 대해 첫 번째 페이지에 다른 결과가 나타나며 일부는 완전히 숨겨질 수 있습니다. gl=country 지시문 뒤의 두 글자 코드는 국제적인 느낌을 주고 모든 국가의 정보를 검색하는 데 도움이 됩니다. 예를 들어 네덜란드의 코드는 NL이지만 바티칸과 북한은 구글에 자체 코드가 없습니다.

여러 고급 필터를 사용해도 검색 결과가 복잡해지는 경우가 많습니다. 이 경우 여러 예외 단어를 추가하여 요청을 명확하게 하는 것이 쉽습니다(각 예외 단어 앞에 빼기 기호가 표시됨). 예를 들어, 뱅킹, 이름, 튜토리얼 등은 개인이라는 단어와 함께 사용되는 경우가 많습니다. 따라서 더 깔끔한 검색 결과는 교과서적인 쿼리 예시가 아닌 정제된 예시로 표시됩니다.

제목:"/개인/색인" -names -tutorial -banking

마지막 예

정교한 해커는 필요한 모든 것을 스스로 제공한다는 점에서 구별됩니다. 예를 들어, VPN은 편리하지만 비용이 많이 들거나 일시적이고 제한이 있습니다. 자신을 위해 구독을 신청하는 것은 비용이 너무 많이 듭니다. 그룹 구독이 있다는 점은 좋은데, Google의 도움으로 그룹에 쉽게 가입할 수 있습니다. 이렇게 하려면 표준이 아닌 PCF 확장자와 인식 가능한 경로(Program Files\Cisco Systems\VPN Client\Profiles)가 있는 Cisco VPN 구성 파일을 찾으십시오. 예를 들어, 한 번의 요청으로 본 대학교의 친절한 팀에 합류하게 됩니다.

파일 유형:pcf vpn OR 그룹

정보

Google은 비밀번호 구성 파일을 찾았지만 그 중 상당수가 암호화되거나 해시로 대체되었습니다. 고정 길이의 문자열이 보이면 즉시 암호 해독 서비스를 찾으십시오.

비밀번호는 암호화되어 저장되지만 Maurice Massard는 이미 비밀번호를 해독하는 프로그램을 작성하여 thecampusgeeks.com을 통해 무료로 제공하고 있습니다.

Google은 수백 가지의 다양한 유형의 공격과 침투 테스트를 실행합니다. 인기 있는 프로그램, 주요 데이터베이스 형식, PHP의 수많은 취약점, 클라우드 등에 영향을 미치는 다양한 옵션이 있습니다. 찾고 있는 것이 무엇인지 정확히 알면 필요한 정보(특히 공개할 의도가 없었던 정보)를 훨씬 쉽게 찾을 수 있습니다. Shodan은 흥미로운 아이디어를 제공하는 유일한 제품이 아니라 색인화된 네트워크 리소스의 모든 데이터베이스를 제공합니다!

모르는 번호로 전화를 걸어 코웃음을 치는 사람은 누구일까요? 토요일 파티 후 전화번호부에 나타난 '모르도르의 레나'는 누구인가? 페이스북 검색창에 전화번호 마지막 10자리를 입력하시면 답을 찾으실 수 있을 것입니다. 기본적으로 전화번호로 사람을 찾는 기능은 모든 사용자에게 활성화되어 있습니다.

이 트릭이 발생하는 것을 원하지 않으면 변경하십시오. 개인 정보 설정.

2. 메시지에서 "확인함" 상태를 비활성화합니다.

이 기능은 관계와 삶을 망칩니다! 물론, 개인적으로 고른 재미있는 사진과 중요한 뉴스가 공개적으로 무시되는 것을 누가 좋아하겠습니까?

지인의 메시지를 침착하게 답장하지 않는 사람이 아니라면 브라우저 확장 프로그램을 사용하십시오. 이는 Facebook 데스크톱 버전에서 "확인/미확인" 메시지 상태를 비활성화합니다. Chrome 브라우저의 경우 Facebook Unseen입니다. Firefox 및 Explorer의 경우 - 채팅이 감지되지 않습니다. 그러나 부정적인 점도 있습니다. 이러한 확장을 사용하면 읽기 상태도 볼 수 없습니다.

