بيت › الملاحين › نحن نستخدم ميزات Google غير المعروفة للعثور على الأشياء المخفية. قصص Instagram: كيف ولماذا تستخدم هذه الميزة Alpha في عنوان جميع منشورات المستخدم

نحن نستخدم ميزات Google غير المعروفة للعثور على الأشياء المخفية. قصص Instagram: كيف ولماذا تستخدم هذه الميزة Alpha في عنوان جميع منشورات المستخدم

تتيح لك وظيفة القصص، أو "القصص" باللغة الروسية، إنشاء صور ومقاطع فيديو مدتها 10 ثوانٍ مع تراكب النص والرموز التعبيرية والملاحظات المكتوبة بخط اليد. الميزة الرئيسيةالشيء في مثل هذه المنشورات هو أنها، على عكس المنشورات العادية في خلاصتك، لا تعيش إلى الأبد ويتم حذفها بعد 24 ساعة بالضبط.

لماذا هو ضروري؟

وصف Instagram الرسمي يقول ذلك ميزة جديدةهناك حاجة لتبادل معلومات ليست مهمة جدًا حول الحياة اليومية.

كيفية استخدامها

في جوهره، الابتكار مشابه جدًا ويعمل تقريبًا بنفس الطريقة، ولكن مع اختلافات طفيفة. على الرغم من حقيقة أن الفرص قصص انستغرامليس الكثير منها وكلها بسيطة جدًا، ولا يمكن لجميع المستخدمين اكتشافها على الفور.

عرض القصص

يتم عرض جميع القصص المتاحة في الجزء العلوي من الخلاصة في شكل دوائر بها صور رمزية للمستخدم ويتم إخفاؤها أثناء التمرير. تظهر القصص الجديدة عند نشرها، وبعد يوم تختفي دون أن يترك أثرا. في هذه الحالة، لا يتم فرز القصص حسب الترتيب الزمني، ولكن حسب عدد دورات التشغيل والتعليقات.

للعرض، ما عليك سوى النقر على الدائرة. سيتم فتح الصورة أو الفيديو وعرضها لمدة 10 ثوانٍ. يؤدي النقر مع الاستمرار إلى إيقاف الفيديو مؤقتًا.

في الأعلى، بجانب اسم المستخدم، يظهر وقت النشر. إذا كان الأشخاص الذين تتابعهم لديهم قصص أخرى، فسيتم عرض القصص التالية مباشرة بعد القصة الأولى. يمكنك التبديل بينهما عن طريق التمرير إلى اليسار واليمين.

لا تختفي القصص التي شاهدتها بالفعل من القائمة، ولكنها تصبح باللون الرمادي. ويمكن فتحها مرة أخرى حتى يتم حذفها بعد يوم واحد.

يمكنك التعليق على القصص فقط باستخدام الرسائل التي يتم إرسالها إلى Direct وتكون مرئية فقط للمؤلف، وليس لجميع المشتركين. ما إذا كان هذا خطأ أو ميزة غير معروفة.

خلق القصص

يؤدي النقر فوق علامة الزائد الموجودة أعلى الخلاصة والتمرير من حافة الشاشة إلى اليمين إلى فتح القائمة لتسجيل قصة جديدة. كل شيء بسيط هنا: اضغط على زر التسجيل - نحصل على صورة، نضغط عليها باستمرار - نقوم بتصوير مقطع فيديو.

التصوير أو التحميل

يمكنك تبديل الكاميرات الأمامية والخلفية أو تشغيل الفلاش. من السهل أيضًا تحديد ملف وسائط من تلك التي تم تصويرها خلال الـ 24 ساعة الماضية: ويتم ذلك عن طريق التمرير لأسفل. يتم وضع جميع الصور من المعرض هنا، بما في ذلك اللقطات المتتابعة والصور المرتدة ذات العلامات التجارية.

علاج

عندما تصبح الصورة أو الفيديو جاهزة، يمكنك نشرها بعد معالجتها. بالنسبة لكل من الصور ومقاطع الفيديو، فإن الأدوات هي نفسها: المرشحات والنصوص والرموز التعبيرية والرسومات.

يتم تبديل المرشحات في دائرة بتمريرات بسيطة من حافة الشاشة. هناك ستة منها في المجمل، بما في ذلك تدرج قوس قزح كما هو الحال على أيقونة Instagram.

يمكن تكبير النص المضاف أو تصغيره أو نقله حول الصورة. لكن للأسف لا يمكنك ترك أكثر من تعليق واحد. يتم أيضًا إدراج الرموز التعبيرية في النص، لذلك إذا كنت تريد تغطية وجهك برمز تعبيري، فعليك الاختيار.

الرسم لديه المزيد من الخيارات قليلا. لدينا لوحة ألوان وثلاث فرش تحت تصرفنا: فرشاة عادية وفرشاة تحديد وفرشاة "نيون". يمكنك الرسم مع الجميع في وقت واحد، ويمكن التراجع عن ضربة سيئة.

يتسنكمبىشمىشسم؟ انقر فوق زر علامة الاختيار وسيكون الفيديو الخاص بك متاحًا للمشتركين. يمكن حفظه في المعرض قبل وبعد.

إعدادات الخصوصية والإحصائيات

يتم استدعاء شاشة الإعدادات والإحصائيات عن طريق التمرير لأعلى أثناء عرض القصة. من هنا يمكن حفظ القصة في المعرض أو حذفها أو نشرها في الموجز الرئيسي وتحويلها إلى مشاركة عادية. يتم عرض قائمة المتفرجين أدناه. ويمكنك إخفاء القصة عن أي منهم بالضغط على علامة الصليب الموجودة بجانب الاسم.

تتيح لك الإعدادات المخفية خلف رمز الترس اختيار من يمكنه الرد على قصصك وإخفاء القصة عن مشتركين معينين. وفي هذه الحالة، يتم تذكر إعدادات الخصوصية وتطبيقها على جميع المنشورات اللاحقة.

كيف تتعايش معها

بخير. نعم، كان الكثيرون معاديين للقصص بسبب التشابه مع Snapchat ومشاكل Instagram التي لم يتم حلها والتي يجب على المطورين التركيز عليها. لكنني أعتقد أن الابتكار مفيد.

مشكلة الموجز المزدحم، عندما يتعين عليك إلغاء متابعة الأصدقاء الذين ينشرون حرفيًا كل خطوة يتخذونها، موجودة منذ فترة طويلة، ولم يتم اختراع حل واضح على الإطلاق. ويمكن اعتبار القصص الخطوة الأولى نحو ذلك. بمرور الوقت، يجب أن يعتاد الأشخاص على ثقافة السلوك التي تقدمها، والبدء في نشر المحتوى المهم والجدير بالملاحظة فقط في خلاصتهم. كل شيء آخر يجب أن يذهب إلى القصص. انها حقيقة؟

في نهاية نوفمبر 2016، قدم فريق تطوير Telegram messenger خدمة جديدة للنشر عبر الإنترنت. تلغرافهي أداة خاصة تسمح لك بإنشاء نصوص ضخمة بناءً على لغة ترميز الويب خفيفة الوزن Markdown. باستخدام هذا النظام الأساسي، يمكنك نشر المقالات على الإنترنت مع الصور ومقاطع الفيديو والعناصر المضمنة الأخرى. وفي الوقت نفسه، لا يلزم التسجيل بالبيانات الشخصية، مما يجعل من الممكن الحفاظ على عدم الكشف عن هويته بالكامل.

ما هي الفرص التي تفتحها المنصة الجديدة للمدونين؟

وفقا لمطوري الخدمة، فإن المستخدم لديه الفرصة لتقديم المعلومات بنفس الطريقة التي تفعلها الوسائط التقليدية. لدى Telegraph كل ما تحتاجه لهذا:

ولإظهار تعدد استخدامات المنتج، نشر المطورون واجهة برمجة التطبيقات (API) على نطاق telegra.ph

خارجيًا، لا يختلف محتوى التلغراف عن المواد المنشورة على موارد الويب الخاصة بالوسائط العادية، ومع ذلك، فإن إخفاء هوية التأليف وعرض المقالات مباشرة في برنامج المراسلة يفتح فرصًا فريدة للمدونين المعاصرين. يتم تقديم المنشورات الأكثر إثارة للاهتمام التي تم إنشاؤها باستخدام الخدمة الجديدة بشكل ممتاز.

