خانه › چالش ها و مسائل › آلفا عنوان همه نشریات کاربر. ما از ویژگی‌های کمتر شناخته شده Google برای یافتن چیزهای پنهان استفاده می‌کنیم. پلتفرم جدید چه فرصت هایی را برای وبلاگ نویسان باز می کند؟

آلفا عنوان همه نشریات کاربر. ما از ویژگی‌های کمتر شناخته شده Google برای یافتن چیزهای پنهان استفاده می‌کنیم. پلتفرم جدید چه فرصت هایی را برای وبلاگ نویسان باز می کند؟

در پایان آبان ماه 1395 تیم توسعه پیام رسان تلگرام سرویس جدیدی را برای انتشار آنلاین معرفی کرد. تلگرافابزار ویژه ای است که به شما امکان می دهد متون حجیم را بر اساس زبان سبک نشانه گذاری وب Markdown ایجاد کنید. با استفاده از این پلتفرم می توانید مقالاتی را با عکس، فیلم و سایر عناصر تعبیه شده در اینترنت منتشر کنید. در عین حال، نیازی به ثبت نام با داده های شخصی نیست، که این امر امکان ناشناس ماندن کامل را فراهم می کند.

پلتفرم جدید چه فرصت هایی را برای وبلاگ نویسان باز می کند؟

به گفته توسعه دهندگان این سرویس، کاربر این فرصت را دارد که اطلاعات را به همان روشی که رسانه های سنتی انجام می دهند ارائه دهد. تلگراف همه چیزهایی را که برای این کار نیاز دارید دارد:

برای نشان دادن تطبیق پذیری محصول، توسعه دهندگان یک API در دامنه telegra.ph منتشر کردند

از نظر خارجی، محتوای تلگراف هیچ تفاوتی با مطالب ارسال شده در منابع وب رسانه های معمولی ندارد، با این حال، ناشناس بودن نویسنده و مشاهده مقالات به طور مستقیم در پیام رسان فرصت های منحصر به فردی را برای وبلاگ نویسان مدرن باز می کند. جالب ترین نشریات ایجاد شده با استفاده از سرویس جدید به شکل عالی ارائه شده است.

نحوه کار با تلگراف

برای استفاده از این ابزار باید به سایت www.telegra.ph مراجعه کنید. هنگام رفتن به این آدرس، کاربر با یک صفحه تقریبا خالی با سه خط ساده مواجه می شود: عنوان، نام شما، داستان شما.

خط عنوان برای نوشتن عنوان مقاله در نظر گرفته شده است که همراه با تاریخ انتشار، پیوندی را به محتوا تشکیل می دهد. به عنوان مثال، مقاله "چگونه یک وب سایت را به 10 سایت برتر معرفی کنیم" که در 5 آوریل منتشر شده است، دارای پیوند است: "http://telegra.ph/Kak-prodvinut-sajt-v-top-10-04- 05.”

رابط ابزار ایجاد مقاله telegra.ph بسیار ساده است

مورد نام شما اختیاری است. نویسنده می تواند نام، نام مستعار، نام مستعار خود را مشخص کند یا خط را کاملاً خالی بگذارد تا کسی نتواند هویت او را تعیین کند. توانایی انتشار مطالب در حالی که ناشناس باقی می ماند بسیار جالب است. اما اکثر نویسندگان خوشحال هستند که نویسندگی خود را نشان می دهند.
داستان شما زمینه ای برای ایجاد محتوای اصلی است. این همچنین امکاناتی را برای قالب بندی متن، که در بالا مورد بحث قرار گرفت، باز می کند. الگوریتم ایجاد مقاله بسیار ساده و شهودی است، بنابراین کاربران نباید در نوشتن آن مشکلی داشته باشند.

یک لینک منحصر به فرد به شما امکان می دهد از مطالب منتشر شده نه تنها در تلگرام، بلکه در سایر سایت ها نیز استفاده کنید. با این حال، سازنده می تواند در هر زمان تغییراتی در محتوا ایجاد کند. با این حال، این عملکرد تنها در صورتی کار می کند که کوکی ها ذخیره شده باشند.

برای مدیریت آسان همه مقالات، از ربات استفاده کنید

برای ایجاد یک مقاله، حداقل اقدامات لازم از کاربر است. با این حال، این سهولت دارد سمت معکوس. ویرایش بیشتر فقط در همان دستگاه و مرورگری که متن برای اولین بار در آن منتشر شده است، قابل انجام است. توسعه دهندگان این وضعیت را پیش بینی کردند و یک ربات ویژه برای مدیریت انتشارات ایجاد کردند. بیایید عملکرد آن را فهرست کنیم:

مجوز در تلگرام از اکانت تلگرام شما. با ایجاد یک ورودی به این روش، می توانید وارد هر دستگاه دیگری شوید و دسترسی ویرایش داشته باشید. هنگامی که برای اولین بار در هر دستگاه وارد سیستم می شوید، ربات پیشنهاد می کند همه پست های ایجاد شده قبلی را به حساب شما اضافه کند.
آمار بازدید از هر پست تلگراف. این همه انتقال ها به مقاله را در نظر می گیرد، نه تنها از تلگرام، بلکه از هر منبع خارجی. شما می توانید نه تنها انتشارات خود را تجزیه و تحلیل کنید، بلکه فقط لینک مورد نظر خود را برای ربات ارسال کنید.
می توانید یک نام مستعار و پیوند نمایه دائمی تنظیم کنید تا مجبور نباشید هر بار آنها را مشخص کنید.

تلگراف - تهدیدی واقعی برای رسانه های سنتی؟

پیام رسان ها، که ذاتاً متعلق به حوزه رسانه هستند، با سرعتی سریع در حال توسعه هستند و به پلتفرم های مناسب برای ارسال اطلاعات مفید تبدیل می شوند. ظهور سرویسی مانند تلگراف، ایجاد یک پلتفرم تجاری تمام عیار را برای جذب کاربر نهایی آسان تر کرده است. در حال حاضر، بسیاری از برندها به این درک رسیده اند که این نوع ارتباطات به طور فزاینده ای مرتبط می شود.

با این حال، هنوز زود است که بگوییم پیام رسان های فوری به طور کلی و تلگراف به طور خاص رقابت مستقیم با رسانه های سنتی ایجاد می کنند. چنین خدماتی توسط کارشناسان به عنوان ابزاری اضافی برای تولید محتوای اینترنتی تعریف می شود که می تواند کمک خوبی برای رسانه ها باشد، اما در این مرحله از توسعه قادر به جذب کامل آنها نیست.

رسانه های آنلاین نسبت به پلتفرم های رقیب محتاط هستند

هک کردن در کمک گوگل

الکساندر آنتیپوف

موتور جستجو سیستم گوگل(www.google.com) گزینه های جستجوی زیادی را ارائه می دهد. همه این ویژگی ها ابزار جستجوی ارزشمندی برای کاربر تازه وارد به اینترنت و در عین حال سلاحی قدرتمندتر برای تهاجم و تخریب در دستان افرادی با نیات شیطانی، از جمله نه تنها هکرها، بلکه مجرمان غیر رایانه ای و حتی تروریست ها
(9475 بازدید در 1 هفته)

دنیس بارانکوف
denisNOSPAMixi.ru

توجه:این مقاله راهنمای عمل نیست. این مقاله برای شما مدیران وب سرور نوشته شده است تا احساس کاذب امنیت خود را از دست بدهید و در نهایت موذیانه بودن این روش کسب اطلاعات را درک کرده و وظیفه حفاظت از سایت خود را بر عهده بگیرید.

معرفی

مثلا 1670 صفحه در 0.14 ثانیه پیدا کردم!

2. بیایید یک خط دیگر را وارد کنیم، برای مثال:

inurl:"auth_user_file.txt"

کمی کمتر، اما این در حال حاضر برای دانلود رایگان و حدس زدن رمز عبور (با استفاده از همان John The Ripper) کافی است. در زیر تعدادی مثال دیگر می زنم.