3. 짜증나는 친구들로부터 온라인 상태 숨기기

친구가 완전히 지쳤다면 그 사람과의 채팅을 끄십시오. 친구 목록이 있는 오른쪽 열의 톱니바퀴를 클릭하고 '고급 설정'을 선택하세요.

비활성화된 채팅의 메시지는 '받은 편지함' 폴더에 저장되지만 이전 지점과 달리 눈에 띄지 않게 읽을 수는 없습니다.

4. 뉴스피드에서 귀하가 구독하는 친구 및 커뮤니티의 게시물만 찾아보세요.

페이스북은 가능한 한 모든 사람을 수렁에 빠뜨리고 싶어합니다. 이것이 사용자가 친구가 좋아하고 댓글을 남긴 게시물을 표시하는 이유입니다. 하지만 내가 팔로우하는 친구나 커뮤니티의 게시물만 피드에 남기는 방법이 있습니다.

Chrome에 친구 피드 확장 프로그램을 설치하세요. 이를 통해 관련 없는 게시물이 숨겨지거나 회색 베일로 덮일 수 있습니다. 설정에서 선택하세요.

5. 숨겨진 메시지 읽기

어쩌면 당신의 삶이 보이는 것만큼 지루하지 않을 수도 있습니다. 어쩌면 당신은 꿈에 그리던 일에 부름을 받았을 수도 있고, 비밀리에 추종자들이 사랑을 고백했고, 그들의 추종자들이 당신을 죽이겠다고 위협했을 수도 있습니다. 하지만 당신은 그것에 대해 아무것도 몰랐습니다. 왜냐하면 Facebook은 낯선 사람이 보낸 메시지를 숨겨진 폴더에 보관하고 어떤 식으로든 이에 대해 알리지 않기 때문입니다. 기본 메시지 옆에 있는 "기타" 탭(많은 사람들에게 최근에는 "서신 요청"으로 불림)을 클릭하고 숨겨진 모든 내용을 확인하세요!

6. 엿보는 눈으로부터 친구 목록 숨기기

당신이 페이스북 지인들에 대해 왜 부끄러워하는지 추측도 하지 말자. 개인 페이지의 "친구" 탭으로 이동하여 연필을 클릭하고 Facebook 친구의 서클을 볼 수 있는 사람을 지정하세요.

7. 비디오 자동 재생 비활성화

단번에 피드에 마음의 평화를 가져오고 모바일 트래픽을 절약할 수 있습니다. 이렇게 하려면 자동 비디오 재생을 비활성화하십시오. 기본 Facebook 애플리케이션에서 계정 설정 > "비디오 및 사진" > "자동 재생"으로 이동하여 원하는 설정을 선택하세요.

8. Facebook에서 GIF 공유

당신은 GIF를 그만큼 좋아합니까? 답변이 긍정적인 경우 Facebook에서 공유하는 방법을 알려드리겠습니다. 상태 필드에 GIF 링크를 삽입하세요(예, 컴퓨터에서 직접 업로드할 수는 없습니다). 링크가 로드된 후에는 삭제할 수 있습니다. 게시.

9. 불필요한 드라마 없이 관계 상태를 바꾸세요

관계를 종료하기로 한 내부 결정과 이를 상대방에게 알리는 데 오랜 시간이 걸릴 수 있습니다. 그리고 저는 즉시 Facebook에서 새로운 낭만적인 모험을 찾아보고 싶습니다. 기본적으로 개인 생활의 변화에 ​​대한 알림은 모든 친구의 피드에 나타납니다. 따라서 "정보" > "가족 및 관계"에서 "나만" 설정을 선택하는 것을 잊지 마세요.

10. 나중에 읽을 수 있도록 흥미로운 게시물을 북마크에 추가하세요.

매일 수천 개의 게시물이 Facebook 피드에 나타나며, 일하는 아이디어를 완전히 포기하더라도 모든 것을 읽는 것은 불가능합니다. 다행히 소셜 네트워크에는 북마크 서비스가 내장되어 있습니다. 나중에 볼 수 있도록 게시물을 저장하려면 오른쪽 상단에 있는 화살표를 클릭하세요.