كيفية العمل مع التلغراف

لاستخدام هذه الأداة، يجب عليك زيارة www.telegra.ph. عند الذهاب إلى هذا العنوان، يأتي المستخدم عبر صفحة فارغة تقريبًا تحتوي على ثلاثة أسطر بسيطة: العنوان، اسمك، قصتك.

سطر العنوان مخصص لكتابة عنوان المقالة، والذي يشكل، مع تاريخ النشر، رابطًا للمحتوى. على سبيل المثال، مقالة "كيفية ترويج موقع ويب إلى أعلى 10"، المنشورة في 5 أبريل، سيكون لها الرابط: "http://telegra.ph/Kak-prodvinut-sajt-v-top-10-04-" 05."

واجهة أداة إنشاء المقالات telegra.ph بسيطة للغاية

عنصر اسمك اختياري. يمكن للمؤلف الإشارة إلى اسمه الحقيقي أو اسمه المستعار أو لقبه أو ترك السطر فارغًا تمامًا حتى لا يتمكن أحد من تحديد هويته. تعد القدرة على نشر المواد مع البقاء متخفيًا أمرًا مثيرًا للاهتمام. لكن معظم الكتاب سعداء بالإشارة إلى تأليفهم.
قصتك هي مجال لإنشاء المحتوى الرئيسي. وهذا يفتح أيضًا إمكانيات تنسيق النص التي تمت مناقشتها أعلاه. خوارزمية إنشاء مقالة بسيطة للغاية وبديهية، لذا لن يواجه المستخدمون أي صعوبات في كتابتها.

يتيح لك الرابط الفريد استخدام المواد المنشورة ليس فقط في Telegram، ولكن أيضًا على المواقع الأخرى. ومع ذلك، يمكن للمنشئ إجراء تغييرات على المحتوى في أي وقت. ومع ذلك، لا تعمل هذه الوظيفة إلا إذا تم حفظ ملفات تعريف الارتباط.

لإدارة جميع المقالات بسهولة، استخدم البوت

لإنشاء مقال، مطلوب الحد الأدنى من الإجراءات من المستخدم. ومع ذلك، فإن هذه السهولة قد الجانب المعاكس. لا يمكن إجراء المزيد من التحرير إلا على نفس الجهاز والمتصفح الذي تم نشر النص فيه لأول مرة. توقع المطورون هذا الموقف وأنشأوا روبوتًا خاصًا لإدارة المنشورات. دعونا قائمة وظائفها:

التفويض في التلغراف من حساب التليجرام الخاص بك. من خلال إنشاء إدخال بهذه الطريقة، يمكنك تسجيل الدخول إلى أي جهاز آخر والحصول على حق الوصول للتعديل. عند تسجيل الدخول لأول مرة على كل جهاز، سيعرض عليك الروبوت إضافة جميع المنشورات التي تم إنشاؤها مسبقًا إلى حسابك.
إحصائيات المشاهدات لأي مشاركة تلغراف. يأخذ هذا في الاعتبار جميع التحولات إلى المقالة، ليس فقط من Telegram، ولكن أيضًا من أي موارد خارجية. لا يمكنك تحليل منشوراتك الخاصة فحسب، بل يمكنك فقط إرسال الرابط الذي تهتم به إلى الروبوت.
يمكنك تعيين لقب دائم ورابط الملف الشخصي حتى لا تضطر إلى تحديدهما في كل مرة.

التلغراف - تهديد حقيقي لوسائل الإعلام التقليدية؟

تتطور برامج المراسلة، التي تنتمي بطبيعتها إلى المجال الإعلامي، بوتيرة سريعة، وتتحول إلى منصات ملائمة لنشر المعلومات المفيدة. لقد أدى ظهور خدمة مثل Telegraph إلى تسهيل إنشاء منصة أعمال كاملة لجذب المستخدم النهائي. لقد أدركت العديد من العلامات التجارية بالفعل أن هذا النوع من التواصل أصبح ذا أهمية متزايدة.

ومع ذلك، لا يزال من السابق لأوانه القول بأن برامج المراسلة الفورية بشكل عام والتلغراف بشكل خاص تخلق منافسة مباشرة مع وسائل الإعلام التقليدية. يتم تعريف هذه الخدمات من قبل الخبراء على أنها أداة إضافية لتوليد محتوى الإنترنت، والتي يمكن أن تكون مساعدة جيدة لوسائل الإعلام، ولكن في هذه المرحلة من التطوير غير قادرة على استيعابها بالكامل.

وسائل الإعلام عبر الإنترنت حذرة من المنصات المنافسة

الحصول على البيانات الخاصة لا يعني دائمًا القرصنة - ففي بعض الأحيان يتم نشرها الوصول العام. معرفة إعدادات جوجلوسيسمح لك القليل من البراعة بالعثور على الكثير من الأشياء المثيرة للاهتمام - بدءًا من أرقام بطاقات الائتمان وحتى مستندات مكتب التحقيقات الفيدرالي.

تحذير

يتم توفير جميع المعلومات لأغراض إعلامية فقط. لا يتحمل المحررون ولا المؤلف مسؤولية أي ضرر محتمل ناتج عن مواد هذه المقالة.

اليوم، كل شيء متصل بالإنترنت، مع القليل من الاهتمام بتقييد الوصول. ولذلك، تصبح العديد من البيانات الخاصة فريسة لمحركات البحث. لم تعد الروبوتات العنكبوتية مقتصرة على صفحات الويب، بل قامت بفهرسة جميع المحتويات المتوفرة على الإنترنت وإضافة المعلومات غير العامة باستمرار إلى قواعد بياناتها. من السهل اكتشاف هذه الأسرار، كل ما عليك فعله هو معرفة كيفية السؤال عنها.

أبحث عن الملفات

في الأيدي القادرة، ستجد Google بسرعة كل ما لم يتم العثور عليه على الإنترنت، على سبيل المثال، المعلومات الشخصية والملفات للاستخدام الرسمي. غالبًا ما تكون مخفية مثل مفتاح تحت السجادة: لا توجد قيود حقيقية على الوصول، فالبيانات موجودة ببساطة في الجزء الخلفي من الموقع، حيث لا توجد روابط تؤدي. توفر واجهة الويب القياسية لـ Google إعدادات البحث المتقدم الأساسية فقط، ولكن حتى هذه الإعدادات ستكون كافية.

يمكنك قصر بحث Google على نوع معين من الملفات باستخدام عاملين: filetype وext . الأول يحدد التنسيق الذي يحدده محرك البحث من عنوان الملف، والثاني يحدد امتداد الملف، بغض النظر عن محتواه الداخلي. عند البحث في كلتا الحالتين، ما عليك سوى تحديد الامتداد. في البداية، كان عامل التشغيل Ext مناسبًا للاستخدام في الحالات التي لا يحتوي فيها الملف على خصائص تنسيق محددة (على سبيل المثال، للبحث عن ملفات التكوين ini وcfg، والتي يمكن أن تحتوي على أي شيء). لقد تغيرت الآن خوارزميات Google، ولم يعد هناك فرق واضح بين عوامل التشغيل - ففي معظم الحالات تكون النتائج هي نفسها.

تصفية النتائج

افتراضيًا، يبحث Google عن الكلمات، وبشكل عام، عن أي أحرف تم إدخالها في جميع الملفات الموجودة على الصفحات المفهرسة. يمكنك تقييد بحثك حسب المجال افضل مستوىأو موقع معين أو في موقع التسلسل المطلوب في الملفات نفسها. بالنسبة للخيارين الأولين، استخدم عامل الموقع، متبوعًا باسم النطاق أو الموقع المحدد. في الحالة الثالثة، تسمح لك مجموعة كاملة من العوامل بالبحث عن المعلومات في مجالات الخدمة والبيانات الوصفية. على سبيل المثال، سيجد allinurl الرابط المحدد في نص الروابط نفسها، allinanchor - في النص المجهز بالعلامة ، allintitle - في عناوين الصفحات، allintext - في نص الصفحات.