بنابراین، باید بدانید که موتور جستجوی گوگل از اکثر سایت های اینترنتی بازدید کرده و اطلاعات موجود در آنها را در حافظه پنهان ذخیره کرده است. این اطلاعات ذخیره شده به شما این امکان را می دهد که بدون اتصال مستقیم به سایت، تنها با جستجو در اطلاعات ذخیره شده در گوگل، اطلاعاتی در مورد سایت و محتوای سایت به دست آورید. علاوه بر این، اگر اطلاعات موجود در سایت دیگر در دسترس نباشد، ممکن است اطلاعات موجود در حافظه پنهان همچنان حفظ شود. تنها چیزی که برای این روش نیاز دارید دانستن چند کلمه کلیدی گوگل است. این تکنیک Google Hacking نام دارد.

اطلاعات مربوط به هک گوگل برای اولین بار 3 سال پیش در لیست پستی Bugtruck ظاهر شد. در سال 2001 این موضوع توسط یک دانشجوی فرانسوی مطرح شد. در اینجا پیوندی به این نامه آمده است http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. این اولین نمونه از چنین پرسش هایی را ارائه می دهد:

1) فهرست /admin
2) فهرست رمز عبور /
3) فهرست /mail
4) فهرست / +banques +filetype:xls (برای فرانسه...)
5) فهرست / +passwd
6) فهرست / password.txt

این موضوع اخیراً موجی را در بخش انگلیسی خواندنی اینترنت ایجاد کرد: پس از مقاله جانی لانگ که در 7 می 2004 منتشر شد. برای مطالعه کامل تر در مورد هک گوگل، به شما توصیه می کنم به وب سایت این نویسنده http://johnny.ihackstuff.com بروید. در این مقاله فقط می خواهم شما را به روز کنم.

چه کسی می تواند از این استفاده کند:
- روزنامه نگاران، جاسوسان و همه افرادی که دوست دارند بینی خود را در تجارت دیگران فرو کنند، می توانند از این برای جستجوی شواهد مجرمانه استفاده کنند.
- هکرها به دنبال اهداف مناسب برای هک هستند.

گوگل چگونه کار می کند

برای ادامه گفتگو، اجازه دهید برخی از کلمات کلیدی مورد استفاده در جستجوهای گوگل را به شما یادآوری کنم.

با استفاده از علامت + جستجو کنید

گوگل کلماتی را که بی اهمیت می داند از جستجوها حذف می کند. به عنوان مثال، کلمات سؤالی، حروف اضافه و مقالات در زبان انگلیسی: برای مثال are, of, where. در روسی زبان گوگلبه نظر می رسد همه کلمات را مهم می داند. اگر کلمه ای از جستجو حذف شود، گوگل در مورد آن می نویسد. برای اینکه گوگل شروع به جستجوی صفحاتی با این کلمات کند، باید علامت + بدون فاصله قبل از کلمه اضافه کنید. مثلا:

آس +پایه

جستجو با استفاده از علامت -

اگر گوگل تعداد زیادی صفحه پیدا کند که باید صفحاتی با موضوع خاصی را از آنها حذف کند، می توانید گوگل را مجبور کنید فقط صفحاتی را جستجو کند که حاوی کلمات خاصی نیستند. برای این کار باید این کلمات را با قرار دادن علامتی در مقابل هر کدام - بدون فاصله قبل از کلمه - مشخص کنید. مثلا:

ماهیگیری - ودکا

جستجو با استفاده از ~

ممکن است بخواهید نه تنها کلمه مشخص شده، بلکه مترادف آن را نیز جستجو کنید. برای انجام این کار، قبل از کلمه با علامت ~ قرار دهید.

پیدا کردن یک عبارت دقیق با استفاده از دو نقل قول

گوگل در هر صفحه همه تکرار کلماتی را که در رشته پرس و جو نوشته اید جستجو می کند و به موقعیت نسبی کلمات اهمیتی نمی دهد، تا زمانی که همه کلمات مشخص شده همزمان در صفحه باشند (این عمل پیش فرض). برای یافتن عبارت دقیق، باید آن را در نقل قول قرار دهید. مثلا:

"پایه کتاب"

برای داشتن حداقل یکی از کلمات مشخص شده، باید عملیات منطقی را به صراحت مشخص کنید: OR. مثلا:

ایمنی کتاب یا حفاظت

علاوه بر این، می توانید از علامت * در نوار جستجو برای نشان دادن هر کلمه و. برای نشان دادن هر شخصیت

جستجوی کلمات با استفاده از عملگرهای اضافی

عملگرهای جستجویی وجود دارند که در رشته جستجو با فرمت مشخص شده اند:

عملگر:search_term

فضاهای کنار روده بزرگ لازم نیست. اگر یک فاصله بعد از دو نقطه وارد کنید، یک پیغام خطا مشاهده می کنید و قبل از آن، گوگل از آنها به عنوان یک رشته جستجوی معمولی استفاده می کند.
گروه‌هایی از اپراتورهای جستجوی اضافی وجود دارد: زبان‌ها - نشان می‌دهد که به کدام زبان می‌خواهید نتیجه را ببینید، تاریخ - محدود کردن نتایج برای سه، شش یا 12 ماه گذشته، موارد - نشان می‌دهد کجا در سند باید جستجو کنید. خط: در همه جا، در عنوان، در URL، دامنه ها - در سایت مشخص شده جستجو کنید یا برعکس، آن را از جستجو حذف کنید؛ جستجوی ایمن - سایت های حاوی نوع مشخص شده از اطلاعات را مسدود می کند و آنها را از صفحات نتایج جستجو حذف می کند.
با این حال، برخی از اپراتورها به پارامتر اضافی نیاز ندارند، به عنوان مثال درخواست " حافظه پنهان: www.google.com"را می توان به عنوان یک رشته جستجوی تمام عیار نام برد، و برخی از کلمات کلیدی، برعکس، به یک کلمه جستجو نیاز دارند، به عنوان مثال" سایت:www.google.com کمکبا توجه به موضوع ما، بیایید نگاه کنیم عملگرهای زیر:

اپراتور	شرح	نیاز دارد پارامتر اضافی?
	فقط در سایت مشخص شده در search_term جستجو کنید
	فقط در اسناد با نوع search_term جستجو کنید


	صفحات حاوی search_term را در عنوان پیدا کنید
	صفحاتی را که شامل همه کلمات search_term در عنوان هستند پیدا کنید
	صفحات حاوی کلمه search_term را در آدرس خود پیدا کنید
	صفحاتی را پیدا کنید که حاوی همه کلمات search_term در آدرس آنها هستند

اپراتور سایت:جستجو را فقط به سایت مشخص شده محدود می کند و شما می توانید نه تنها آن را مشخص کنید نام دامنهو همچنین یک آدرس IP. برای مثال وارد کنید:

اپراتور نوع فایل:جستجو را به یک نوع فایل خاص محدود می کند. مثلا:

از تاریخ انتشار مقاله، گوگل می تواند در 13 فرمت فایل مختلف جستجو کند:

فرمت سند قابل حمل Adobe (pdf)
Adobe PostScript (ps)
Lotus 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
Lotus WordPro (lwp)
مک رایت (mw)
مایکروسافت اکسل(xls)
پاورپوینت مایکروسافت (ppt)
مایکروسافت ورد(سند)
Microsoft Works (wks، wps، wdb)
مایکروسافت رایت (wri)
فرمت متن غنی (rtf)
Shockwave Flash(swf)
متن (ans, txt)

اپراتور ارتباط دادن:تمام صفحاتی که به صفحه مشخص شده اشاره دارند را نشان می دهد.
احتمالاً همیشه جالب است که ببینید چند مکان در اینترنت در مورد شما می‌دانند. بیایید سعی کنیم:

اپراتور حافظه پنهان:نسخه سایت را در نشان می دهد کش گوگلچه زمانی به نظر می رسید جدیدترین گوگلیک بار از این صفحه بازدید کرد بیایید هر سایتی که اغلب در حال تغییر است را بررسی کنیم و نگاه کنیم:

اپراتور عنوان:کلمه مشخص شده را در عنوان صفحه جستجو می کند. اپراتور allintitle:یک پسوند است - همه چند کلمه مشخص شده در عنوان صفحه را جستجو می کند. مقایسه کنید:

عنوان: پرواز به مریخ
intitle:flight intitle:on intitle:mars
allintitle: پرواز به مریخ

اپراتور inurl:گوگل را مجبور می کند تا تمام صفحات حاوی رشته مشخص شده را در URL نشان دهد. اپراتور allinurl: همه کلمات را در یک URL جستجو می کند. مثلا:

allinurl:acid acid_stat_alerts.php

این دستور به ویژه برای کسانی که SNORT ندارند مفید است - حداقل آنها می توانند ببینند که چگونه در یک سیستم واقعی کار می کند.

روش های هک با استفاده از گوگل

بنابراین، متوجه شدیم که با استفاده از ترکیبی از عملگرها و کلمات کلیدی فوق، هر کسی می تواند اطلاعات لازم را جمع آوری کرده و آسیب پذیری ها را جستجو کند. این تکنیک ها اغلب هک گوگل نامیده می شوند.

نقشه سایت

شما می توانید از عملگر site: برای فهرست کردن تمام پیوندهایی که گوگل در یک سایت پیدا کرده است استفاده کنید. به طور معمول، صفحاتی که به صورت پویا توسط اسکریپت ها ایجاد می شوند، با استفاده از پارامترها ایندکس نمی شوند، بنابراین برخی از سایت ها از فیلترهای ISAPI استفاده می کنند تا لینک ها به شکلی نباشند. /article.asp?num=10&dst=5، و با اسلش /article/abc/num/10/dst/5. این کار به این دلیل انجام می شود که سایت به طور کلی توسط موتورهای جستجو ایندکس می شود.

بیایید تلاش کنیم:

سایت: www.whitehouse.gov Whitehouse

گوگل فکر می کند که هر صفحه در یک وب سایت حاوی کلمه Whitehouse است. این همان چیزی است که ما برای دریافت تمام صفحات استفاده می کنیم.
یک نسخه ساده شده نیز وجود دارد:

سایت:whitehouse.gov

و بهترین بخش این است که رفقای whitehouse.gov حتی نمی‌دانستند که ما به ساختار سایت آنها نگاه کردیم و حتی به صفحات ذخیره‌شده‌ای که گوگل دانلود کرده بود نگاه کردیم. این می تواند برای مطالعه ساختار سایت ها و مشاهده محتوا مورد استفاده قرار گیرد و فعلاً ناشناخته باقی بماند.

مشاهده لیستی از فایل ها در فهرست ها

سرورهای وب می توانند لیستی از دایرکتوری های سرور را به جای لیست های معمول نشان دهند صفحات HTML. این معمولا برای تشویق کاربران به انتخاب و دانلود انجام می شود فایل های خاص. با این حال، در بسیاری از موارد، مدیران قصد ندارند محتویات یک فهرست را نشان دهند. این به دلیل پیکربندی نادرست سرور یا عدم وجود آن رخ می دهد صفحه نخستدر دایرکتوری در نتیجه، هکر این شانس را دارد که چیز جالبی را در فهرست پیدا کند و از آن برای اهداف خود استفاده کند. برای یافتن تمام این صفحات کافی است توجه داشته باشید که همه آنها حاوی کلمات: index of هستند. اما از آنجایی که فهرست کلمات فقط شامل چنین صفحاتی نمی شود، باید پرس و جو را اصلاح کنیم و کلمات کلیدی موجود در خود صفحه را در نظر بگیریم، بنابراین پرس و جوهایی مانند:

intitle:index.of دایرکتوری والد
intitle:index.of name size

از آنجایی که بیشتر فهرست‌های دایرکتوری عمدی هستند، ممکن است در اولین بار برای یافتن فهرست‌های نابجا با مشکل مواجه شوید. اما حداقل می‌توانید از فهرست‌ها برای تعیین نسخه سرور وب استفاده کنید، همانطور که در زیر توضیح داده شده است.

دریافت نسخه وب سرور.

دانستن نسخه سرور وب همیشه قبل از شروع هر حمله هکری مفید است. باز هم به لطف گوگل، می توانید این اطلاعات را بدون اتصال به سرور دریافت کنید. اگر به فهرست دایرکتوری دقت کنید، می بینید که نام سرور وب و نسخه آن در آنجا نمایش داده می شود.

Apache1.3.29 - سرور ProXad در پورت 80 trf296.free.fr

یک مدیر با تجربه می تواند این اطلاعات را تغییر دهد، اما، به عنوان یک قاعده، درست است. بنابراین، برای به دست آوردن این اطلاعات کافی است یک درخواست ارسال کنید:

intitle:index.of server.at

برای به دست آوردن اطلاعات برای یک سرور خاص، درخواست را روشن می کنیم:

intitle:index.of server.at site:ibm.com

یا برعکس، ما به دنبال سرورهایی هستیم که نسخه خاصی از سرور را اجرا می کنند:

intitle:index.of Apache/2.0.40 Server at

این تکنیک می تواند توسط یک هکر برای یافتن قربانی استفاده شود. به عنوان مثال، اگر او یک اکسپلویت برای نسخه خاصی از وب سرور داشته باشد، می تواند آن را پیدا کند و اکسپلویت موجود را امتحان کند.

همچنین می توانید با مشاهده صفحاتی که به طور پیش فرض در هنگام نصب آخرین نسخه وب سرور نصب شده اند، نسخه سرور را دریافت کنید. به عنوان مثال، برای دیدن صفحه آزمایشی Apache 1.2.6، فقط تایپ کنید

intitle:Test.Page.for.Apache it.worked!

علاوه بر این، برخی از سیستم عاملدر حین نصب، آنها بلافاصله سرور وب را نصب و راه اندازی می کنند. با این حال، برخی از کاربران حتی از این موضوع آگاه نیستند. به طور طبیعی، اگر می بینید که شخصی صفحه پیش فرض را حذف نکرده است، منطقی است که فرض کنیم کامپیوتر اصلاً تحت هیچ گونه سفارشی سازی قرار نگرفته است و احتمالاً در برابر حمله آسیب پذیر است.

صفحات IIS 5.0 را جستجو کنید

allintitle:به Windows 2000 Internet Services خوش آمدید

در مورد IIS، شما می توانید نه تنها نسخه سرور، بلکه همچنین تعیین کنید نسخه ویندوزو سرویس پک

راه دیگر برای تعیین نسخه WEB server جستجوی راهنماها (صفحات راهنما) و نمونه هایی است که ممکن است به طور پیش فرض روی سایت نصب شوند. هکرها راه های زیادی برای استفاده از این مؤلفه ها برای به دست آوردن دسترسی ممتاز به یک سایت پیدا کرده اند. به همین دلیل است که باید این قطعات را در سایت تولید حذف کنید. ناگفته نماند که با وجود این قطعات می توان اطلاعاتی در مورد نوع سرور و نسخه آن به دست آورد. به عنوان مثال، بیایید راهنمای آپاچی را پیدا کنیم:

inurl:دستی ماژول های دستورالعمل آپاچی

استفاده از گوگل به عنوان اسکنر CGI.

اسکنر CGI یا WEB scanner ابزاری برای جستجوی اسکریپت ها و برنامه های آسیب پذیر در سرور قربانی است. این ابزارها باید بدانند که به دنبال چه چیزی بگردند، برای این کار آنها یک لیست کامل از فایل های آسیب پذیر دارند، به عنوان مثال:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

ما می‌توانیم هر یک از این فایل‌ها را با استفاده از Google پیدا کنیم، به‌علاوه با استفاده از کلمات index of یا inurl با نام فایل در نوار جستجو: می‌توانیم سایت‌هایی با اسکریپت‌های آسیب‌پذیر پیدا کنیم، برای مثال:

allinurl:/random_banner/index.cgi

با استفاده از دانش اضافی، یک هکر می تواند از آسیب پذیری یک اسکریپت سوء استفاده کند و از این آسیب پذیری برای وادار کردن اسکریپت به انتشار هر فایل ذخیره شده در سرور استفاده کند. به عنوان مثال، یک فایل رمز عبور.

چگونه از خود در برابر هک گوگل محافظت کنیم.

1. داده های مهم را در وب سرور پست نکنید.

حتی اگر داده‌ها را به‌طور موقت پست کرده‌اید، ممکن است آن‌ها را فراموش کنید یا کسی وقت داشته باشد که این داده‌ها را قبل از پاک کردن پیدا کند و بگیرد. این کار را نکن راه های زیادی برای انتقال داده ها وجود دارد که از آن ها در برابر سرقت محافظت می کند.