يوجد لكل مشغل إصدار خفيف الوزن باسم أقصر (بدون البادئة الكل). الفرق هو أن allinurl سيجد روابط مع كل الكلمات، وinurl سيجد روابط مع أولها فقط. يمكن أن تظهر الكلمات الثانية واللاحقة من الاستعلام في أي مكان على صفحات الويب. يختلف عامل inurl أيضًا عن عامل آخر له نفس المعنى - site. يتيح لك الأول أيضًا العثور على أي تسلسل من الأحرف في رابط للمستند الذي تم البحث عنه (على سبيل المثال، /cgi-bin/)، والذي يستخدم على نطاق واسع للعثور على المكونات ذات الثغرات الأمنية المعروفة.

دعونا نحاول ذلك في الممارسة العملية. نحن نأخذ مرشح allintext ونجعل الطلب ينتج قائمة بالأرقام وأكواد التحقق من بطاقات الائتمان التي ستنتهي صلاحيتها خلال عامين فقط (أو عندما يتعب أصحابها من إطعام الجميع).

Allintext: تاريخ انتهاء صلاحية رقم البطاقة /2017 CVV

عندما تقرأ في الأخبار أن أحد المتسللين الشباب "اخترق خوادم" البنتاغون أو ناسا، وسرق معلومات سرية، فإننا نتحدث في معظم الحالات عن هذه التقنية الأساسية لاستخدام Google. لنفترض أننا مهتمون بقائمة موظفي ناسا ومعلومات الاتصال الخاصة بهم. بالتأكيد هذه القائمة متاحة في شكل إلكتروني. ولتسهيل الأمر أو بسبب الرقابة، قد يكون ذلك أيضًا على موقع المنظمة نفسه. ومن المنطقي أنه في هذه الحالة لن تكون هناك روابط له، لأنه مخصص للاستخدام الداخلي. ما هي الكلمات التي يمكن أن تكون في مثل هذا الملف؟ كحد أدنى - حقل "العنوان". إن اختبار كل هذه الافتراضات أمر سهل.

Inurl:nasa.gov نوع الملف:xlsx "العنوان"

نحن نستخدم البيروقراطية

يجد مثل هذا لمسة لطيفة. يتم توفير صيد قوي حقًا من خلال معرفة أكثر تفصيلاً بمشغلي Google لمشرفي المواقع، والشبكة نفسها، وخصائص هيكل ما يتم البحث عنه. من خلال معرفة التفاصيل، يمكنك بسهولة تصفية النتائج وتحسين خصائص الملفات الضرورية للحصول على بيانات قيمة حقًا في الباقي. من المضحك أن البيروقراطية تأتي للإنقاذ هنا. إنها تنتج تركيبات قياسية ملائمة للبحث عن المعلومات السرية التي تسربت عن طريق الخطأ إلى الإنترنت.

على سبيل المثال، يعني ختم بيان التوزيع، الذي تطلبه وزارة الدفاع الأمريكية، قيودًا موحدة على توزيع المستند. يشير الحرف "أ" إلى الإصدارات العامة التي لا يوجد فيها أي سر؛ ب - مخصص للاستخدام الداخلي فقط، ج - سري تمامًا، وهكذا حتى F. يتم تمييز الحرف X بشكل منفصل، والذي يشير إلى معلومات قيمة بشكل خاص تمثل سر دولة على أعلى مستوى. دع أولئك الذين من المفترض أن يقوموا بذلك أثناء الخدمة يبحثون عن مثل هذه المستندات، وسوف نقتصر على الملفات التي تحتوي على الحرف C. وفقًا لتوجيه وزارة الدفاع الأمريكية رقم 5230.24، يتم تعيين هذه العلامة للمستندات التي تحتوي على وصف للتكنولوجيات المهمة التي تقع تحت مراقبة الصادرات . يمكنك العثور على مثل هذه المعلومات المحمية بعناية على المواقع الموجودة في نطاق المستوى الأعلى.mil، المخصص للجيش الأمريكي.

"بيان التوزيع ج" inurl:navy.mil

من المريح جدًا أن يحتوي النطاق .mil فقط على مواقع تابعة لوزارة الدفاع الأمريكية والمنظمات المتعاقدة معها. تكون نتائج البحث مع تقييد النطاق نظيفة بشكل استثنائي، والعناوين تتحدث عن نفسها. البحث عن الأسرار الروسية بهذه الطريقة عديم الفائدة من الناحية العملية: الفوضى تسود في domains.ru و.rf، وأسماء العديد من أنظمة الأسلحة تبدو وكأنها نباتية (PP "Kiparis"، مدافع ذاتية الدفع "Akatsia") أو حتى رائعة ( شروط الخدمة "بينوكينو").

من خلال دراسة أي مستند بعناية من موقع في النطاق .mil، يمكنك رؤية علامات أخرى لتحسين بحثك. على سبيل المثال، إشارة إلى قيود التصدير "Sec 2751"، وهي أيضًا ملائمة للبحث عن معلومات فنية مثيرة للاهتمام. من وقت لآخر، تتم إزالته من المواقع الرسمية التي ظهر فيها ذات مرة، لذلك إذا لم تتمكن من اتباع رابط مثير للاهتمام في نتائج البحث، فاستخدم ذاكرة التخزين المؤقت لـ Google (مشغل ذاكرة التخزين المؤقت) أو موقع أرشيف الإنترنت.

الصعود إلى السحاب

بالإضافة إلى المستندات الحكومية التي تم رفع السرية عنها عن طريق الخطأ، تظهر أحيانًا روابط للملفات الشخصية من Dropbox وخدمات تخزين البيانات الأخرى التي تنشئ روابط "خاصة" للبيانات المنشورة علنًا في ذاكرة التخزين المؤقت لـ Google. والأمر أسوأ مع الخدمات البديلة والمحلية الصنع. على سبيل المثال، يبحث الاستعلام التالي عن بيانات لجميع عملاء Verizon الذين لديهم خادم FTP مثبتًا ويستخدمون جهاز التوجيه الخاص بهم بشكل نشط.

ألينورل: بروتوكول نقل الملفات: // verizon.net

يوجد الآن أكثر من أربعين ألفًا من هؤلاء الأشخاص الأذكياء، وفي ربيع عام 2015 كان هناك الكثير منهم. بدلاً من Verizon.net، يمكنك استبدال اسم أي مزود معروف، وكلما كان أكثر شهرة، كلما كان المصيد أكبر. من خلال خادم FTP المدمج، يمكنك رؤية الملفات الموجودة على جهاز تخزين خارجي متصل بجهاز التوجيه. عادة ما يكون هذا NAS للعمل عن بعد، أو سحابة شخصية، أو نوع من تنزيل الملفات من نظير إلى نظير. تتم فهرسة جميع محتويات هذه الوسائط بواسطة Google ومحركات البحث الأخرى، حتى تتمكن من الوصول إلى الملفات المخزنة على محركات الأقراص الخارجية عبر رابط مباشر.

النظر في التكوينات

قبل الانتشار الواسع النطاق إلى السحابة، كانت خوادم FTP البسيطة بمثابة تخزين عن بعد، والتي كانت تحتوي أيضًا على الكثير من نقاط الضعف. كثير منهم لا يزال ذات صلة اليوم. على سبيل المثال، يقوم برنامج WS_FTP Professional الشهير بتخزين بيانات التكوين وحسابات المستخدمين وكلمات المرور في ملف ws_ftp.ini. من السهل العثور عليها وقراءتها، حيث يتم حفظ جميع السجلات بتنسيق نصي، ويتم تشفير كلمات المرور باستخدام خوارزمية Triple DES بعد أقل قدر من التشويش. في معظم الإصدارات، يكفي تجاهل البايت الأول.

من السهل فك تشفير كلمات المرور هذه باستخدام الأداة المساعدة WS_FTP Password Decryptor أو خدمة ويب مجانية.