2. سایت خود را بررسی کنید.

از روش های توضیح داده شده برای تحقیق در مورد سایت خود استفاده کنید. سایت خود را به صورت دوره ای برای روش های جدیدی که در سایت http://johnny.ihackstuff.com ظاهر می شود بررسی کنید. به یاد داشته باشید که اگر می خواهید اقدامات خود را خودکار کنید، باید مجوز ویژه ای از Google دریافت کنید. اگر با دقت بخوانید http://www.google.com/terms_of_service.html، سپس عبارت را مشاهده می کنید: شما نمی توانید درخواست های خودکار از هر نوع را بدون مجوز صریح از قبل از Google به سیستم Google ارسال کنید.

3. ممکن است نیازی به Google برای ایندکس کردن سایت یا بخشی از آن نداشته باشید.

گوگل به شما این امکان را می دهد که لینک سایت خود یا بخشی از آن را از پایگاه داده خود حذف کنید و همچنین صفحات را از کش حذف کنید. علاوه بر این، شما می توانید جستجوی تصاویر در سایت خود را ممنوع کنید، از نمایش قطعات کوتاه صفحات در نتایج جستجو جلوگیری کنید.تمامی احتمالات برای حذف یک سایت در صفحه توضیح داده شده است. http://www.google.com/remove.html. برای انجام این کار، باید تأیید کنید که واقعاً مالک این سایت هستید یا برچسب ها را در صفحه یا

4. از robots.txt استفاده کنید

مشخص است که موتورهای جستجو به فایل robots.txt واقع در ریشه سایت نگاه می کنند و قسمت هایی را که با کلمه مشخص شده اند ایندکس نمی کنند. غیر مجاز. می توانید از این برای جلوگیری از ایندکس شدن بخشی از سایت استفاده کنید. به عنوان مثال، برای جلوگیری از ایندکس شدن کل سایت، یک فایل robots.txt حاوی دو خط ایجاد کنید:

عامل کاربر: *
غیر مجاز:/

چه اتفاقی دیگر می افتد

برای اینکه زندگی به نظر شما عزیز نباشد، در نهایت می‌گویم که سایت‌هایی وجود دارند که افرادی هستند که با استفاده از روش‌های ذکر شده در بالا، به دنبال حفره‌هایی در اسکریپت‌ها و سرورهای وب می‌گردند. نمونه ای از چنین صفحه ای است

کاربرد.

کمی شیرین. برخی از موارد زیر را برای خود امتحان کنید:

1. #mysql dump type file:sql - جستجوی داده‌های پایگاه داده داده های mySQL
2. گزارش خلاصه آسیب پذیری میزبان - به شما نشان می دهد که سایر افراد چه آسیب پذیری هایی پیدا کرده اند
3. phpMyAdmin در حال اجرا بر روی inurl:main.php - این باعث می شود کنترل از طریق پانل phpmyadmin بسته شود.
4. برای توزیع محرمانه نیست
5. درخواست جزئیات کنترل متغیرهای سرور درخت
6. دویدن در حالت کودک
7. این گزارش توسط WebLog تولید شده است
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs - شاید کسی به فایل های پیکربندی فایروال نیاز داشته باشد؟ :)
10. intitle:index.of finances.xls – hmm....
11. عنوان: فهرست چت های dbconvert.exe – گزارش های چت icq
12.intext:تجزیه و تحلیل ترافیک Tobias Oetiker
13. عنوان: آمار استفاده برای ایجاد شده توسط Webalizer
14. عنوان: آمار آمار پیشرفته وب
15. intitle:index.of ws_ftp.ini – ws ftp config
16. inurl:ipsec.secrets دارای اسرار مشترک است - کلید مخفی - پیدا کردن خوب
17. inurl:main.php به phpMyAdmin خوش آمدید
18. inurl:server-info اطلاعات سرور آپاچی
19. سایت:edu نمرات مدیریت
20. ORA-00921: پایان غیرمنتظره دستور SQL – گرفتن مسیرها
21. عنوان: index.of trillian.ini
22. عنوان: فهرست pwd.db
23.intitle:index.of people.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. عنوان: فهرست mysql_history
27. intitle:index of intext:globals.inc
28. عنوان:index.of administrators.pwd
29. عنوان: Index.of etc shadow
30.intitle:index.ofsecring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini

"هک کردن mit Google"

مرکز آموزشی "Informzashchita" http://www.itsecurity.ru - یک مرکز تخصصی پیشرو در زمینه آموزش امنیت اطلاعات(مجوز کمیته آموزش مسکو شماره 015470، اعتبارنامه دولتی شماره 004251). تنها مرکز آموزشی مجاز شرکت ها امنیت اینترنتسیستم ها و Clearswift در روسیه و کشورهای CIS. مرکز آموزشی مجاز مایکروسافت (تخصص امنیتی). برنامه های آموزشی با کمیسیون فنی دولتی روسیه، FSB (FAPSI) هماهنگ می شود. گواهینامه های آموزشی و اسناد دولتی در مورد آموزش پیشرفته.

SoftKey یک سرویس منحصر به فرد برای خریداران، توسعه دهندگان، فروشندگان و شرکای وابسته است. علاوه بر این، این یکی از بهترین فروشگاه های آنلایننرم‌افزاری در روسیه، اوکراین، قزاقستان که طیف گسترده‌ای، روش‌های پرداخت فراوان، پردازش سفارش سریع (اغلب فوری)، پیگیری فرآیند سفارش در بخش شخصی، تخفیف‌های مختلف از فروشگاه و تولیدکنندگان نرم‌افزار را به مشتریان ارائه می‌دهد.

چگونه با استفاده از google.com به درستی جستجو کنیم

احتمالاً همه می دانند که چگونه از این استفاده کنند موتور جستجو، مانند گوگل =) اما همه نمی دانند که اگر یک عبارت جستجو را به درستی با استفاده از ساختارهای خاص بنویسید، می توانید نتایج مورد نظر خود را بسیار کارآمدتر و سریع تر به دست آورید =) در این مقاله سعی خواهم کرد نشان دهم که چه چیزی و چگونه برای جستجوی صحیح باید انجام دهید

Google از چندین اپراتور جستجوی پیشرفته پشتیبانی می کند که هنگام جستجو در google.com معنای خاصی دارند. به طور معمول، این اپراتورها جستجو را تغییر می دهند یا حتی به گوگل می گویند این کار را به طور کامل انجام دهد انواع مختلفجستجو کردن. به عنوان مثال، طراحی ارتباط دادن:یک اپراتور ویژه است و درخواست لینک: www.google.comبه شما یک جستجوی معمولی نمی دهد، اما در عوض تمام صفحات وب را که پیوندهایی به google.com دارند پیدا می کند.
انواع درخواست جایگزین

حافظه پنهان:اگر کلمات دیگری را در جستجوی خود وارد کنید، Google آن کلمات موجود در سند ذخیره شده را برجسته می کند.
مثلا، کش: www.webمحتوای ذخیره شده را با کلمه "وب" برجسته نشان می دهد.

ارتباط دادن:عبارت جستجوی بالا صفحات وبی را نشان می دهد که حاوی پیوندهایی به درخواست مشخص شده هستند.
مثلا: لینک: www.siteتمام صفحاتی که دارای پیوند به http://www.site هستند نمایش داده می شود

مربوط:صفحات وب را که "مربوط" به صفحه وب مشخص شده هستند را نمایش می دهد.
مثلا، مرتبط: www.google.comصفحات وب مشابه صفحه اصلی گوگل را فهرست می کند.

اطلاعات:اطلاعات پرس و جو: برخی از اطلاعاتی که گوگل در مورد صفحه وب درخواستی شما دارد را ارائه می دهد.
مثلا، اطلاعات: وب سایتاطلاعاتی در مورد انجمن ما نشان خواهد داد =) (Armada - Adult Webmasters Forum).

سایر درخواست های اطلاعاتی

تعريف كردن:پرس و جو define: تعریفی از کلماتی که بعد از آن وارد می کنید، از منابع مختلف آنلاین جمع آوری می کند. این تعریف برای کل عبارت وارد شده خواهد بود (یعنی شامل تمام کلمات در عبارت جستجوی دقیق می شود).

سهام:اگر یک پرس و جو را با سهام شروع کنید: Google بقیه شرایط پرس و جو را به عنوان نمادهای سهام پردازش می کند و به صفحه ای پیوند می دهد که اطلاعات آماده برای این نمادها را نشان می دهد.
مثلا، سهام: Intel yahooاطلاعاتی در مورد اینتل و یاهو نشان خواهد داد. (توجه داشته باشید که باید نمادهای اخبار فوری را تایپ کنید نه نام شرکت)

اصلاح کننده های پرس و جو

سایت:اگر سایت: را در جستجوی خود قرار دهید، گوگل نتایج را به وب سایت هایی که در آن دامنه پیدا می کند محدود می کند.
شما همچنین می توانید بر اساس مناطق جداگانه جستجو کنید، مانند ru، org، com، و غیره ( سایت: کام سایت:ru)

allintitle:اگر پرس و جوی با allintitle: اجرا کنید، گوگل نتایج را به تمام کلمات پرس و جو در عنوان محدود می کند.
مثلا، allintitle: جستجو در گوگلتمام صفحات گوگل را با جستجو مانند تصاویر، وبلاگ و غیره برمی گرداند

عنوان:اگر intitle: را در جستار خود قرار دهید، Google نتایج را به اسنادی که حاوی آن کلمه در عنوان هستند محدود می کند.
مثلا، عنوان: کسب و کار

آلینورل:اگر یک پرس و جو را با allinurl اجرا کنید: Google نتایج را به همه کلمات جستجو در URL محدود می کند.
مثلا، allinurl: جستجو در گوگلاسناد را با گوگل برمی گرداند و در عنوان جستجو می کند. همچنین، به عنوان یک گزینه، می توانید کلمات را با علامت (/) جدا کنید، سپس کلمات دو طرف اسلش در همان صفحه جستجو می شوند: مثال allinurl: foo/bar

inurl:اگر inurl: را در جستجوی خود قرار دهید، Google نتایج را به اسنادی که حاوی آن کلمه در URL هستند محدود می کند.
مثلا، انیمیشن inurl:site

در متن:فقط کلمه مشخص شده را در متن صفحه جستجو می کند، بدون توجه به عنوان و متون پیوندها، و موارد غیر مرتبط با آن. همچنین یک مشتق از این اصلاح کننده وجود دارد - allintext:آن ها علاوه بر این، تمام کلمات موجود در پرس و جو فقط در متن جستجو می شوند، که می تواند مهم باشد و کلمات پرکاربرد در پیوندها را نادیده بگیرد.
مثلا، intext: انجمن

محدوده زمانی:جستجو در یک چارچوب زمانی (تاریخ: 2452389-2452389)، تاریخ ها برای زمان ها در قالب جولیان نشان داده شده است.

خوب، و انواع و اقسام نمونه های جالب از پرس و جوها

نمونه هایی از نوشتن پرس و جو برای گوگل. برای اسپمرها

Inurl:control.guest?a=sign

Site:books.dreambook.com "URL صفحه اصلی" "Sign my" inurl:sign

سایت: www.freegb.net صفحه اصلی

Inurl:sign.asp «تعداد کاراکترها»

"پیام:" inurl:sign.cfm "فرستنده:"

Inurl:register.php "ثبت کاربر" "وب سایت"

Inurl:edu/کتاب مهمان «کتاب مهمان را امضا کنید»

Inurl: ارسال "پست نظر" "URL"

Inurl:/archives/ "Comments:" "اطلاعات را به خاطر دارید؟"

"اسکریپت و کتاب مهمان ایجاد شده توسط:" "URL:" "نظرات:"

Inurl:?action=add "phpBook" "URL"

عنوان: "ارسال داستان جدید"

مجلات

Inurl:www.livejournal.com/users/ mode=reply

Inurl greatestjournal.com/ mode=reply

Inurl:fastbb.ru/re.pl؟

Inurl:fastbb.ru /re.pl؟ "کتاب مهمان"

وبلاگ ها

Inurl:blogger.com/comment.g?”postID””ناشناس”

Inurl:typepad.com/ "یک نظر ارسال کنید" "اطلاعات شخصی را به خاطر دارید؟"

Inurl:greatestjournal.com/community/ "ارسال نظر" "آدرس پوسترهای ناشناس"

"پست نظر" "آدرس پوسترهای ناشناس" -

عنوان: ارسال نظر

Inurl:pirillo.com "ارسال نظر"

انجمن ها

Inurl:gate.html?”name=Forums” “mode=reply”

Inurl:”forum/posting.php?mode=reply”

Inurl:"mes.php?"

Inurl:”members.html”

Inurl:forum/memberlist.php؟”

عملکرد Stories یا "Stories" در بومی سازی روسی، به شما امکان می دهد عکس ها و ویدیوهای 10 ثانیه ای را با همپوشانی متن، ایموجی و یادداشت های دست نویس ایجاد کنید. ویژگی های کلیدینکته ای که در مورد چنین پست هایی وجود دارد این است که برخلاف انتشارات معمولی در فید شما، آنها برای همیشه زنده نیستند و دقیقاً پس از 24 ساعت حذف می شوند.

چرا لازم است؟

توضیحات رسمی اینستاگرام این را می گوید خصوصیت جدیدواقعا برای مبادله مورد نیاز نیست اطلاعات مهمدر مورد زندگی روزمره

نحوه استفاده از آن

در هسته خود، نوآوری بسیار شبیه است و تقریباً یکسان عمل می کند، اما با تفاوت های جزئی. با وجود این که فرصت ها استوری های اینستاگرامتعداد آنها زیاد نیست و همه آنها بسیار ساده هستند؛ همه کاربران نمی توانند فوراً آنها را بفهمند.

مشاهده داستان ها

تمام داستان های موجود در بالای فید به صورت دایره هایی با آواتارهای کاربر نمایش داده می شوند و در حین پیمایش پنهان می شوند. داستان های جدید با انتشار ظاهر می شوند و یک روز بعد بدون هیچ اثری ناپدید می شوند. در این مورد، داستان ها نه به ترتیب زمانی، بلکه بر اساس تعداد چرخه های پخش و نظرات مرتب می شوند.

برای مشاهده، فقط باید روی دایره ضربه بزنید. یک عکس یا ویدیو باز می شود و به مدت 10 ثانیه نمایش داده می شود. ضربه بزنید و نگه دارید تا ویدیو را متوقف کنید.

در بالا، در کنار نام کاربری، زمان انتشار نشان داده شده است. اگر افرادی که دنبال می‌کنید داستان‌های دیگری داشته باشند، موارد بعدی بلافاصله بعد از اولین نمایش داده می‌شوند. می توانید با کشیدن انگشت به چپ و راست بین آنها جابجا شوید.

داستان هایی که قبلاً مشاهده کرده اید از منو ناپدید نمی شوند، اما خاکستری می شوند. آنها را می توان دوباره باز کرد تا زمانی که بعد از یک روز حذف شوند.

فقط با استفاده از پیام هایی که به دایرکت ارسال می شوند و فقط برای نویسنده قابل مشاهده است و نه برای همه مشترکین، می توانید در مورد داستان ها نظر دهید. مشخص نیست که آیا این یک اشکال است یا یک ویژگی.

ایجاد داستان

با کلیک بر روی علامت مثبت در بالای فید و کشیدن انگشت از لبه صفحه به سمت راست، منوی ضبط یک داستان جدید باز می شود. همه چیز در اینجا ساده است: روی دکمه ضبط ضربه بزنید - یک عکس می گیریم، آن را نگه دارید - یک ویدیو می گیریم.

عکسبرداری یا آپلود

می توانید دوربین های جلو و عقب را تغییر دهید یا فلاش را روشن کنید. انتخاب یک فایل رسانه ای از بین فایل هایی که در 24 ساعت گذشته گرفته شده اند نیز آسان است: این کار با کشیدن انگشت به پایین انجام می شود. همه عکس‌های گالری، از جمله تایم لپس‌ها و بومرنگ‌های مارک‌دار، اینجا هستند.

رفتار

وقتی عکس یا ویدیو آماده شد، می توانید پس از پردازش آن را منتشر کنید. هم برای عکس‌ها و هم برای ویدیوها، ابزارها یکسان هستند: فیلترها، متن و شکلک‌ها، نقاشی‌ها.