عند الحديث عن اختراق موقع ويب عشوائي، فهذا يعني عادةً الحصول على كلمة مرور من السجلات والنسخ الاحتياطية لملفات التكوين الخاصة بنظام إدارة المحتوى (CMS) أو تطبيقات التجارة الإلكترونية. إذا كنت تعرفهم هيكل نموذجي، يمكنك بسهولة تحديد الكلمات الرئيسية. الخطوط المشابهة لتلك الموجودة في ws_ftp.ini شائعة للغاية. على سبيل المثال، يوجد دائمًا في Drupal وPrestaShop معرف مستخدم (UID) وكلمة مرور مقابلة (pwd)، ويتم تخزين جميع المعلومات في ملفات ذات ملحق .inc. ويمكنك البحث عنهم كالتالي:

"pwd=" "UID=" ext:inc

الكشف عن كلمات مرور نظام إدارة قواعد البيانات (DBMS).

في ملفات التكوين لخوادم SQL والأسماء والعناوين بريد إلكترونييتم تخزين المستخدمين بنص واضح، وبدلاً من كلمات المرور، يتم تسجيل تجزئات MD5 الخاصة بهم. بالمعنى الدقيق للكلمة، من المستحيل فك تشفيرها، ولكن يمكنك العثور على تطابق بين أزواج كلمة المرور المعروفة.

لا تزال هناك أنظمة إدارة قواعد البيانات (DBMS) التي لا تستخدم حتى تجزئة كلمة المرور. يمكن ببساطة عرض ملفات التكوين الخاصة بأي منها في المتصفح.

Intext: نوع الملف DB_PASSWORD: env

منذ ظهوره على خوادم ويندوزتم أخذ مكان ملفات التكوين جزئيًا بواسطة التسجيل. يمكنك البحث في فروعه بنفس الطريقة تمامًا، باستخدام reg كنوع الملف. على سبيل المثال، مثل هذا:

نوع الملف:reg HKEY_CURRENT_USER "كلمة المرور"=

دعونا لا ننسى ما هو واضح

في بعض الأحيان يكون من الممكن الوصول إلى معلومات سرية عن طريق فتحها عن طريق الخطأ وضبطها في مجال الرؤية بيانات جوجل. خيار مثالي- ابحث عن قائمة كلمات المرور في بعض التنسيقات الشائعة. تخزين معلومات الحساب في ملف نصي, وثيقة كلمةأو لا يمكن تنفيذ جدول بيانات Excel إلا من قبل الأشخاص اليائسين، ولكن هناك دائمًا ما يكفي منهم.

نوع الملف: XLS inurl: كلمة المرور

من ناحية، هناك الكثير من الوسائل لمنع مثل هذه الحوادث. من الضروري تحديد حقوق الوصول الكافية في htaccess، وتصحيح نظام إدارة المحتوى (CMS)، وعدم استخدام البرامج النصية اليسرى وإغلاق الثغرات الأخرى. يوجد أيضًا ملف يحتوي على قائمة استثناءات ملف robots.txt والتي تمنع محركات البحث من فهرسة الملفات والأدلة المحددة فيه. من ناحية أخرى، إذا كانت بنية ملف robots.txt على بعض الخوادم تختلف عن البنية القياسية، فسيصبح من الواضح على الفور ما يحاولون إخفاءه عليه.

قائمة الدلائل والملفات الموجودة على أي موقع مسبوقة بفهرس قياسي لـ. نظرًا لأنه يجب أن يظهر في العنوان لأغراض الخدمة، فمن المنطقي قصر البحث على عامل التشغيل intitle. توجد أشياء مثيرة للاهتمام في المجلدات /admin/ و/personal/ و/etc/ وحتى /secret/.

ترقبوا التحديثات

تعتبر الملاءمة مهمة للغاية هنا: يتم إغلاق الثغرات الأمنية القديمة ببطء شديد، لكن Google ونتائج البحث الخاصة به تتغير باستمرار. بل إن هناك فرقًا بين مرشح "الثانية الأخيرة" (&tbs=qdr:s في نهاية عنوان URL للطلب) ومرشح "الوقت الفعلي" (&tbs=qdr:1).

الفاصل الزمني للتاريخ اخر تحديثيشير Google أيضًا إلى الملف ضمنيًا. من خلال واجهة الويب الرسومية، يمكنك تحديد إحدى الفترات القياسية (ساعة، يوم، أسبوع، إلخ) أو تعيين نطاق زمني، لكن هذه الطريقة غير مناسبة للأتمتة.

من مظهر شريط العناوين، يمكنك فقط تخمين طريقة الحد من إخراج النتائج باستخدام البناء &tbs=qdr:. الحرف y بعد أن يحدد حد السنة (&tbs=qdr:y)، m يظهر نتائج الشهر الماضي، w - للأسبوع، d - لليوم الماضي، h - للساعة الأخيرة، n - للدقيقة، وs - لأعطني ثانية. تم العثور على أحدث النتائج التي أعلنها Google للتو باستخدام الفلتر &tbs=qdr:1 .

إذا كنت بحاجة إلى كتابة برنامج نصي ذكي، فسيكون من المفيد معرفة أن النطاق الزمني محدد في Google بتنسيق جولياني باستخدام عامل تشغيل النطاق الزمني. على سبيل المثال، هذه هي الطريقة التي يمكنك من خلالها العثور على القائمة وثائق PDFمع كلمة سري، تم تحميله في الفترة من 1 يناير إلى 1 يوليو 2015.

نوع الملف السري: نطاق تاريخ pdf:2457024-2457205

تتم الإشارة إلى النطاق بتنسيق التاريخ اليولياني دون مراعاة الجزء الكسري. إن ترجمتها يدويًا من التقويم الغريغوري أمر غير مريح. من الأسهل استخدام محول التاريخ.

الاستهداف والتصفية مرة أخرى

بالإضافة إلى تحديد عوامل تشغيل إضافية في استعلام البحث، يمكن إرسالها مباشرة في نص الرابط. على سبيل المثال، تتوافق مواصفات filetype:pdf مع البنية as_filetype=pdf . وهذا يجعل من السهل طلب أي توضيحات. لنفترض أنه تم تحديد إخراج النتائج من جمهورية هندوراس فقط عن طريق إضافة الإنشاء cr=countryHN إلى عنوان URL للبحث، ومن مدينة Bobruisk فقط - gcs=Bobruisk. يمكنك العثور على قائمة كاملة في قسم المطورين.

تم تصميم أدوات التشغيل الآلي من Google لتسهيل الحياة، ولكنها غالبًا ما تضيف مشكلات. على سبيل المثال، يتم تحديد مدينة المستخدم من خلال عنوان IP الخاص بالمستخدم من خلال WHOIS. واستنادًا إلى هذه المعلومات، لا يقوم Google بموازنة التحميل بين الخوادم فحسب، بل يقوم أيضًا بتغيير نتائج البحث. اعتمادًا على المنطقة، ستظهر نتائج مختلفة لنفس الطلب في الصفحة الأولى، وقد يكون بعضها مخفيًا تمامًا. سيساعدك الرمز المكون من حرفين الموجود بعد التوجيه gl=country على الشعور بأنك عالمي والبحث عن معلومات من أي بلد. على سبيل المثال، رمز هولندا هو NL، لكن الفاتيكان وكوريا الشمالية ليس لديهما رمز خاص بهما في Google.