فیلترها به صورت دایره ای با کشیدن انگشت از لبه صفحه نمایش تغییر می کنند. در مجموع شش مورد از آنها وجود دارد، از جمله شیب رنگین کمانی مانند روی نماد اینستاگرام.

متن اضافه شده را می توان بزرگ یا کوچک کرد یا در اطراف عکس جابجا کرد. اما متأسفانه نمی توانید بیش از یک نظر بگذارید. ایموجی ها نیز از طریق متن درج می شوند، بنابراین اگر می خواهید صورت خود را با شکلک بپوشانید، باید انتخاب کنید.

طراحی گزینه های کمی بیشتر دارد. ما یک پالت و سه برس در اختیار داریم: معمولی، نشانگر و با ضربه "نئون". شما می توانید با همه به یکباره نقاشی بکشید، و یک ضربه بد را می توان خنثی کرد.

آیا از نتیجه راضی هستید؟ روی دکمه علامت کلیک کنید و ویدیوی شما در دسترس مشترکین قرار خواهد گرفت. می توان آن را هم قبل و هم بعد از آن در گالری ذخیره کرد.

تنظیمات حریم خصوصی، آمار

هنگام مشاهده یک داستان، صفحه تنظیمات و آمار با کشیدن انگشت به بالا فراخوانی می شود. از اینجا، داستان را می توان در گالری ذخیره کرد، حذف کرد، یا در فید اصلی منتشر کرد و آن را به یک پست معمولی تبدیل کرد. لیست تماشاگران در زیر نمایش داده شده است. با کلیک بر روی ضربدر کنار نام، می توانید داستان را از هر یک از آنها پنهان کنید.

تنظیماتی که در پشت نماد چرخ دنده پنهان شده اند، به شما این امکان را می دهند که انتخاب کنید چه کسی می تواند به استوری های شما پاسخ دهد و داستان را از دید مشترکین خاصی پنهان کند. در این مورد، تنظیمات حریم خصوصی به خاطر سپرده می شود و برای همه انتشارات بعدی اعمال می شود.

چگونه با آن زندگی کنیم

خوب. بله، بسیاری با استوری ها به دلیل شباهت به اسنپ چت و مشکلات حل نشده اینستاگرام که توسعه دهندگان باید روی آن تمرکز کنند، دشمنی داشتند. اما من فکر می کنم نوآوری مفید است.

مشکل یک فید بهم ریخته، زمانی که شما مجبور هستید دوستانی را که به معنای واقعی کلمه هر قدمی را که برمی‌دارند پست می‌کنند، آنفالو کنید، مدت‌هاست که وجود داشته است و هیچ راه‌حل واضحی ابداع نشده است. داستان ها را می توان اولین قدم در این راه دانست. با گذشت زمان، مردم باید به فرهنگ رفتاری که توسط . همه چیزهای دیگر باید به داستان ها بروند. درسته؟

به دست آوردن اطلاعات خصوصی همیشه به معنای هک نیست - گاهی اوقات در آن منتشر می شود دسترسی عمومی. دانش تنظیمات گوگلو کمی نبوغ به شما امکان می دهد چیزهای جالب زیادی پیدا کنید - از شماره کارت اعتباری گرفته تا اسناد FBI.

هشدار

تمام اطلاعات فقط برای مقاصد اطلاعاتی ارائه شده است. نه سردبیران و نه نویسنده مسئولیتی در قبال آسیب احتمالی ناشی از مطالب این مقاله ندارند.

امروزه همه چیز به اینترنت متصل است و نگرانی چندانی برای محدود کردن دسترسی وجود ندارد. بنابراین، بسیاری از داده های خصوصی طعمه موتورهای جستجو می شوند. ربات‌های عنکبوتی دیگر محدود به صفحات وب نیستند، بلکه تمام محتوای موجود در اینترنت را فهرست‌بندی می‌کنند و دائماً اطلاعات غیرعمومی را به پایگاه داده‌های خود اضافه می‌کنند. پیدا کردن این رازها آسان است - فقط باید بدانید که چگونه در مورد آنها بپرسید.

در حال جستجو برای فایل ها

در دستان توانا، گوگل به سرعت هر چیزی را که در اینترنت یافت نمی شود، به عنوان مثال، اطلاعات شخصی و فایل هایی برای استفاده رسمی پیدا می کند. آنها اغلب مانند یک کلید زیر یک فرش پنهان می شوند: هیچ محدودیت دسترسی واقعی وجود ندارد، داده ها به سادگی در پشت سایت قرار دارند، جایی که هیچ پیوندی به آن منتهی نمی شود. رابط وب استاندارد Google فقط تنظیمات اولیه جستجوی پیشرفته را ارائه می دهد، اما حتی اینها نیز کافی خواهند بود.

می‌توانید جستجوی Google خود را با استفاده از دو عملگر به نوع خاصی از فایل محدود کنید: filetype و ext. اولی فرمتی را مشخص می کند که موتور جستجو از عنوان فایل تعیین کرده است، دومی پسوند فایل را بدون توجه به محتوای داخلی آن مشخص می کند. هنگام جستجو در هر دو مورد، فقط باید پسوند را مشخص کنید. در ابتدا، اپراتور ext در مواردی که فایل دارای ویژگی های فرمت خاصی نبود (به عنوان مثال، برای جستجوی فایل های پیکربندی ini و cfg که می تواند حاوی هر چیزی باشد) راحت بود. اکنون الگوریتم های گوگل تغییر کرده اند و هیچ تفاوت قابل مشاهده ای بین اپراتورها وجود ندارد - در بیشتر موارد نتایج یکسان است.

فیلتر کردن نتایج

به طور پیش فرض، گوگل کلمات و به طور کلی هر کاراکتر وارد شده را در تمام فایل های صفحات نمایه شده جستجو می کند. می توانید جستجوی خود را بر اساس دامنه محدود کنید سطح بالا، یک سایت خاص یا در محل دنباله مورد نظر در خود فایل ها. برای دو گزینه اول از اپراتور سایت و به دنبال آن نام دامنه یا سایت انتخاب شده استفاده کنید. در مورد سوم، مجموعه کاملی از اپراتورها به شما امکان می دهد اطلاعات را در زمینه های خدمات و ابرداده جستجو کنید. به عنوان مثال، allinurl مورد داده شده را در بدنه خود پیوندها، allinanchor - در متن مجهز به برچسب پیدا می کند. ، allintitle - در عنوان صفحات، allintext - در بدنه صفحات.

برای هر اپراتور یک نسخه سبک وزن با نام کوتاهتر (بدون پیشوند all) وجود دارد. تفاوت این است که allinurl پیوندها را با همه کلمات پیدا می کند و inurl فقط با اولین آنها پیوندها را پیدا می کند. کلمات دوم و بعدی از پرس و جو می توانند در هر نقطه از صفحات وب ظاهر شوند. اپراتور inurl نیز با اپراتور دیگری با معنای مشابه - سایت متفاوت است. اولین مورد همچنین به شما امکان می دهد هر دنباله ای از کاراکترها را در پیوند به سند جستجو شده (به عنوان مثال /cgi-bin/) پیدا کنید، که به طور گسترده برای یافتن مؤلفه هایی با آسیب پذیری های شناخته شده استفاده می شود.

بیایید آن را در عمل امتحان کنیم. فیلتر allintext را می گیریم و درخواست می کنیم لیستی از اعداد و کدهای تأیید کارت های اعتباری را تولید کند که فقط دو سال دیگر منقضی می شوند (یا زمانی که صاحبان آنها از غذا دادن به همه خسته شوند).

Allintext: تاریخ انقضا شماره کارت /2017 cvv

وقتی در اخبار می خوانید که یک هکر جوان به سرورهای پنتاگون یا ناسا "هک کرده" و اطلاعات طبقه بندی شده را می دزدد، در بیشتر موارد ما در مورد چنین تکنیک اساسی استفاده از گوگل صحبت می کنیم. فرض کنید ما به لیستی از کارکنان ناسا و اطلاعات تماس آنها علاقه مند هستیم. مطمئناً چنین فهرستی به صورت الکترونیکی موجود است. برای سهولت یا به دلیل نظارت، ممکن است در خود وب سایت سازمان نیز باشد. منطقی است که در این مورد هیچ پیوندی به آن وجود نخواهد داشت، زیرا برای استفاده داخلی در نظر گرفته شده است. چه کلماتی می تواند در چنین فایلی باشد؟ حداقل - فیلد "آدرس". آزمایش همه این مفروضات آسان است.

Inurl:nasa.gov نوع فایل:xlsx "آدرس"

ما از بوروکراسی استفاده می کنیم

یافته های این چنینی لمس خوبی هستند. با آگاهی دقیق‌تر از اپراتورهای Google برای وب‌مسترها، خود شبکه و ویژگی‌های ساختار چیزی که به‌دنبال آن است، یک موفقیت واقعاً خوب به دست می‌آید. با دانستن جزئیات، می‌توانید به راحتی نتایج را فیلتر کنید و ویژگی‌های فایل‌های لازم را برای به دست آوردن داده‌های واقعا ارزشمند در بقیه اصلاح کنید. خنده دار است که بوروکراسی اینجا به کمک می آید. فرمول‌های استانداردی تولید می‌کند که برای جستجوی اطلاعات محرمانه‌ای که به‌طور تصادفی در اینترنت به بیرون درز کرده‌اند، راحت هستند.

برای مثال، مهر بیانیه توزیع، مورد نیاز وزارت دفاع ایالات متحده، به معنای محدودیت های استاندارد شده در توزیع یک سند است. حرف A نشان دهنده انتشار عمومی است که در آن هیچ چیز پنهانی وجود ندارد. B - فقط برای استفاده داخلی در نظر گرفته شده است، C - کاملا محرمانه، و به همین ترتیب تا زمانی که F. حرف X به طور جداگانه برجسته می شود، که مشخص کننده اطلاعات بسیار ارزشمندی است که یک راز دولتی در بالاترین سطح را نشان می دهد. اجازه دهید کسانی که قرار است این کار را در حین انجام وظیفه انجام دهند، چنین اسنادی را جستجو کنند، و ما خود را به پرونده هایی با حرف C محدود می کنیم. طبق دستورالعمل DoDI 5230.24، این علامت گذاری به اسنادی اختصاص داده می شود که حاوی شرح فناوری های حیاتی هستند که تحت کنترل صادرات هستند. . شما می توانید چنین اطلاعات محافظت شده ای را در سایت های سطح بالای domain.mil، اختصاص داده شده برای ارتش ایالات متحده پیدا کنید.

"بیانیه توزیع C" inurl:navy.mil

بسیار راحت است که دامنه .mil فقط دارای سایت هایی از وزارت دفاع ایالات متحده و سازمان های قراردادی آن باشد. نتایج جستجو با محدودیت دامنه بسیار تمیز هستند و عناوین خود گویای آن هستند. جستجوی اسرار روسیه از این طریق عملاً بی فایده است: هرج و مرج در domains.ru و.rf حاکم است و نام بسیاری از سیستم های تسلیحاتی شبیه به سیستم های گیاه شناسی (PP "Kiparis" ، اسلحه های خودکششی "Akatsia") یا حتی افسانه است ( TOS "Buratino").

با مطالعه دقیق هر سندی از یک سایت در دامنه .mil، می توانید نشانگرهای دیگری را برای اصلاح جستجوی خود مشاهده کنید. به عنوان مثال، اشاره به محدودیت های صادراتی "Sec 2751" که برای جستجوی اطلاعات فنی جالب نیز مناسب است. هر از چند گاهی از سایت های رسمی که زمانی ظاهر می شد حذف می شود، بنابراین اگر نمی توانید پیوند جالبی را در نتایج جستجو دنبال کنید، از کش گوگل (اپراتور کش) یا سایت آرشیو اینترنت استفاده کنید.

بالا رفتن در ابرها

علاوه بر اسناد دولتی که به‌طور تصادفی از طبقه‌بندی خارج شده‌اند، پیوندهایی به فایل‌های شخصی از Dropbox و سایر سرویس‌های ذخیره‌سازی داده که پیوندهای «خصوصی» به داده‌های منتشر شده عمومی ایجاد می‌کنند، گهگاه در حافظه پنهان Google ظاهر می‌شوند. با خدمات جایگزین و خانگی بدتر است. به عنوان مثال، کوئری زیر داده‌هایی را برای تمام مشتریان Verizon که یک سرور FTP نصب کرده‌اند و به‌طور فعال از روتر خود استفاده می‌کنند، پیدا می‌کند.

Allinurl:ftp://verizon.net

اکنون بیش از چهل هزار نفر از این افراد باهوش وجود دارند و در بهار سال 2015 تعداد آنها بسیار بیشتر بود. به جای Verizon.net، می‌توانید نام هر ارائه‌دهنده معروفی را جایگزین کنید، و هر چه معروف‌تر باشد، اندازه‌گیری بزرگ‌تر می‌شود. از طریق سرور FTP داخلی، می توانید فایل ها را روی یک دستگاه ذخیره سازی خارجی متصل به روتر مشاهده کنید. معمولاً این یک NAS برای کار از راه دور، یک ابر شخصی یا نوعی دانلود فایل همتا به همتا است. تمامی محتویات این رسانه ها توسط گوگل و سایر موتورهای جستجو نمایه می شوند، بنابراین می توانید از طریق یک لینک مستقیم به فایل های ذخیره شده در درایوهای خارجی دسترسی داشته باشید.

نگاه کردن به تنظیمات

قبل از مهاجرت گسترده به فضای ابری، سرورهای FTP ساده به عنوان ذخیره‌سازی از راه دور حکومت می‌کردند که آسیب‌پذیری‌های زیادی نیز داشت. بسیاری از آنها هنوز هم مربوط به امروز هستند. به عنوان مثال، برنامه محبوب WS_FTP Professional داده های پیکربندی، حساب های کاربری و رمزهای عبور را در فایل ws_ftp.ini ذخیره می کند. یافتن و خواندن آن آسان است، زیرا همه رکوردها در قالب متن ذخیره می شوند و رمزهای عبور با الگوریتم Triple DES پس از حداقل مبهم سازی رمزگذاری می شوند. در اکثر نسخه ها، صرفاً دور انداختن بایت اول کافی است.

رمزگشایی چنین رمزهای عبور با استفاده از ابزار WS_FTP Password Decryptor یا یک سرویس وب رایگان آسان است.

وقتی صحبت از هک کردن یک وب سایت دلخواه می شود، معمولاً به معنای دریافت رمز عبور از لاگ ها و پشتیبان گیری از فایل های پیکربندی CMS یا برنامه های تجارت الکترونیک است. اگر آنها را می شناسید ساختار معمولی، به راحتی می توانید کلمات کلیدی را مشخص کنید. خطوطی مانند خطوط موجود در ws_ftp.ini بسیار رایج هستند. به عنوان مثال، در دروپال و پرستاشاپ همیشه یک شناسه کاربری (UID) و یک رمز عبور مربوطه (pwd) وجود دارد و تمام اطلاعات در فایل هایی با پسوند .inc ذخیره می شود. می توانید آنها را به صورت زیر جستجو کنید:

"pwd=" "UID=" ext:inc

فاش کردن رمزهای عبور DBMS

در فایل های پیکربندی سرورهای SQL، نام و آدرس پست الکترونیککاربران در متن شفاف ذخیره می شوند و به جای رمز عبور، هش MD5 آنها ضبط می شود. به عبارت دقیق تر، رمزگشایی آنها غیرممکن است، اما می توانید در بین جفت های شناخته شده هش-گذرواژه مطابقت پیدا کنید.

هنوز DBMS هایی وجود دارند که حتی از هش رمز عبور استفاده نمی کنند. فایل های پیکربندی هر یک از آنها را می توان به سادگی در مرورگر مشاهده کرد.