في كثير من الأحيان، تنتهي نتائج البحث بالفوضى حتى بعد استخدام العديد من المرشحات المتقدمة. وفي هذه الحالة يسهل توضيح الطلب بإضافة عدة كلمات استثناءية إليه (توضع علامة الطرح أمام كل منها). على سبيل المثال، غالبًا ما يتم استخدام الخدمات المصرفية والأسماء والبرامج التعليمية مع كلمة "شخصي". لذلك، لن يتم عرض نتائج البحث الأنظف من خلال مثال كتابي للاستعلام، ولكن من خلال مثال محسّن:

Intitle:"فهرس /شخصي/" -الأسماء -البرنامج التعليمي -الخدمات المصرفية

مثال أخير

يتميز الهاكر المتطور بأنه يوفر لنفسه كل ما يحتاجه بنفسه. على سبيل المثال، تعد VPN أمرًا مناسبًا، ولكنها إما باهظة الثمن، أو مؤقتة ومع قيود. يعد التسجيل للحصول على اشتراك لنفسك أمرًا مكلفًا للغاية. من الجيد أن هناك اشتراكات جماعية، ولكن مع باستخدام جوجلمن السهل أن تصبح جزءًا من مجموعة. للقيام بذلك، ما عليك سوى العثور على ملف تكوين Cisco VPN، الذي يحتوي على امتداد PCF غير قياسي ومسار يمكن التعرف عليه: Program Files\Cisco Systems\VPN Client\Profiles. طلب واحد وتنضم، على سبيل المثال، إلى فريق جامعة بون الودود.

نوع الملف: pcf VPN أو المجموعة

معلومات

يعثر Google على ملفات تكوين كلمة المرور، ولكن يتم تشفير الكثير منها أو استبدالها بالتجزئة. إذا رأيت سلاسل ذات طول ثابت، فابحث فورًا عن خدمة فك التشفير.

يتم تخزين كلمات المرور مشفرة، لكن موريس ماسارد قام بالفعل بكتابة برنامج لفك تشفيرها ويوفره مجانًا من خلال موقع thecampusgeeks.com.

جوجل تفعل مئات الأشياء أنواع مختلفةالهجمات واختبارات الاختراق. هناك العديد من الخيارات التي تؤثر على البرامج الشائعة وتنسيقات قواعد البيانات الرئيسية والعديد من نقاط الضعف في PHP والسحابات وما إلى ذلك. إن معرفة ما تبحث عنه بالضبط سيجعل من السهل جدًا العثور على المعلومات التي تحتاجها (خاصة المعلومات التي لم تكن تنوي نشرها للعامة). Shodan ليس الوحيد الذي يتغذى بالأفكار المثيرة للاهتمام، بل كل قاعدة بيانات لموارد الشبكة المفهرسة!

القرصنة مع جوجل

الكسندر أنتيبوف

محرك البحث نظام جوجل(www.google.com) يوفر العديد من خيارات البحث. كل هذه الميزات هي أداة بحث لا تقدر بثمن لمستخدم جديد على الإنترنت وفي الوقت نفسه سلاح أكثر قوة للغزو والتدمير في أيدي الأشخاص ذوي النوايا الشريرة، بما في ذلك ليس فقط المتسللين، ولكن أيضًا مجرمي الكمبيوتر وغير الكمبيوتر. حتى الإرهابيين.
(9475 مشاهدة في أسبوع واحد)

دينيس بارانكوف
denisNOSPAMixi.ru

انتباه:هذه المقالة ليست دليلا للعمل. تمت كتابة هذه المقالة من أجلكم، أيها المسؤولون عن خوادم الويب، حتى تفقدوا الشعور الزائف بأنكم آمنون، وستفهمون أخيرًا خبث هذه الطريقة في الحصول على المعلومات وتتولى مهمة حماية موقعك.

مقدمة

على سبيل المثال، وجدت 1670 صفحة في 0.14 ثانية!

2. دعنا ندخل سطراً آخر، على سبيل المثال:

inurl:"auth_user_file.txt"

أقل قليلاً، ولكن هذا يكفي للتنزيل المجاني وتخمين كلمة المرور (باستخدام نفس John The Ripper). أدناه سأقدم عددًا من الأمثلة الإضافية.

لذا، عليك أن تدرك أن محرك بحث Google قد قام بزيارة معظم مواقع الإنترنت وقام بتخزين المعلومات الموجودة عليها مؤقتًا. تتيح لك هذه المعلومات المخزنة مؤقتًا الحصول على معلومات حول الموقع ومحتوى الموقع دون الاتصال المباشر بالموقع، وذلك فقط من خلال الخوض في المعلومات المخزنة داخل جوجل. علاوة على ذلك، إذا لم تعد المعلومات الموجودة على الموقع متاحة، فقد تظل المعلومات الموجودة في ذاكرة التخزين المؤقت محفوظة. كل ما تحتاجه لهذه الطريقة هو معرفة بعض الكلمات الرئيسية لجوجل. هذه التقنية تسمى Google Hacking.

ظهرت المعلومات حول Google Hacking لأول مرة في القائمة البريدية لـ Bugtruck منذ 3 سنوات. في عام 2001، أثار هذا الموضوع طالب فرنسي. إليك رابط لهذه الرسالة http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. ويقدم الأمثلة الأولى لمثل هذه الاستعلامات:

1) فهرس /admin
2) فهرس /كلمة المرور
3) فهرس /البريد
4) فهرس / +banques +filetype:xls (لفرنسا...)
5) مؤشر / +passwd
6) فهرس /password.txt

أثار هذا الموضوع ضجة في قسم القراءة باللغة الإنجليزية على الإنترنت مؤخرًا: بعد مقال جوني لونج، الذي نُشر في 7 مايو 2004. للحصول على دراسة أكثر اكتمالاً عن Google Hacking، أنصحك بالذهاب إلى موقع هذا المؤلف http://johnny.ihackstuff.com. في هذه المقالة أريد فقط أن أقدم لك آخر المستجدات.

من يمكنه استخدام هذا:
- يمكن للصحفيين والجواسيس وجميع الأشخاص الذين يحبون دس أنوفهم في شؤون الآخرين استخدام هذا للبحث عن أدلة تدينهم.
- يبحث الهاكرز عن أهداف مناسبة للاختراق.

كيف يعمل جوجل.

لمواصلة المحادثة، اسمحوا لي أن أذكركم ببعض الكلمات الرئيسية المستخدمة في استعلامات Google.

البحث باستخدام علامة +

يستبعد Google الكلمات التي يعتبرها غير مهمة من عمليات البحث. على سبيل المثال، كلمات الاستفهام وحروف الجر والمقالات باللغة الإنجليزية: على سبيل المثال، من، أين. بالروسية لغة جوجليبدو أن النظر في كل الكلمات مهمة. إذا تم استبعاد كلمة من البحث، يكتب جوجل عنها. لكي يبدأ جوجل في البحث عن الصفحات التي تحتوي على هذه الكلمات، عليك إضافة علامة + بدون مسافة قبل الكلمة. على سبيل المثال:

الآس + القاعدة

البحث باستخدام الإشارة –

إذا عثر Google على عدد كبير من الصفحات التي يحتاج إلى استبعاد الصفحات التي تحتوي على موضوع معين، فيمكنك إجبار Google على البحث فقط عن الصفحات التي لا تحتوي على كلمات معينة. للقيام بذلك، تحتاج إلى الإشارة إلى هذه الكلمات عن طريق وضع علامة أمام كل منها - بدون مسافة قبل الكلمة. على سبيل المثال:

صيد السمك - الفودكا

البحث باستخدام ~

قد ترغب في البحث ليس فقط عن الكلمة المحددة، ولكن أيضًا عن مرادفاتها. للقيام بذلك، قم بوضع الرمز ~ قبل الكلمة.

العثور على عبارة محددة باستخدام علامات الاقتباس المزدوجة

يبحث Google في كل صفحة عن جميع تكرارات الكلمات التي كتبتها في سلسلة الاستعلام، ولا يهتم بالموضع النسبي للكلمات، طالما أن جميع الكلمات المحددة موجودة في الصفحة في نفس الوقت (هذا الإجراء الافتراضي). للعثور على العبارة الدقيقة، تحتاج إلى وضعها بين علامتي اقتباس. على سبيل المثال:

"الغلاف"

للحصول على واحدة على الأقل من الكلمات المحددة، يجب عليك تحديد العملية المنطقية بشكل صريح: OR. على سبيل المثال:

سلامة الكتاب أو الحماية

بالإضافة إلى ذلك، يمكنك استخدام علامة * في شريط البحث للإشارة إلى أي كلمة و. لتمثيل أي شخصية.

البحث عن الكلمات باستخدام عوامل تشغيل إضافية

توجد عوامل تشغيل بحث محددة في سلسلة البحث بالتنسيق:

عامل التشغيل:search_term

ليست هناك حاجة للمسافات بجانب القولون. إذا قمت بإدراج مسافة بعد النقطتين، فستظهر لك رسالة خطأ، وقبلها، سيستخدمها Google كسلسلة بحث عادية.
هناك مجموعات من عوامل تشغيل البحث الإضافية: اللغات - حدد اللغة التي تريد رؤية النتيجة بها، والتاريخ - حدد النتائج خلال الأشهر الثلاثة أو الستة أو الاثني عشر الماضية، والأحداث - حدد المكان الذي تريد البحث عنه في المستند السطر: في كل مكان، في العنوان، في عنوان URL، المجالات - البحث في الموقع المحدد أو، على العكس من ذلك، استبعاده من البحث؛ البحث الآمن - حظر المواقع التي تحتوي على النوع المحدد من المعلومات وإزالتها من صفحات نتائج البحث.
ومع ذلك، فإن بعض عوامل التشغيل لا تتطلب معلمة إضافية، على سبيل المثال الطلب " ذاكرة التخزين المؤقت: www.google.com" يمكن استدعاؤها كسلسلة بحث كاملة، وبعض الكلمات الرئيسية، على العكس من ذلك، تتطلب كلمة بحث، على سبيل المثال " الموقع: www.google.com مساعدة". في ضوء موضوعنا، دعونا ننظر المشغلين التاليين:

المشغل أو العامل	وصف	يتطلب معلمة إضافية?
	البحث فقط على الموقع المحدد في search_term
	ابحث فقط في المستندات ذات النوع search_term


	ابحث عن الصفحات التي تحتوي على search_term في العنوان
	ابحث عن الصفحات التي تحتوي على جميع كلمات search_term في العنوان
	ابحث عن الصفحات التي تحتوي على كلمة search_term في عناوينها
	ابحث عن الصفحات التي تحتوي على جميع كلمات search_term الموجودة في عناوينها

المشغل أو العامل موقع:يقتصر البحث فقط على الموقع المحدد، ويمكنك تحديد ليس فقط اسم النطاق، ولكن أيضًا عنوان IP. على سبيل المثال، أدخل:

المشغل أو العامل نوع الملف:يحد البحث من نوع ملف معين. على سبيل المثال:

اعتبارًا من تاريخ نشر المقالة، يمكن لمحرك البحث Google البحث ضمن 13 تنسيقًا مختلفًا للملفات:

تنسيق مستند Adobe المحمول (pdf)
أدوبي بوستسكريبت (ملاحظة)
لوتس 1-2-3 (wk1، wk2، wk3، wk4، wk5، wki، wks، wku)
لوتس وورد برو (lwp)
ماك رايت (ميغاواط)
مايكروسوفت اكسل(XLS)
مايكروسوفت باور بوينت (جزء لكل تريليون)
مايكروسوفت وورد(وثيقة)
مايكروسوفت ووركس (WKS، WPS، WDB)
مايكروسوفت الكتابة (WRI)
تنسيق النص المنسق (rtf)
إنطلاق الهزة الأرضية(فرنك سويسري)
النص (الإجابة، النص)

المشغل أو العامل وصلة:يعرض جميع الصفحات التي تشير إلى الصفحة المحددة.
ربما يكون من المثير للاهتمام دائمًا معرفة عدد الأماكن التي تعرفها عنك على الإنترنت. دعونا نحاول:

المشغل أو العامل مخبأ:يظهر نسخة الموقع في جوجل ذاكرة التخزين المؤقتكيف كانت تبدو عندما جوجل الأحدثزرت هذه الصفحة مرة واحدة. لنأخذ أي موقع يتغير بشكل متكرر وننظر:

المشغل أو العامل العنوان:يبحث عن الكلمة المحددة في عنوان الصفحة. المشغل أو العامل العنوان:هو امتداد - يبحث عن جميع الكلمات القليلة المحددة في عنوان الصفحة. يقارن:

العنوان: رحلة إلى المريخ
intitle:flight intitle:on intitle:mars
allintitle:رحلة إلى المريخ

المشغل أو العامل عنوان URL:يفرض على Google إظهار جميع الصفحات التي تحتوي على السلسلة المحددة في عنوان URL. عامل allinurl: يبحث عن جميع الكلمات في عنوان URL. على سبيل المثال:

allinurl:acid acid_stat_alerts.php

يعد هذا الأمر مفيدًا بشكل خاص لأولئك الذين ليس لديهم SNORT - على الأقل يمكنهم رؤية كيفية عمله على نظام حقيقي.

طرق الاختراق باستخدام جوجل

لذلك، اكتشفنا أنه باستخدام مجموعة من العوامل والكلمات الرئيسية المذكورة أعلاه، يمكن لأي شخص جمع المعلومات الضرورية والبحث عن نقاط الضعف. غالبًا ما تسمى هذه التقنيات بـ Google Hacking.

خريطة الموقع

يمكنك استخدام عامل الموقع: لسرد جميع الروابط التي عثر عليها Google على أحد المواقع. عادةً، لا تتم فهرسة الصفحات التي تم إنشاؤها ديناميكيًا بواسطة البرامج النصية باستخدام المعلمات، لذلك تستخدم بعض المواقع مرشحات ISAPI بحيث لا تكون الروابط في النموذج /article.asp?num=10&dst=5، ومع خطوط مائلة /article/abc/num/10/dst/5. يتم ذلك بحيث تتم فهرسة الموقع بشكل عام بواسطة محركات البحث.

دعونا نحاول:

الموقع: www.whitehouse.gov البيت الأبيض

تعتقد Google أن كل صفحة على موقع ويب تحتوي على كلمة البيت الأبيض. هذا هو ما نستخدمه للحصول على جميع الصفحات.
هناك أيضًا نسخة مبسطة:

الموقع: www.whitehouse.gov

وأفضل ما في الأمر هو أن الرفاق من موقع Whitehouse.gov لم يعرفوا حتى أننا نظرنا إلى بنية موقعهم وحتى نظرنا إلى الصفحات المخزنة مؤقتًا التي قام Google بتنزيلها. ويمكن استخدام هذا لدراسة بنية المواقع وعرض المحتوى، دون أن يتم اكتشافها في الوقت الحالي.

عرض قائمة الملفات في الدلائل

يمكن لخوادم الويب عرض قوائم أدلة الخادم بدلاً من القوائم المعتادة صفحات HTML. يتم ذلك عادةً لتشجيع المستخدمين على التحديد والتنزيل ملفات معينة. ومع ذلك، في كثير من الحالات، ليس لدى المسؤولين أي نية لإظهار محتويات الدليل. يحدث هذا بسبب تكوين الخادم غير الصحيح أو عدم وجوده الصفحة الرئيسيةفي الدليل. ونتيجة لذلك، فإن المتسلل لديه فرصة للعثور على شيء مثير للاهتمام في الدليل واستخدامه لأغراضه الخاصة. للعثور على كل هذه الصفحات، يكفي ملاحظة أنها تحتوي جميعها على الكلمات: فهرس. ولكن بما أن فهرس الكلمات لا يحتوي على مثل هذه الصفحات فقط، فنحن بحاجة إلى تحسين الاستعلام ومراعاة الكلمات الرئيسية الموجودة في الصفحة نفسها، بحيث تكون الاستعلامات مثل:

intitle:index.of الدليل الأصلي
intitle:index.of حجم الاسم

نظرًا لأن معظم قوائم الدليل مقصودة، فقد تجد صعوبة في العثور على قوائم في غير محلها في المرة الأولى. ولكن على الأقل يمكنك بالفعل استخدام القوائم لتحديد إصدار خادم الويب، كما هو موضح أدناه.

الحصول على نسخة خادم الويب.

إن معرفة إصدار خادم الويب مفيد دائمًا قبل شن أي هجوم قرصنة. مرة أخرى، بفضل Google، يمكنك الحصول على هذه المعلومات دون الاتصال بالخادم. إذا نظرت عن كثب إلى قائمة الدليل، يمكنك أن ترى أن اسم خادم الويب وإصداره معروضان هناك.

Apache1.3.29 - خادم ProXad على منفذ trf296.free.fr 80

يمكن للمسؤول ذو الخبرة تغيير هذه المعلومات، ولكن كقاعدة عامة، هذا صحيح. وبالتالي، للحصول على هذه المعلومات يكفي إرسال طلب:

العنوان:index.of server.at

للحصول على معلومات لخادم معين نوضح الطلب:

intitle:index.of server.at الموقع: ibm.com

أو العكس، نبحث عن خوادم تعمل بإصدار معين من الخادم:

intitle:index.of Apache/2.0.40 الخادم في

يمكن للمتسلل استخدام هذه التقنية للعثور على الضحية. على سبيل المثال، إذا كان لديه استغلال لإصدار معين من خادم الويب، فيمكنه العثور عليه وتجربة استغلال موجود.

يمكنك أيضًا الحصول على إصدار الخادم من خلال عرض الصفحات المثبتة افتراضيًا عند تثبيت أحدث إصدار من خادم الويب. على سبيل المثال، لرؤية صفحة اختبار Apache 1.2.6، ما عليك سوى الكتابة

intitle:Test.Page.for.Apache it.work!

علاوة على ذلك، بعض نظام التشغيلأثناء التثبيت، يقومون على الفور بتثبيت خادم الويب وتشغيله. ومع ذلك، فإن بعض المستخدمين لا يدركون ذلك. وبطبيعة الحال، إذا رأيت أن شخصًا ما لم يقم بإزالة الصفحة الافتراضية، فمن المنطقي افتراض أن الكمبيوتر لم يخضع لأي تخصيص على الإطلاق ومن المحتمل أن يكون عرضة للهجوم.

حاول البحث عن صفحات IIS 5.0

allintitle:مرحبًا بك في خدمات إنترنت Windows 2000

في حالة IIS، لا يمكنك تحديد إصدار الخادم فحسب، بل يمكنك أيضًا تحديده نسخة ويندوزوحزمة الخدمة.

هناك طريقة أخرى لتحديد إصدار خادم الويب وهي البحث عن الأدلة (صفحات المساعدة) والأمثلة التي قد تكون مثبتة على الموقع افتراضيًا. لقد وجد المتسللون عددًا لا بأس به من الطرق لاستخدام هذه المكونات للحصول على حق الوصول المميز إلى الموقع. ولهذا السبب تحتاج إلى إزالة هذه المكونات في موقع الإنتاج. ناهيك عن حقيقة أن وجود هذه المكونات يمكن الاستفادة منه للحصول على معلومات حول نوع الخادم وإصداره. على سبيل المثال، فلنبحث عن دليل Apache:

inurl: وحدات توجيهات Apache اليدوية

استخدام جوجل كماسح ضوئي CGI.

يعد الماسح الضوئي CGI أو الماسح الضوئي WEB أداة مساعدة للبحث عن البرامج النصية والبرامج الضعيفة على خادم الضحية. يجب أن تعرف هذه الأدوات المساعدة ما الذي تبحث عنه، ولهذا فهي تحتوي على قائمة كاملة من الملفات المعرضة للخطر، على سبيل المثال:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

يمكننا العثور على كل من هذه الملفات باستخدام جوجل، بالإضافة إلى استخدام الكلمات فهرس أو inurl مع اسم الملف في شريط البحث: يمكننا العثور على مواقع بها نصوص برمجية ضعيفة، على سبيل المثال:

allinurl:/random_banner/index.cgi

باستخدام المعرفة الإضافية، يمكن للمتسلل استغلال ثغرة البرنامج النصي واستخدام هذه الثغرة الأمنية لإجبار البرنامج النصي على إصدار أي ملف مخزن على الخادم. على سبيل المثال، ملف كلمة المرور.

كيف تحمي نفسك من اختراق جوجل.

1. لا تنشر بيانات مهمة على خادم الويب.

حتى إذا قمت بنشر البيانات مؤقتًا، فقد تنساها أو سيكون لدى شخص ما الوقت للعثور على هذه البيانات وأخذها قبل مسحها. لا تفعل ذلك. هناك العديد من الطرق الأخرى لنقل البيانات التي تحميها من السرقة.

2. تحقق من موقعك.

استخدم الطرق الموضحة للبحث في موقعك. قم بفحص موقعك بشكل دوري لمعرفة الطرق الجديدة التي تظهر على الموقع http://johnny.ihackstuff.com. تذكر أنه إذا كنت تريد أتمتة إجراءاتك، فستحتاج إلى الحصول على إذن خاص من Google. إذا قرأت بعناية http://www.google.com/terms_of_service.html، فستظهر لك العبارة: لا يجوز لك إرسال استفسارات آلية من أي نوع إلى نظام Google دون الحصول على إذن صريح مسبقًا من Google.

3. قد لا تحتاج إلى قيام Google بفهرسة موقعك أو جزء منه.

يتيح لك Google إزالة رابط لموقعك أو جزء منه من قاعدة البيانات الخاصة به، وكذلك إزالة الصفحات من ذاكرة التخزين المؤقت. بالإضافة إلى ذلك، يمكنك حظر البحث عن الصور على موقعك، ومنع ظهور أجزاء قصيرة من الصفحات في نتائج البحث، ويتم توضيح جميع إمكانيات حذف الموقع في الصفحة http://www.google.com/remove.html. للقيام بذلك، يجب عليك تأكيد أنك المالك الحقيقي لهذا الموقع أو إدراج علامات في الصفحة أو

4. استخدم ملف robots.txt

ومن المعروف أن محركات البحث تنظر إلى ملف robots.txt الموجود في جذر الموقع ولا تقوم بفهرسة تلك الأجزاء المميزة بالكلمة عدم السماح. يمكنك استخدام هذا لمنع فهرسة جزء من الموقع. على سبيل المثال، لمنع فهرسة الموقع بأكمله، قم بإنشاء ملف robots.txt يحتوي على سطرين:

وكيل المستخدم: *
عدم السماح: /

ماذا يحدث أيضًا

لكي لا تبدو الحياة مثل العسل بالنسبة لك، سأقول أخيرًا أن هناك مواقع تراقب هؤلاء الأشخاص الذين يبحثون، باستخدام الأساليب الموضحة أعلاه، عن ثغرات في البرامج النصية وخوادم الويب. مثال على هذه الصفحة هو

طلب.

حلوة قليلا. جرب بعضًا مما يلي بنفسك:

1. #mysql نوع ملف التفريغ: sql - ابحث عن عمليات تفريغ قاعدة البيانات بيانات الخلية
2. تقرير ملخص ثغرات المضيف - سيوضح لك نقاط الضعف التي اكتشفها الآخرون
3. phpMyAdmin يعمل على inurl:main.php - سيؤدي هذا إلى إغلاق عنصر التحكم من خلال لوحة phpmyadmin
4. ليس للتوزيع سريا
5. طلب تفاصيل متغيرات خادم شجرة التحكم
6. يعمل في وضع الطفل
7. تم إنشاء هذا التقرير بواسطة WebLog
8. العنوان:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs - ربما يحتاج شخص ما إلى ملفات تكوين جدار الحماية؟ :)
10. العنوان:index.of Finance.xls - حسنًا....
11. intitle: فهرس محادثات dbconvert.exe – سجلات دردشة ICQ
12.intext:تحليل حركة المرور توبياس أويتيكر
13. العنوان: إحصائيات الاستخدام التي تم إنشاؤها بواسطة Webalizer
14.intitle: إحصائيات إحصائيات الويب المتقدمة
15. intitle:index.of ws_ftp.ini – تكوين ws ftp
16. inurl:ipsec.secrets يحمل أسرارًا مشتركة - مفتاح سري - اكتشاف جيد
17.inurl:main.php مرحبًا بك في phpMyAdmin
18.inurl: معلومات الخادم معلومات خادم أباتشي
19. الموقع: درجات مسؤول التعليم
20. ORA-00921: نهاية غير متوقعة لأمر SQL - الحصول على المسارات
21. العنوان:index.of trillian.ini
22. intitle:فهرس pwd.db
23.intitle:index.ofpeople.lst
24. العنوان:index.of master.passwd
25.inurl:passlist.txt
26. العنوان: فهرس .mysql_history
27. العنوان: فهرس النص:globals.inc
28. العنوان:index.of administrates.pwd
29. العنوان: فهرس الخ الظل
30.intitle:index.ofsecring.pgp
31.inurl:config.php dbuname dbpass
32.inurl:تنفيذ نوع الملف:ini

"اختراق جوجل"

مركز التدريب "Informzashchita" http://www.itsecurity.ru - مركز متخصص رائد في مجال التدريب أمن المعلومات(ترخيص لجنة موسكو للتعليم رقم 015470، اعتماد الدولة رقم 004251). مركز التدريب الوحيد المعتمد للشركات أمن الإنترنتالأنظمة و Clearswift في روسيا ودول رابطة الدول المستقلة. مركز تدريب معتمد من ميكروسوفت (تخصص أمني). يتم تنسيق برامج التدريب مع اللجنة الفنية الحكومية في روسيا، FSB (FAPSI). شهادات التدريب ووثائق الدولة للتدريب المتقدم.

SoftKey هي خدمة فريدة للمشترين والمطورين والتجار والشركاء التابعين. علاوة على ذلك، هذه واحدة من أفضل المتاجر على الانترنتبرامج في روسيا وأوكرانيا وكازاخستان، والتي تقدم للعملاء مجموعة واسعة والعديد من طرق الدفع ومعالجة الطلبات السريعة (في كثير من الأحيان فورية)، وتتبع عملية الطلب في القسم الشخصي، وخصومات متنوعة من المتجر والشركات المصنعة للبرمجيات.

كيفية البحث بشكل صحيح باستخدام google.com

ربما يعرف الجميع كيفية استخدام هذا محرك البحث، مثل Google =) ولكن لا يعلم الجميع أنه إذا قمت بتأليفها بشكل صحيح استعلام بحثبمساعدة التصميمات الخاصة، يمكنك تحقيق نتائج ما تبحث عنه بشكل أكثر كفاءة وسرعة =) سأحاول في هذه المقالة إظهار ما يجب عليك فعله وكيف يجب عليك القيام به للبحث بشكل صحيح

تدعم Google العديد من عوامل تشغيل البحث المتقدم التي لها معنى خاص عند البحث على google.com. عادةً ما تغير هذه العبارات البحث، أو حتى تطلب من Google إجراء أنواع مختلفة تمامًا من عمليات البحث. على سبيل المثال، التصميم وصلة:هو عامل خاص، والطلب الرابط :www.google.comلن يقدم لك بحثًا عاديًا، ولكنه سيجد بدلاً من ذلك جميع صفحات الويب التي تحتوي على روابط إلى google.com.
أنواع الطلبات البديلة

مخبأ:إذا قمت بتضمين كلمات أخرى في استعلامك، فسيقوم Google بتمييز تلك الكلمات المضمنة في المستند المخبأ.
على سبيل المثال، ذاكرة التخزين المؤقت: موقع www.webسيعرض المحتوى المخزن مؤقتًا مع تمييز كلمة "الويب".

وصلة:سيعرض استعلام البحث أعلاه صفحات الويب التي تحتوي على روابط للاستعلام المحدد.
على سبيل المثال: الرابط: www.siteسيتم عرض جميع الصفحات التي تحتوي على رابط إلى http://www.site

متعلق ب:يعرض صفحات الويب "المرتبطة" بصفحة الويب المحددة.
على سبيل المثال، ذات صلة: www.google.comسيتم إدراج صفحات الويب المشابهة لصفحة Google الرئيسية.

معلومات:معلومات الاستعلام: ستقدم بعض المعلومات التي لدى Google حول صفحة الويب التي تطلبها.
على سبيل المثال، معلومات: الموقعسوف تظهر معلومات حول منتدانا =) (أرمادا - منتدى مشرفي المواقع للبالغين).

طلبات المعلومات الأخرى

يُعرِّف:التعريف: سيوفر الاستعلام تعريفًا للكلمات التي تدخلها بعده، والتي تم جمعها من مصادر مختلفة عبر الإنترنت. سيكون التعريف مخصصًا للعبارة التي تم إدخالها بالكامل (أي أنه سيتضمن جميع الكلمات في الاستعلام الدقيق).

مخازن:إذا بدأت استعلامًا بالأسهم: فسيقوم Google بمعالجة بقية مصطلحات الاستعلام كرموز للأسهم، وسيربطها بصفحة تعرض معلومات جاهزة لهذه الرموز.
على سبيل المثال، الأسهم: إنتل ياهوسوف تظهر معلومات حول إنتل وياهو. (لاحظ أنه يجب كتابة رموز الأخبار العاجلة وليس اسم الشركة)

معدّلات الاستعلام

موقع:إذا قمت بتضمين site: في استعلامك، فسوف يقتصر Google على النتائج على مواقع الويب التي يجدها في هذا النطاق.
يمكنك أيضًا البحث حسب المناطق الفردية، مثل ru وorg وcom وما إلى ذلك ( الموقع:كوم الموقع:ru)

العنوان:إذا قمت بتشغيل استعلام باستخدام allintitle:، فسيقوم Google بقصر النتائج على جميع كلمات الاستعلام الموجودة في العنوان.
على سبيل المثال، allintitle: بحث جوجلسيعرض جميع صفحات Google حسب البحث مثل الصور والمدونة وما إلى ذلك

العنوان:إذا قمت بتضمين intitle: في استعلامك، فسيقوم Google بقصر النتائج على المستندات التي تحتوي على تلك الكلمة في العنوان.
على سبيل المثال، العنوان: الأعمال

ألينورل:إذا قمت بتشغيل استعلام باستخدام allinurl: فسيقوم Google بقصر النتائج على جميع كلمات الاستعلام في عنوان URL.
على سبيل المثال، ألينورل: بحث جوجلسيعود المستندات مع جوجل والبحث في العنوان. أيضًا، كخيار، يمكنك فصل الكلمات بشرطة مائلة (/) ثم سيتم البحث عن الكلمات الموجودة على جانبي الشرطة المائلة داخل نفس الصفحة: مثال ألينورل: فو/بار

عنوان URL:إذا قمت بتضمين inurl: في استعلامك، فسيقوم Google بقصر النتائج على المستندات التي تحتوي على تلك الكلمة في عنوان URL.
على سبيل المثال، عنوان URL للرسوم المتحركة: الموقع

في النص:يبحث فقط عن الكلمة المحددة في نص الصفحة، ويتجاهل العنوان ونصوص الروابط، وغيرها من الأشياء التي لا علاقة لها، ويوجد أيضًا مشتق من هذا المعدل - النص اللين:أولئك. علاوة على ذلك، سيتم البحث عن جميع الكلمات الموجودة في الاستعلام في النص فقط، وهو ما قد يكون مهمًا أيضًا، مع تجاهل الكلمات المستخدمة بشكل متكرر في الروابط
على سبيل المثال، النص: المنتدى

نطاق الموعد:عمليات البحث في إطار زمني (نطاق التاريخ: 2452389-2452389)، تتم الإشارة إلى تواريخ الأوقات بالتنسيق الجولياني.

حسنا، وجميع أنواع الأمثلة المثيرة للاهتمام من الاستعلامات

أمثلة على كتابة الاستعلامات لجوجل. لمرسلي البريد العشوائي

Inurl:control.guest?a=sign

الموقع: books.dreambook.com "عنوان URL للصفحة الرئيسية" "Sign my" inurl:sign

الموقع: www.freegb.net الصفحة الرئيسية

Inurl:sign.asp "عدد الأحرف"

"الرسالة:" inurl:sign.cfm "المرسل:"

Inurl:register.php "تسجيل المستخدم" "الموقع الإلكتروني"

Inurl:edu/guestbook "وقع في سجل الزوار"

Inurl: نشر "نشر تعليق" "URL"

Inurl:/archives/ "التعليقات:" "هل تتذكر المعلومات؟"