Intext:DB_PASSWORD نوع فایل: env

از زمان ظاهر شدن در سرورهای ویندوزمحل فایل های پیکربندی تا حدی توسط رجیستری گرفته شد. شما می توانید در شاخه های آن دقیقاً به همین روش جستجو کنید و از reg به عنوان نوع فایل استفاده کنید. به عنوان مثال، مانند این:

نوع فایل:reg HKEY_CURRENT_USER "Password"=

بدیهیات را فراموش نکنیم

گاهی اوقات می توان با استفاده از داده هایی که به طور تصادفی باز شده و مورد توجه گوگل قرار گرفته اند، به اطلاعات طبقه بندی شده دست یافت. گزینه عالی- یافتن لیستی از رمزهای عبور در برخی از قالب های رایج. ذخیره اطلاعات حساب در فایل متنی, سند وردیا یک صفحه گسترده اکسل را فقط افراد ناامید می توانند انجام دهند، اما همیشه تعداد کافی از آنها وجود دارد.

نوع فایل:xls inurl:password

از یک سو، ابزارهای زیادی برای جلوگیری از چنین حوادثی وجود دارد. باید در htaccess حقوق دسترسی کافی را مشخص کنید، CMS را وصله کنید، از اسکریپت های چپ استفاده نکنید و حفره های دیگر را ببندید. همچنین فایلی با لیستی از استثناهای robots.txt وجود دارد که موتورهای جستجو را از ایندکس کردن فایل ها و دایرکتوری های مشخص شده در آن منع می کند. از طرف دیگر، اگر ساختار robots.txt در برخی از سرورها با ساختار استاندارد متفاوت باشد، بلافاصله مشخص می شود که آنها سعی دارند چه چیزی را روی آن پنهان کنند.

فهرست دایرکتوری ها و فایل ها در هر سایتی با نمایه استاندارد قبل از آن قرار می گیرد. از آنجایی که برای اهداف خدماتی باید در عنوان ظاهر شود، منطقی است که جستجوی آن را به عملگر intitle محدود کنیم. چیزهای جالبی در دایرکتوری های /admin/، /personal/، /etc/ و حتی /secret/ وجود دارد.

منتظر بروزرسانی ها باشید

ارتباط در اینجا بسیار مهم است: آسیب پذیری های قدیمی بسیار آهسته بسته می شوند، اما گوگل و نتایج جستجوی آن دائما در حال تغییر هستند. حتی بین فیلتر «ثانیه آخر» (&tbs=qdr:s در انتهای URL درخواست) و فیلتر «زمان واقعی» (&tbs=qdr:1) تفاوت وجود دارد.

فاصله زمانی تاریخ آخرین به روز رسانیگوگل همچنین فایل را به طور ضمنی نشان می دهد. از طریق رابط گرافیکی وب، می توانید یکی از دوره های استاندارد (ساعت، روز، هفته و غیره) را انتخاب کنید یا محدوده تاریخ را تعیین کنید، اما این روش برای اتوماسیون مناسب نیست.

از ظاهر نوار آدرس، فقط می‌توانید روشی را برای محدود کردن خروجی نتایج با استفاده از ساخت &tbs=qdr: حدس بزنید. حرف y بعد از تعیین حد یک سال (&tbs=qdr:y)، m نتایج ماه گذشته، w - برای هفته، d - برای روز گذشته، h - برای ساعت آخر، n - را نشان می دهد. برای دقیقه، و s - برای یک ثانیه به من بدهید. جدیدترین نتایجی که گوگل به تازگی اعلام کرده است با استفاده از فیلتر &tbs=qdr:1 یافت می شود.

اگر نیاز به نوشتن یک اسکریپت هوشمندانه دارید، مفید خواهد بود که بدانید محدوده تاریخ در گوگل با فرمت Julian با استفاده از عملگر daterange تنظیم شده است. به عنوان مثال، به این ترتیب می توانید یک لیست را پیدا کنید اسناد PDFبا کلمه محرمانه، آپلود از 1 ژانویه تا 1 ژوئیه 2015.

نوع فایل محرمانه: pdf daterange: 2457024-2457205

محدوده در قالب تاریخ جولیان بدون در نظر گرفتن قسمت کسری نشان داده شده است. ترجمه دستی آنها از تقویم میلادی ناخوشایند است. استفاده از مبدل تاریخ آسانتر است.

هدف گذاری و دوباره فیلتر کردن

علاوه بر مشخص کردن اپراتورهای اضافی در پرس و جو جستجوآنها را می توان مستقیماً در متن پیوند ارسال کرد. برای مثال، مشخصات filetype:pdf با ساختار as_filetype=pdf مطابقت دارد. این باعث می‌شود که درخواست هر گونه توضیحی راحت باشد. فرض کنید که خروجی نتایج فقط از جمهوری هندوراس با افزودن ساختار cr=countryHN به URL جستجو مشخص می شود و فقط از شهر Bobruisk - gcs=Bobruisk. شما می توانید یک لیست کامل را در بخش توسعه دهندگان پیدا کنید.

ابزارهای اتوماسیون گوگل برای آسان‌تر کردن زندگی طراحی شده‌اند، اما اغلب مشکلاتی را اضافه می‌کنند. به عنوان مثال، شهر کاربر توسط IP کاربر از طریق WHOIS تعیین می شود. بر اساس این اطلاعات، گوگل نه تنها بار بین سرورها را متعادل می کند، بلکه نتایج جستجو را نیز تغییر می دهد. بسته به منطقه، برای همان درخواست، نتایج مختلفی در صفحه اول ظاهر می شود و ممکن است برخی از آنها کاملاً پنهان شوند. کد دو حرفی بعد از دستورالعمل gl=country به شما کمک می کند احساس کنید که یک جهان وطن هستید و اطلاعات هر کشوری را جستجو کنید. به عنوان مثال، کد هلند NL است، اما واتیکان و کره شمالی کد خود را در گوگل ندارند.

اغلب، نتایج جستجو حتی پس از استفاده از چندین فیلتر پیشرفته به هم ریخته می شوند. در این حالت می توان با افزودن چند کلمه استثنا به آن درخواست را روشن کرد (در مقابل هر یک علامت منفی قرار می گیرد). به عنوان مثال، بانکداری، نام ها و آموزش اغلب با کلمه Personal استفاده می شود. بنابراین، نتایج جستجوی تمیزتر نه با یک مثال کتاب درسی از یک پرس و جو، بلکه با یک نمونه تصفیه شده نشان داده می شود:

عنوان:"شاخص /شخصی/" -نام ها -آموزش -بانکداری

یک نمونه آخر

یک هکر پیشرفته با این واقعیت متمایز می شود که هر آنچه را که نیاز دارد به تنهایی برای خود فراهم می کند. به عنوان مثال، VPN یک چیز راحت است، اما یا گران است، یا موقت و با محدودیت. ثبت نام برای اشتراک برای خودتان بسیار گران است. خوب است که اشتراک های گروهی وجود دارد و با کمک گوگل می توان به راحتی عضو یک گروه شد. برای انجام این کار، فقط فایل پیکربندی Cisco VPN را پیدا کنید که دارای پسوند PCF نسبتاً غیر استاندارد و یک مسیر قابل تشخیص است: Program Files\Cisco Systems\VPN Client\Profiles. یک درخواست و به عنوان مثال به تیم دوستانه دانشگاه بن ملحق می شوید.

نوع فایل: pcf vpn OR Group

اطلاعات

گوگل فایل های پیکربندی رمز عبور را پیدا می کند، اما بسیاری از آنها رمزگذاری شده یا با هش جایگزین شده اند. اگر رشته هایی با طول ثابت مشاهده کردید، فوراً به دنبال یک سرویس رمزگشایی باشید.

رمزهای عبور به صورت رمزگذاری شده ذخیره می شوند، اما موریس ماسارد قبلاً برنامه ای برای رمزگشایی آنها نوشته و آن را به صورت رایگان از طریق thecampusgeeks.com ارائه کرده است.

گوگل صدها کار انجام می دهد انواع متفاوتحملات و تست های نفوذ گزینه های زیادی وجود دارد که بر برنامه های محبوب، فرمت های اصلی پایگاه داده، آسیب پذیری های متعدد PHP، ابرها و غیره تأثیر می گذارد. دانستن اینکه دقیقاً به دنبال چه چیزی هستید، یافتن اطلاعات مورد نیازتان را بسیار آسان تر می کند (مخصوصاً اطلاعاتی که قصد نداشتید عمومی کنید). شودان تنها کسی نیست که با ایده های جالب تغذیه می شود، بلکه هر پایگاه داده ای از منابع شبکه نمایه شده است!

محبوب در دسته بندی: