알파는 모든 사용자 출판물에 제목을 부여합니다. 우리는 숨겨진 것을 찾기 위해 잘 알려지지 않은 Google 기능을 사용합니다. 새로운 플랫폼은 블로거에게 어떤 기회를 열어주나요?

2016년 11월 말, 텔레그램 메신저 개발팀은 온라인 퍼블리싱을 위한 새로운 서비스를 선보였습니다. 전신가벼운 웹 마크업 언어인 Markdown을 기반으로 방대한 텍스트를 만들 수 있는 특수 도구입니다. 이 플랫폼을 사용하면 사진, 비디오 및 기타 포함된 요소가 포함된 기사를 인터넷에 게시할 수 있습니다. 동시에 개인 데이터 등록이 필요하지 않으므로 완전한 익명성을 유지할 수 있습니다.

새로운 플랫폼은 블로거에게 어떤 기회를 열어주나요?

서비스 개발자에 따르면 사용자는 기존 미디어와 동일한 방식으로 정보를 제공할 수 있습니다. Telegraph에는 이에 필요한 모든 것이 있습니다.

제품의 다양성을 보여주기 위해 개발자는 telegra.ph 도메인에 API를 게시했습니다.

외부적으로 Telegraph 콘텐츠는 일반 미디어의 웹 리소스에 게시된 자료와 다르지 않지만 저자의 익명성과 메신저에서 직접 기사를 볼 수 있다는 점은 현대 블로거에게 독특한 기회를 열어줍니다. 새로운 서비스를 사용하여 만들어진 가장 흥미로운 출판물은 훌륭한 형태로 제공됩니다.

텔레그래프로 작업하는 방법

이 도구를 사용하려면 www.telegra.ph를 방문해야 합니다. 이 주소로 이동하면 사용자는 제목, 이름, 이야기라는 간단한 세 줄이 있는 거의 비어 있는 페이지를 보게 됩니다.

• 제목 줄은 기사 제목을 작성하기 위한 것이며 출판 날짜와 함께 내용에 대한 링크를 형성합니다. 예를 들어, 4월 5일에 게시된 "웹 사이트를 상위 10위까지 홍보하는 방법"이라는 기사에는 "http://telegra.ph/Kak-prodvinut-sajt-v-top-10-04-"라는 링크가 있습니다. 05.”

telegra.ph 기사 작성 도구의 인터페이스는 매우 간단합니다.

• 귀하의 이름 항목은 선택 사항입니다. 작성자는 자신의 실명, 가명, 별명을 표시하거나 누구도 자신의 신원을 확인할 수 없도록 해당 줄을 완전히 비워 둘 수 있습니다. 시크릿 모드를 유지하면서 자료를 게시할 수 있는 기능은 매우 흥미롭습니다. 그러나 대부분의 작가는 자신의 저자임을 기꺼이 표시합니다.
• 당신의 스토리는 메인 콘텐츠를 만드는 장입니다. 이는 또한 위에서 논의한 텍스트 서식 지정 가능성을 열어줍니다. 기사를 작성하는 알고리즘은 매우 간단하고 직관적이므로 사용자가 작성하는 데 어려움이 없을 것입니다.

고유한 링크를 사용하면 게시된 자료를 Telegram뿐만 아니라 다른 사이트에서도 사용할 수 있습니다. 그러나 작성자는 언제든지 콘텐츠를 변경할 수 있습니다. 단, 이 기능은 쿠키가 저장된 경우에만 작동합니다.

모든 글을 쉽게 관리하려면 봇을 활용하세요

기사를 작성하려면 사용자가 최소한의 조치를 취해야 합니다. 그러나 이러한 용이성은 반대쪽. 추가 편집은 텍스트가 처음 게시된 동일한 장치 및 브라우저에서만 수행할 수 있습니다. 개발자들은 이러한 상황을 예측하고 출판물을 관리하기 위한 특별한 봇을 만들었습니다. 기능을 나열해 보겠습니다.

• 귀하의 텔레그램 계정에서 텔레그래프로 승인합니다. 이런 방식으로 항목을 생성하면 다른 장치에 로그인하고 편집 액세스 권한을 가질 수 있습니다. 각 장치에서 처음으로 로그인하면 로봇은 이전에 생성된 모든 게시물을 계정에 추가하도록 제안합니다.
• 모든 전신 게시물의 조회수 통계입니다. 이는 Telegram뿐만 아니라 외부 리소스로부터의 기사에 대한 모든 전환을 고려합니다. 자신의 출판물을 분석할 수 있을 뿐만 아니라 관심 있는 링크를 봇에 보내기만 하면 됩니다.
• 닉네임과 프로필 링크를 영구적으로 설정할 수 있어 매번 지정하지 않아도 됩니다.

전신 - 전통 미디어에 대한 실질적인 위협인가?

본질적으로 미디어 영역에 속하는 메신저는 유용한 정보를 게시할 수 있는 편리한 플랫폼으로 변모하면서 빠른 속도로 발전하고 있습니다. Telegraph와 같은 서비스의 출현으로 최종 사용자를 유치할 수 있는 본격적인 비즈니스 플랫폼을 만드는 것이 더욱 쉬워졌습니다. 이미 많은 브랜드는 이러한 유형의 커뮤니케이션이 점점 더 중요해지고 있다는 사실을 이해하고 있습니다.

그러나 일반적으로 인스턴트 메신저, 특히 텔레그래프가 전통 미디어와 직접적인 경쟁을 벌이고 있다고 말하기는 아직 이르다. 전문가들은 이러한 서비스를 인터넷 콘텐츠 생성을 위한 추가 도구로 정의하며 이는 미디어에 도움이 될 수 있지만 현 개발 단계에서는 이를 완전히 흡수할 수 없습니다.

온라인 미디어는 경쟁 플랫폼을 경계합니다.

해킹 구글 도움말

알렉산더 안티포프

검색 엔진 구글 시스템(www.google.com)은 다양한 검색 옵션을 제공합니다. 이러한 모든 기능은 인터넷을 처음 접하는 사용자를 위한 귀중한 검색 도구이자 동시에 해커뿐만 아니라 컴퓨터가 아닌 범죄자 및 테러리스트라도.
(1주 동안 조회수 9475회)

데니스 바란코프
데니스NOSPAMixi.ru

주목:이 글은 행동 지침이 아닙니다. 이 기사는 웹 서버 관리자 여러분을 위해 작성되었으므로 여러분은 안전하다는 잘못된 느낌을 버리고 마침내 이러한 정보 획득 방법의 교활함을 이해하고 사이트를 보호하는 임무를 맡게 될 것입니다.

소개

예를 들어 0.14초 만에 1670페이지를 찾았어요!

2. 예를 들어, 다른 줄을 입력해 보겠습니다.

inurl:"auth_user_file.txt"

조금 적지만 무료 다운로드 및 비밀번호 추측(동일한 John The Ripper 사용)에는 이미 충분합니다. 아래에서 더 많은 예를 들어 보겠습니다.

따라서 Google 검색 엔진이 대부분의 인터넷 사이트를 방문하고 해당 사이트에 포함된 정보를 캐시했다는 사실을 인식해야 합니다. 이렇게 캐시된 정보를 사용하면 사이트에 직접 연결하지 않고도 Google 내부에 저장된 정보를 탐색하는 것만으로 사이트 및 사이트 콘텐츠에 대한 정보를 얻을 수 있습니다. 또한 사이트의 정보를 더 이상 사용할 수 없는 경우 캐시의 정보는 계속 보존될 수 있습니다. 이 방법에 필요한 것은 몇 가지 Google 키워드를 아는 것뿐입니다. 이 기술을 Google 해킹이라고 합니다.

Google 해킹에 대한 정보는 3년 전 Bugtruck 메일링 리스트에 처음 등장했습니다. 2001년에 한 프랑스 학생이 이 주제를 제기했습니다. 다음은 이 편지에 대한 링크입니다(http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html). 이러한 쿼리의 첫 번째 예를 제공합니다.

1) /admin의 색인
2) /password 인덱스
3) /mail의 인덱스
4) / +banques +filetype:xls 색인(프랑스의 경우...)
5) / +passwd 인덱스
6) /password.txt의 색인

이 주제는 최근 인터넷의 영어 읽기 부문에서 큰 반향을 일으켰습니다. 2004년 5월 7일에 출판된 Johnny Long의 기사 이후였습니다. Google 해킹에 대한 보다 완전한 연구를 위해서는 이 저자의 웹사이트 http://johnny.ihackstuff.com을 방문하는 것이 좋습니다. 이 기사에서는 최신 소식을 전해드리고 싶습니다.

누가 이것을 사용할 수 있습니까?
- 언론인, 스파이, 그리고 다른 사람의 일에 끼어들기를 좋아하는 모든 사람들은 이 앱을 이용해 유죄 증거를 찾을 수 있습니다.
- 해킹에 적합한 대상을 찾는 해커.

Google의 작동 방식

대화를 계속하려면 Google 검색어에 사용되는 몇 가지 키워드를 상기시켜 드리겠습니다.

+ 기호를 사용하여 검색

Google은 중요하지 않다고 판단되는 단어를 검색에서 제외합니다. 예를 들어, 질문 단어, 전치사 및 관사는 다음과 같습니다. 영어: 예를 들어 are, of, where 등이 있습니다. 러시아어로 구글 언어모든 단어를 중요하게 생각하는 것 같습니다. 검색에서 단어가 제외되면 Google은 해당 단어에 대해 기록합니다. Google에서 이러한 단어가 포함된 페이지 검색을 시작하려면 단어 앞에 공백 없이 + 기호를 추가해야 합니다. 예를 들어:

에이스 + 베이스

기호를 사용하여 검색 –

Google에서 특정 주제가 포함된 페이지를 제외해야 하는 페이지를 많이 찾은 경우 Google에서 특정 단어가 포함되지 않은 페이지만 검색하도록 강제할 수 있습니다. 이렇게 하려면 단어 앞에 공백 없이 각 단어 앞에 기호를 배치하여 이러한 단어를 표시해야 합니다. 예를 들어:

낚시 - 보드카

~를 사용하여 검색

지정된 단어뿐만 아니라 해당 단어의 동의어도 검색할 수 있습니다. 이렇게 하려면 단어 앞에 ~ 기호를 붙입니다.

큰따옴표를 사용하여 정확한 문구 찾기

Google은 각 페이지에서 검색어 문자열에 작성한 모든 단어를 검색하며, 지정된 모든 단어가 동시에 페이지에 있는 한 단어의 상대적 위치에는 신경 쓰지 않습니다. 기본 동작). 정확한 문구를 찾으려면 따옴표로 묶어야 합니다. 예를 들어:

"북엔드"

지정된 단어 중 하나 이상을 가지려면 OR이라는 논리 연산을 명시적으로 지정해야 합니다. 예를 들어:

책 안전 또는 보호

또한 검색창에 * 기호를 사용하여 단어를 표시할 수 있습니다. 어떤 캐릭터를 표현하기 위해

추가 연산자를 사용하여 단어 검색

검색 문자열에 다음 형식으로 지정된 검색 연산자가 있습니다.

연산자:search_term

콜론 옆의 공백은 필요하지 않습니다. 콜론 뒤에 공백을 삽입하면 오류 메시지가 표시되며 그 앞에는 Google이 이를 일반 검색 문자열로 사용합니다.
추가 검색 연산자 그룹이 있습니다. 언어 - 결과를 보려는 언어 표시, 날짜 - 지난 3개월, 6개월 또는 12개월 동안의 결과 제한, 발생 횟수 - 검색해야 하는 문서의 위치 표시 라인: 제목, URL, 도메인의 모든 곳 - 지정된 사이트에서 검색하거나 반대로 검색에서 제외합니다. 안전 검색 - 지정된 유형의 정보가 포함된 사이트를 차단하고 검색 결과 페이지에서 제거합니다.
그러나 일부 연산자에는 추가 매개변수가 필요하지 않습니다(예: " 캐시:www.google.com"는 본격적인 검색 문자열이라고 할 수 있으며, 반대로 일부 키워드에는 검색어가 필요합니다. 예를 들어 " 사이트:www.google.com 도움말". 우리 주제에 비추어 살펴 보겠습니다. 다음 연산자:

운영자	설명	필요하다 추가 매개변수?
	search_term에 지정된 사이트에서만 검색하세요.
	search_term 유형의 문서에서만 검색
	제목에 search_term이 포함된 페이지 찾기
	제목에 모든 search_term 단어가 포함된 페이지 찾기
	주소에 search_term이라는 단어가 포함된 페이지를 찾습니다.
	주소에 모든 search_term 단어가 포함된 페이지를 찾습니다.

운영자 대지:검색을 지정된 사이트로만 제한하고 다음뿐만 아니라 지정할 수도 있습니다. 도메인 이름, IP 주소도 있습니다. 예를 들어 다음을 입력합니다.

운영자 파일 형식:검색을 특정 파일 형식으로 제한합니다. 예를 들어:

기사가 게시된 날짜를 기준으로 Google은 13가지 파일 형식 내에서 검색할 수 있습니다.

• Adobe 휴대용 문서 형식(pdf)
• 어도비 포스트스크립트(ps)
• 로터스 1-2-3(wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
• 로터스 워드프로(lwp)
• 맥쓰기(MW)
• 마이크로 소프트 엑셀(xls)
• 마이크로소프트 파워포인트(ppt)
• 마이크로 소프트 워드(문서)
• 마이크로소프트 웍스(wks, wps, wdb)
• 마이크로소프트 쓰기(wri)
• 리치 텍스트 형식(rtf)
• 충격파 플래시(swf)
• 텍스트(ans, txt)

운영자 링크:지정된 페이지를 가리키는 모든 페이지를 표시합니다.
인터넷에서 얼마나 많은 장소가 귀하에 대해 알고 있는지 확인하는 것은 항상 흥미로울 것입니다. 해보자:

운영자 은닉처:사이트의 버전을 표시합니다. 구글 캐시그녀가 언제 어떻게 보였는지 구글 최신이 페이지를 한 번 방문했습니다. 자주 변경되는 사이트를 살펴보겠습니다.

운영자 제목:페이지 제목에 지정된 단어를 검색합니다. 운영자 모든 제목:확장 프로그램입니다. 페이지 제목에 지정된 몇 개의 단어를 모두 검색합니다. 비교하다:

제목:화성으로의 비행
intitle:비행 intitle:on intitle:화성
allintitle:화성으로의 비행

운영자 URL: Google이 URL에 지정된 문자열을 포함하는 모든 페이지를 표시하도록 강제합니다. allinurl 연산자: URL의 모든 단어를 검색합니다. 예를 들어:

allinurl:산성 acid_stat_alerts.php

이 명령은 SNORT가 없는 사람들에게 특히 유용합니다. 최소한 실제 시스템에서 어떻게 작동하는지 볼 수는 있습니다.

Google을 이용한 해킹 방법

그래서 위의 연산자와 키워드의 조합을 이용하면 누구나 필요한 정보를 수집하고 취약점을 검색할 수 있다는 것을 알게 되었습니다. 이러한 기술을 흔히 Google 해킹이라고 합니다.

사이트 맵

site: 연산자를 사용하면 Google이 사이트에서 찾은 모든 링크를 나열할 수 있습니다. 일반적으로 스크립트에 의해 동적으로 생성된 페이지는 매개변수를 사용하여 색인을 생성하지 않으므로 일부 사이트에서는 ISAPI 필터를 사용하여 링크가 형식에 맞지 않도록 합니다. /article.asp?num=10&dst=5, 슬래시 포함 /기사/abc/num/10/dst/5. 이는 사이트가 일반적으로 검색 엔진에 의해 색인화되도록 수행됩니다.

해보자:

사이트:www.whitehouse.gov

Google은 웹사이트의 모든 페이지에 Whitehouse라는 단어가 포함되어 있다고 생각합니다. 이것이 우리가 모든 페이지를 얻는 데 사용하는 것입니다.
단순화된 버전도 있습니다:

사이트:whitehouse.gov

그리고 가장 좋은 점은 whitehouse.gov의 동지들이 우리가 그들의 사이트 구조를 살펴보고 심지어 Google이 다운로드한 캐시된 페이지를 살펴보았다는 사실조차 몰랐다는 것입니다. 이는 사이트의 구조를 연구하고 콘텐츠를 보는 데 사용될 수 있으며 당분간은 감지되지 않습니다.

디렉터리의 파일 목록 보기

웹 서버는 일반적인 디렉터리 대신 서버 디렉터리 목록을 표시할 수 있습니다. HTML 페이지. 이는 일반적으로 사용자가 선택하고 다운로드하도록 장려하기 위해 수행됩니다. 특정 파일. 그러나 많은 경우 관리자는 디렉토리의 내용을 표시할 의도가 없습니다. 이는 서버 구성이 잘못되었거나 서버가 부족하여 발생합니다. 홈페이지디렉토리에. 결과적으로 해커는 디렉토리에서 흥미로운 것을 찾아 자신의 목적에 맞게 사용할 기회를 갖게 됩니다. 이러한 페이지를 모두 찾으려면 해당 페이지에 index of라는 단어가 모두 포함되어 있다는 점만 알아두면 충분합니다. 그러나 단어 색인에는 그러한 페이지만 포함되어 있는 것이 아니기 때문에 검색어를 구체화하고 페이지 자체의 키워드를 고려해야 합니다. 따라서 검색어는 다음과 같습니다.

intitle:index.of 상위 디렉토리
intitle:index.of 이름 크기

대부분의 디렉토리 목록은 의도적이므로 처음에는 위치가 잘못된 목록을 찾는 데 어려움을 겪을 수 있습니다. 그러나 최소한 아래 설명된 대로 이미 목록을 사용하여 웹 서버 버전을 확인할 수 있습니다.

웹 서버 버전을 얻는 중입니다.

해커 공격을 시작하기 전에 웹 서버 버전을 아는 것이 항상 유용합니다. 이번에도 Google 덕분에 서버에 연결하지 않고도 이 정보를 얻을 수 있습니다. 디렉토리 목록을 자세히 살펴보면 웹 서버의 이름과 버전이 표시되어 있는 것을 볼 수 있습니다.

Apache1.3.29 - trf296.free.fr 포트 80의 ProXad 서버

숙련된 관리자는 이 정보를 변경할 수 있지만 일반적으로 이는 사실입니다. 따라서 이 정보를 얻으려면 요청을 보내는 것으로 충분합니다.

제목:index.of server.at

특정 서버에 대한 정보를 얻으려면 요청을 명확히 해야 합니다.

제목:index.of server.at 사이트:ibm.com

또는 그 반대로 특정 버전의 서버를 실행하는 서버를 찾고 있습니다.

제목:index.of Apache/2.0.40 서버 위치

이 기술은 해커가 피해자를 찾는 데 사용될 수 있습니다. 예를 들어, 특정 버전의 웹 서버에 대한 익스플로잇이 있는 경우 이를 찾아서 기존 익스플로잇을 시도할 수 있습니다.

최신 버전의 WEB 서버 설치 시 기본적으로 설치되는 페이지를 확인하여 서버 버전을 확인할 수도 있습니다. 예를 들어 Apache 1.2.6 테스트 페이지를 보려면 다음을 입력하십시오.

제목:Test.Page.for.Apache it.worked!

게다가 일부 운영체제설치하는 동안 즉시 웹 서버를 설치하고 실행합니다. 그러나 일부 사용자들은 이 사실조차 인지하지 못하고 있습니다. 당연히 누군가가 기본 페이지를 제거하지 않은 것을 보면 컴퓨터가 전혀 사용자 정의되지 않았으며 공격에 취약할 가능성이 있다고 가정하는 것이 논리적입니다.

IIS 5.0 페이지를 검색해 보세요.

allintitle:Windows 2000 인터넷 서비스에 오신 것을 환영합니다.

IIS의 경우 서버 버전뿐만 아니라 윈도우 버전및 서비스 팩.

WEB 서버 버전을 확인하는 또 다른 방법은 사이트에 기본적으로 설치될 수 있는 설명서(도움말 페이지)와 예제를 검색하는 것입니다. 해커는 이러한 구성 요소를 사용하여 사이트에 대한 권한 있는 액세스를 얻는 몇 가지 방법을 발견했습니다. 그렇기 때문에 생산 현장에서 이러한 구성 요소를 제거해야 합니다. 이러한 구성 요소가 있으면 서버 유형 및 버전에 대한 정보를 얻을 수 있다는 사실은 말할 것도 없습니다. 예를 들어, Apache 매뉴얼을 찾아보겠습니다:

inurl:수동 Apache 지시문 모듈

Google을 CGI 스캐너로 사용.

CGI 스캐너 또는 WEB 스캐너는 피해자 서버에서 취약한 스크립트 및 프로그램을 검색하는 유틸리티입니다. 이러한 유틸리티는 무엇을 찾아야 하는지 알아야 합니다. 이를 위해 다음과 같은 취약한 파일의 전체 목록이 있습니다.

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

Google을 사용하여 이러한 각 파일을 찾을 수 있으며 검색 창에 파일 이름과 함께 index of 또는 inurl이라는 단어를 추가로 사용하여 찾을 수 있습니다. 예를 들어 다음과 같이 취약한 스크립트가 있는 사이트를 찾을 수 있습니다.

allinurl:/random_banner/index.cgi

추가 지식을 사용하여 해커는 스크립트의 취약점을 악용하고 이 취약점을 사용하여 스크립트가 서버에 저장된 모든 파일을 강제로 내보내도록 할 수 있습니다. 예를 들어, 비밀번호 파일입니다.

Google 해킹으로부터 자신을 보호하는 방법.

1. WEB 서버에 중요한 데이터를 게시하지 마십시오.

일시적으로 데이터를 게시했더라도 잊어버리거나 삭제하기 전에 누군가가 이 데이터를 찾아 가져갈 시간이 있을 수 있습니다. 이러지 마세요. 도난을 방지하기 위해 데이터를 전송하는 다른 방법도 많이 있습니다.

2. 사이트를 확인하세요.

귀하의 사이트를 조사하려면 설명된 방법을 사용하십시오. 사이트 http://johnny.ihackstuff.com에 나타나는 새로운 방법을 정기적으로 확인하십시오. 작업을 자동화하려면 Google로부터 특별 허가를 받아야 한다는 점을 기억하세요. 잘 읽어보시면 http://www.google.com/terms_of_service.html을 클릭하면 다음 문구가 표시됩니다. Google의 사전 명시적 허가 없이는 Google 시스템에 어떤 종류의 자동 검색어도 보낼 수 없습니다.

3. 귀하의 사이트 또는 그 일부를 색인화하는 데 Google이 필요하지 않을 수도 있습니다.

Google에서는 귀하의 사이트에 대한 링크나 그 일부를 데이터베이스에서 제거할 수 있을 뿐만 아니라 캐시에서 페이지를 제거할 수 있습니다. 또한 사이트에서 이미지 검색을 금지하고, 짧은 페이지 조각이 검색 결과에 표시되는 것을 금지할 수 있습니다. 사이트 삭제에 대한 모든 가능성은 페이지에 설명되어 있습니다. http://www.google.com/remove.html. 이렇게 하려면 귀하가 실제로 이 사이트의 소유자인지 확인하거나 페이지에 태그를 삽입해야 합니다.

4. robots.txt를 사용하세요

검색 엔진은 사이트 루트에 있는 robots.txt 파일을 보고 다음 단어로 표시된 부분을 색인화하지 않는 것으로 알려져 있습니다. 허용하지 않음. 이를 사용하여 사이트의 일부가 색인화되는 것을 방지할 수 있습니다. 예를 들어 전체 사이트의 색인이 생성되지 않도록 하려면 다음 두 줄이 포함된 robots.txt 파일을 만듭니다.

사용자 에이전트: *
허용하지 않음: /

또 무슨 일이 일어나는지

인생이 당신에게 꿀처럼 보이지 않도록 마지막으로 위에서 설명한 방법을 사용하여 스크립트와 웹 서버에서 구멍을 찾는 사람들을 모니터링하는 사이트가 있다고 말씀 드리겠습니다. 그러한 페이지의 예는 다음과 같습니다.

애플리케이션.

조금 달콤합니다. 다음 중 몇 가지를 직접 시도해 보세요.

1. #mysql dump filetype:sql - 데이터베이스 덤프 검색 MySQL 데이터
2. 호스트 취약점 요약 보고서 - 다른 사람들이 발견한 취약점을 보여줍니다.
3. inurl:main.php에서 실행 중인 phpMyAdmin - phpmyadmin 패널을 통해 제어가 강제로 닫힙니다.
4. 기밀 배포용이 아닙니다.
5. 요청 세부 사항 제어 트리 서버 변수
6. 어린이 모드로 실행
7. 이 보고서는 WebLog에 의해 생성되었습니다.
8. 제목:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs – 누군가 방화벽 구성 파일이 필요한가요? :)
10. 제목:index.of Finances.xls – 흠....
11. intitle:dbconvert.exe 채팅 ​​색인 – icq 채팅 로그
12.intext:Tobias Oetiker 트래픽 분석
13. intitle:Webalizer에 의해 생성된 사용 통계
14. intitle:고급 웹 통계 통계
15. intitle:index.of ws_ftp.ini – ws ftp 구성
16. inurl:ipsec.secrets는 공유 비밀을 보유합니다 - 비밀 키 - 좋은 찾기
17. inurl:main.php phpMyAdmin에 오신 것을 환영합니다.
18. inurl:server-info 아파치 서버 정보
19. 사이트:교육 관리자 성적
20. ORA-00921: SQL 명령의 예기치 않은 종료 - 경로 가져오기
21. 제목:index.of trillian.ini
22. intitle:pwd.db의 색인
23.제목:index.of people.lst
24. 제목:master.passwd의 index.
25.inurl:passlist.txt
26. intitle:.mysql_history의 인덱스
27. intitle:intext 인덱스:globals.inc
28. 제목:index.ofadmins.pwd
29. 제목:Index.of 등 ​​그림자
30.제목:index.ofsecring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:파일 형식 수행:ini

"Google을 통한 해킹"

교육 센터 "Informzashchita" http://www.itsecurity.ru - 교육 분야의 선도적인 전문 센터 정보 보안(모스크바 교육위원회 라이센스 번호 015470, 국가 인증 번호 004251). 기업을 위한 유일한 공인 교육센터 인터넷 보안러시아 및 CIS 국가의 시스템 및 Clearswift. Microsoft 공인 교육 센터(보안 전문화) 훈련 프로그램은 러시아 국가 기술 위원회인 FSB(FAPSI)와 협력합니다. 훈련 증명서 및 고급 훈련에 관한 주 문서.

SoftKey는 구매자, 개발자, 딜러 및 제휴 파트너를 위한 고유한 서비스입니다. 게다가 이것은 그 중 하나이다. 최고의 온라인 상점러시아, 우크라이나, 카자흐스탄의 소프트웨어는 고객에게 다양한 결제 방법, 신속한(종종 즉시) 주문 처리, 개인 섹션의 주문 프로세스 추적, 매장 및 소프트웨어 제조업체의 다양한 할인을 제공합니다.

google.com을 사용하여 올바르게 검색하는 방법

아마 다들 이거 사용법은 아실거에요 검색 엔진, Google과 같습니다 =) 그러나 특수 구조를 사용하여 검색어를 올바르게 작성하면 원하는 결과를 훨씬 더 효율적이고 빠르게 얻을 수 있다는 것을 모든 사람이 아는 것은 아닙니다. =) 이 기사에서는 무엇을 어떻게 보여 주려고 노력할 것입니다 올바르게 검색하려면 수행해야 할 작업

Google은 google.com에서 검색할 때 특별한 의미를 갖는 여러 고급 검색 연산자를 지원합니다. 일반적으로 이러한 연산자는 검색어를 변경하거나 Google에 검색어를 완전히 변경하도록 지시합니다. 다양한 방식찾다. 예를 들어, 디자인 링크:는 특수 연산자이고 요청은 링크: www.google.com일반 검색을 제공하지 않고 대신 google.com에 대한 링크가 있는 모든 웹페이지를 찾습니다.
대체 요청 유형

은닉처:검색어에 다른 단어를 포함하면 Google은 캐시된 문서에 포함된 단어를 강조표시합니다.
예를 들어, 캐시:www.website"웹"이라는 단어가 강조 표시된 캐시된 콘텐츠를 표시합니다.

링크:위의 검색어는 지정된 검색어에 대한 링크가 포함된 웹페이지를 표시합니다.
예를 들어: 링크:www.site http://www.site에 대한 링크가 있는 모든 페이지가 표시됩니다.

관련된:지정된 웹 페이지와 "관련"된 웹 페이지를 표시합니다.
예를 들어, 관련: www.google.com Google 홈페이지와 유사한 웹페이지가 나열됩니다.

정보:검색어 정보: 귀하가 요청하는 웹페이지에 대해 Google이 갖고 있는 정보 중 일부를 표시합니다.
예를 들어, 정보:웹사이트우리 포럼에 대한 정보를 보여줄 것입니다 =) (Armada - 성인 웹마스터 포럼).

기타 정보 요청

정의하다:정의: 쿼리는 다양한 온라인 소스에서 수집된 쿼리 뒤에 입력하는 단어에 대한 정의를 제공합니다. 정의는 입력된 전체 구문에 대한 것입니다(즉, 정확한 쿼리의 모든 단어가 포함됩니다).

주식:주식으로 검색을 시작하는 경우: Google은 나머지 검색어를 주식 기호로 처리하고 이러한 기호에 대해 미리 만들어진 정보를 표시하는 페이지로 연결합니다.
예를 들어, 주식:인텔 야후 Intel과 Yahoo에 대한 정보가 표시됩니다. (회사 이름이 아닌 속보 기호를 입력해야 합니다.)

쿼리 수정자

대지:검색어에 site:를 포함하면 Google은 해당 도메인에서 찾은 웹사이트로 결과를 제한합니다.
ru, org, com 등 개별 영역별로 검색할 수도 있습니다( 사이트:com 사이트:루)

모든 제목: allintitle:을 사용하여 쿼리를 실행하면 Google은 제목에 있는 모든 쿼리 단어로 결과를 제한합니다.
예를 들어, allintitle: 구글 검색이미지, 블로그 등 검색을 통해 모든 Google 페이지를 반환합니다.

제목:검색어에 intitle:을 포함하면 Google은 제목에 해당 단어가 포함된 문서로 결과를 제한합니다.
예를 들어, 제목:비즈니스

모든 URL: allinurl을 사용하여 쿼리를 실행하는 경우: Google은 결과를 URL의 모든 쿼리 단어로 제한합니다.
예를 들어, allinurl: 구글 검색 Google로 문서를 반환하고 제목으로 검색합니다. 또한 옵션으로 슬래시(/)로 단어를 구분할 수 있으며, 그러면 슬래시 양쪽에 있는 단어가 동일한 페이지 내에서 검색됩니다. allinurl: foo/bar

URL:검색어에 inurl:을 포함하면 Google은 URL에 해당 단어가 포함된 문서로 결과를 제한합니다.
예를 들어, 애니메이션 URL:사이트

내용:링크의 제목과 텍스트, 기타 관련 없는 내용을 무시하고 페이지의 텍스트에서 지정된 단어만 검색합니다. 이 수식어의 파생어도 있습니다. 모든 내용:저것들. 또한 쿼리의 모든 단어는 텍스트에서만 검색됩니다. 이는 링크에서 자주 사용되는 단어를 무시하고 중요할 수도 있습니다.
예를 들어, 텍스트:포럼

날짜 범위:기간(날짜 범위:2452389-2452389)으로 검색하면 시간에 대한 날짜가 율리우스 형식으로 표시됩니다.

음, 그리고 모든 종류의 흥미로운 쿼리 예가 있습니다.

Google에 대한 쿼리 작성의 예. 스패머의 경우

Inurl:control.guest?a=sign

사이트:books.dreambook.com “홈페이지 URL” “내 서명” inurl:sign

사이트:www.freegb.net 홈페이지

Inurl:sign.asp “문자 수”

"메시지:" inurl:sign.cfm "발신자:"

Inurl:register.php “사용자 등록” “웹사이트”

Inurl:edu/guestbook “방명록에 서명하세요”

Inurl:post “댓글 게시” “URL”

Inurl:/archives/ “댓글:” “정보를 기억하시나요?”

“스크립트 및 방명록 작성자:” “URL:” “댓글:”

Inurl:?action=“phpBook” “URL”을 추가하세요.

제목: "새 스토리 제출"

잡지

URL:www.livejournal.com/users/mode=reply

Inurl maximumjournal.com/ mode=reply

URL:fastbb.ru/re.pl?

Inurl:fastbb.ru /re.pl? "방명록"

블로그

Inurl:blogger.com/comment.g?”postID””익명”

Inurl:typepad.com/ “댓글 달기” “개인 정보를 기억하시나요?”

Inurl:greatestjournal.com/community/ “댓글 게시” “익명의 게시자 주소”

“댓글 게시” “익명의 게시자 주소” -

제목: "댓글 게시"

Inurl:pirillo.com “댓글 게시”

포럼

Inurl:gate.html?”name=Forums” “mode=reply”

Inurl:”forum/posting.php?mode=reply”

Inurl:"mes.php?"

Inurl:”members.html”

Inurl:forum/memberlist.php?”

스토리 기능(러시아어 현지화에서는 "스토리")을 사용하면 텍스트, 이모티콘, 손글씨 메모가 오버레이된 사진과 10초 비디오를 만들 수 있습니다. 주요 특징이러한 게시물의 특징은 피드의 일반 게시와는 달리 영구적으로 유지되지 않으며 정확히 24시간 후에 삭제된다는 것입니다.

왜 필요한가?

공식 인스타그램 설명에 따르면 새로운 기능교환에 별로 필요하지 않음 중요한 정보일상생활에 대해.

사용 방법

핵심적으로 혁신은 매우 유사하고 거의 동일하게 작동하지만 사소한 차이점이 있습니다. 기회가 있다는 사실에도 불구하고 인스타그램 스토리그다지 많지도 않고 모두 매우 간단하므로 모든 사용자가 즉시 알아낼 수 있는 것은 아닙니다.

스토리 보기

사용 가능한 모든 스토리는 사용자 아바타와 함께 원 형태로 피드 상단에 표시되며 스크롤하는 동안 숨겨집니다. 새로운 이야기는 연재되면서 등장하고, 하루가 지나면 흔적도 없이 사라진다. 이 경우 스토리는 시간순이 아닌 재생 횟수와 댓글 수를 기준으로 정렬됩니다.

보려면 원을 탭하기만 하면 됩니다. 사진이나 비디오가 열리고 10초 동안 표시됩니다. 길게 탭하면 동영상이 일시중지됩니다.

상단의 사용자 이름 옆에 게시 시간이 표시됩니다. 당신이 팔로우하는 사람들이 다른 스토리를 갖고 있다면, 첫 번째 스토리 바로 다음에 다음 스토리가 표시됩니다. 왼쪽과 오른쪽으로 스와이프하여 전환할 수 있습니다.

이미 본 스토리는 메뉴에서 사라지지 않고 회색으로 표시됩니다. 하루가 지난 후 삭제될 때까지 다시 열 수 있습니다.

Direct로 전송되고 모든 구독자가 아닌 작성자에게만 표시되는 메시지를 통해서만 스토리에 댓글을 달 수 있습니다. 이것이 버그인지 기능인지는 알 수 없습니다.

스토리 만들기

피드 상단의 더하기 기호를 클릭하고 화면 가장자리에서 오른쪽으로 스와이프하면 새 스토리를 녹화할 수 있는 메뉴가 열립니다. 여기에서는 모든 것이 간단합니다. 녹화 버튼을 탭하면 사진이 찍히고 길게 누르면 동영상이 촬영됩니다.

촬영 또는 업로드

전면 및 후면 카메라를 전환하거나 플래시를 켤 수 있습니다. 지난 24시간 동안 촬영된 미디어 파일 중에서 미디어 파일을 선택하는 것도 쉽습니다. 아래로 스와이프하면 됩니다. 저속 촬영 및 브랜드 부메랑을 포함하여 갤러리의 모든 사진이 여기에 표시됩니다.

치료

사진이나 동영상이 준비되면 처리 후 게시할 수 있습니다. 사진과 비디오 모두 필터, 텍스트, 이모티콘, 그림 등 도구가 동일합니다.

필터는 화면 가장자리에서 간단히 스와이프하여 원 모양으로 전환됩니다. 인스타그램 아이콘과 같은 무지개 그라데이션을 포함해 총 6개가 있습니다.

추가된 텍스트는 확대 또는 축소되거나 사진 주위로 이동할 수 있습니다. 하지만 아쉽게도 댓글은 한 개 이상 남길 수 없습니다. 이모티콘도 텍스트를 통해 삽입되기 때문에 이모티콘으로 얼굴을 가리고 싶다면 선택해야 한다.

그리기에는 조금 더 많은 옵션이 있습니다. 우리는 팔레트와 3개의 브러시(일반, 마커, "네온" 스트로크 포함)를 사용할 수 있습니다. 한 번에 모든 사람과 함께 그림을 그릴 수 있으며 잘못된 스트로크를 취소할 수 있습니다.

결과에 만족하시나요? 체크 표시 버튼을 클릭하면 구독자가 동영상을 볼 수 있습니다. 전후 모두 갤러리에 저장할 수 있습니다.

개인정보 설정, 통계

스토리를 시청하는 동안 위로 스와이프하면 설정 및 통계 화면이 호출됩니다. 여기에서 스토리를 갤러리에 저장하거나, 삭제하거나, 메인 피드에 게시하여 일반 게시물로 전환할 수 있습니다. 아래에는 관중 목록이 표시됩니다. 이름 옆에 있는 십자가를 클릭하면 스토리를 숨길 수 있습니다.

톱니바퀴 아이콘 뒤에 숨겨진 설정을 사용하면 스토리에 응답할 수 있는 사람을 선택하고 특정 구독자에게 스토리를 숨길 수 있습니다. 이 경우 개인정보 보호 설정이 기억되어 이후의 모든 발행물에 적용됩니다.

그것과 함께 사는 방법

괜찮은. 예, 많은 사람들이 Snapchat과의 유사성 및 개발자가 집중해야 할 Instagram의 해결되지 않은 문제로 인해 Stories에 적대적이었습니다. 그러나 나는 혁신이 유용하다고 생각합니다.

문자 그대로 모든 단계를 게시하는 친구를 팔로우 해제해야 하는 복잡한 피드 문제는 오랫동안 존재해 왔으며 명확한 해결책이 발명되지 않았습니다. 이야기는 이를 향한 첫 번째 단계로 간주될 수 있습니다. 시간이 지남에 따라 사람들은 에서 제공하는 행동 문화에 익숙해지고 정말 중요하고 주목할 만한 콘텐츠만 피드에 게시하기 시작해야 합니다. 다른 모든 것은 스토리에 들어가야 합니다. 사실인가요?

개인 데이터를 얻는 것이 항상 해킹을 의미하는 것은 아닙니다. 공개 액세스. 지식 구글 설정약간의 독창성을 사용하면 신용 카드 번호부터 FBI 문서까지 흥미로운 것들을 많이 찾을 수 있습니다.

경고

모든 정보는 정보 제공의 목적으로만 제공됩니다. 편집자나 저자 모두 이 기사의 자료로 인해 발생할 수 있는 피해에 대해 책임을 지지 않습니다.

오늘날에는 모든 것이 인터넷에 연결되어 있어 액세스 제한에 대한 걱정이 거의 없습니다. 따라서 많은 개인 데이터가 검색 엔진의 먹이가 됩니다. 스파이더 로봇은 더 이상 웹 페이지에만 국한되지 않고 인터넷에서 사용 가능한 모든 콘텐츠를 색인화하고 비공개 정보를 데이터베이스에 지속적으로 추가합니다. 이러한 비밀을 알아내는 것은 쉽습니다. 이에 대해 물어보는 방법만 알면 됩니다.

파일을 찾는 중

유능한 사람이라면 Google은 개인 정보, 공식 사용을 위한 파일 등 인터넷에서 찾을 수 없는 모든 것을 신속하게 찾아낼 것입니다. 이들은 양탄자 아래 열쇠처럼 숨겨져 있는 경우가 많습니다. 실제 액세스 제한이 없으며 데이터는 링크가 연결되지 않는 사이트 뒷면에 있을 뿐입니다. 표준 Google 웹 인터페이스는 기본적인 고급 검색 설정만 제공하지만 이것만으로도 충분합니다.

filetype 및 ext 두 가지 연산자를 사용하여 Google 검색을 특정 파일 유형으로 제한할 수 있습니다. 첫 번째는 검색 엔진이 파일 제목에서 결정한 형식을 지정하고, 두 번째는 내부 내용에 관계없이 파일 확장자를 지정합니다. 두 경우 모두 검색할 때는 확장자만 지정하면 됩니다. 처음에는 파일에 특정 형식 특성이 없는 경우(예: 무엇이든 포함할 수 있는 ini 및 cfg 구성 파일 검색) ext 연산자를 사용하는 것이 편리했습니다. 이제 Google의 알고리즘이 변경되었으며 연산자 간에 눈에 띄는 차이가 없습니다. 대부분의 경우 결과는 동일합니다.

결과 필터링

기본적으로 Google은 색인이 생성된 페이지의 모든 파일에 있는 단어 및 일반적으로 입력된 문자를 검색합니다. 도메인별로 검색을 제한할 수 있습니다. 최상위 수준, 특정 사이트 또는 파일 자체의 원하는 시퀀스 위치에 있습니다. 처음 두 옵션의 경우 사이트 연산자를 사용하고 그 뒤에 도메인 이름이나 선택한 사이트 이름을 입력하세요. 세 번째 경우에는 전체 연산자 세트를 사용하여 서비스 필드 및 메타데이터의 정보를 검색할 수 있습니다. 예를 들어, allinurl은 링크 자체의 본문에서 주어진 항목인 allinanchor를 찾습니다. - 태그가 포함된 텍스트에서 , allintitle - 페이지 제목, allintext - 페이지 본문.

각 연산자에는 더 짧은 이름(접두사 all 제외)의 경량 버전이 있습니다. 차이점은 allinurl은 모든 단어가 포함된 링크를 찾고, inurl은 그 중 첫 번째 단어가 포함된 링크만 찾는다는 것입니다. 검색어의 두 번째 및 후속 단어는 웹페이지 어디에나 나타날 수 있습니다. inurl 연산자는 유사한 의미를 지닌 다른 연산자인 사이트와도 다릅니다. 첫 번째 방법을 사용하면 알려진 취약점이 있는 구성 요소를 찾는 데 널리 사용되는 검색된 문서(예: /cgi-bin/)에 대한 링크에서 일련의 문자를 찾을 수 있습니다.

실제로 시도해 봅시다. 우리는 allintext 필터를 사용하여 요청이 2년 후에만 만료되는(또는 소유자가 모든 사람에게 먹이를 주는 데 지쳤을 때) 신용 카드의 번호 및 확인 코드 목록을 생성하도록 합니다.

Allintext: 카드번호 유효기간/2017 cvv

젊은 해커가 국방부나 NASA의 서버를 해킹하여 기밀 정보를 훔쳤다는 뉴스를 읽을 때 대부분의 경우 Google을 사용하는 기본 기술에 대해 이야기하고 있습니다. NASA 직원 목록과 연락처 정보에 관심이 있다고 가정해 보겠습니다. 확실히 그러한 목록은 전자 형식으로 제공됩니다. 편의를 위해 또는 감독으로 인해 해당 조직의 웹사이트 자체에 있을 수도 있습니다. 이 경우에는 내부용이므로 링크가 없다는 것이 논리적입니다. 그러한 파일에는 어떤 단어가 포함될 수 있습니까? 최소한 "주소" 필드입니다. 이러한 모든 가정을 테스트하는 것은 쉽습니다.

Inurl:nasa.gov 파일 유형:xlsx "주소"

우리는 관료주의를 사용합니다

이와 같은 발견은 좋은 터치입니다. 웹마스터를 위한 Google 운영자, 네트워크 자체 및 찾고 있는 구조의 특성에 대한 보다 자세한 지식을 통해 정말 확실한 정보를 얻을 수 있습니다. 세부 사항을 알면 결과를 쉽게 필터링하고 필요한 파일의 속성을 구체화하여 나머지 부분에서 정말 귀중한 데이터를 얻을 수 있습니다. 관료주의가 여기서 구출된다는 것이 재밌습니다. 실수로 인터넷에 유출된 비밀 정보를 검색하는 데 편리한 표준 공식을 생성합니다.

예를 들어, 미국 국방부에서 요구하는 배포 명세서 스탬프는 문서 배포에 대한 표준화된 제한을 의미합니다. 문자 A는 비밀이 없는 공개 릴리스를 나타냅니다. B - 내부 전용, C - 엄격한 기밀 등 F까지 계속됩니다. 문자 X는 별도로 표시되며 최고 수준의 국가 비밀을 나타내는 특히 귀중한 정보를 표시합니다. 근무 중 이 작업을 수행해야 하는 사람들이 그러한 문서를 검색하도록 하십시오. 그러면 우리는 문자 C가 있는 파일로 제한하겠습니다. DoDI 지침 5230.24에 따르면 이 표시는 수출 통제에 해당하는 중요 기술에 대한 설명이 포함된 문서에 할당됩니다. . 미 육군에 할당된 최상위 domain.mil 사이트에서 신중하게 보호되는 정보를 찾을 수 있습니다.

"배포문 C" inurl:navy.mil

.mil 도메인에는 미국 국방부 및 그 계약 조직의 사이트만 포함되어 있어 매우 편리합니다. 도메인 제한이 있는 검색 결과는 매우 깨끗하며 제목 자체가 말해줍니다. 이런 방식으로 러시아 비밀을 검색하는 것은 사실상 쓸모가 없습니다. domains.ru 및.rf에서는 혼돈이 지배하고 많은 무기 시스템의 이름은 식물 이름 (PP "Kiparis", 자주포 "Akatsia")처럼 들리거나 심지어 멋진 ( TOS "부라티노").

.mil 도메인 사이트의 문서를 주의 깊게 조사하면 검색 범위를 좁힐 수 있는 다른 마커를 볼 수 있습니다. 예를 들어, 흥미로운 기술 정보를 검색하는 데에도 편리한 수출 제한 "Sec 2751"에 대한 참조가 있습니다. 한때 등장했던 공식 사이트에서는 삭제되는 경우가 있기 때문에 검색결과에서 흥미로운 링크를 따라갈 수 없다면 구글의 캐시(캐시 운영자)나 인터넷 아카이브 사이트를 이용해보세요.

구름 위로 올라가다

실수로 기밀 해제된 정부 문서 외에도 공개적으로 게시된 데이터에 대한 '비공개' 링크를 생성하는 Dropbox 및 기타 데이터 저장 서비스의 개인 파일 링크가 Google 캐시에 나타나는 경우가 있습니다. 대체 서비스와 직접 만든 서비스의 경우 상황은 더욱 악화됩니다. 예를 들어 다음 쿼리는 FTP 서버가 설치되어 있고 라우터를 적극적으로 사용하는 모든 Verizon 고객에 대한 데이터를 찾습니다.

Allinurl:ftp:// verizon.net

현재 그러한 똑똑한 사람들은 4만 명이 넘고, 2015년 봄에는 그 수가 더 많아졌습니다. Verizon.net 대신 잘 알려진 제공업체의 이름으로 대체할 수 있으며, 유명할수록 더 큰 피해를 입을 수 있습니다. 내장된 FTP 서버를 통해 공유기에 연결된 외부 저장장치에 있는 파일을 볼 수 있습니다. 일반적으로 이는 원격 작업, 개인 클라우드 또는 일종의 P2P 파일 다운로드를 위한 NAS입니다. 이러한 미디어의 모든 콘텐츠는 Google 및 기타 검색 엔진에 의해 색인화되므로 직접 링크를 통해 외부 드라이브에 저장된 파일에 액세스할 수 있습니다.

구성을 살펴보면

클라우드로의 광범위한 마이그레이션 이전에는 단순 FTP 서버가 원격 스토리지로 사용되었으며 이 역시 취약점이 많았습니다. 그 중 다수는 오늘날에도 여전히 관련이 있습니다. 예를 들어, 널리 사용되는 WS_FTP Professional 프로그램은 ws_ftp.ini 파일에 구성 데이터, 사용자 계정 및 비밀번호를 저장합니다. 모든 기록은 텍스트 형식으로 저장되며, 비밀번호는 난독화를 최소화한 Triple DES 알고리즘으로 암호화되므로 찾기 및 읽기가 쉽습니다. 대부분의 버전에서는 첫 번째 바이트를 삭제하는 것만으로도 충분합니다.

WS_FTP 비밀번호 해독기 유틸리티나 무료 웹 서비스를 사용하면 이러한 비밀번호를 쉽게 해독할 수 있습니다.

임의의 웹사이트 해킹에 관해 이야기할 때 일반적으로 CMS 또는 전자 상거래 애플리케이션의 구성 파일 백업 및 로그에서 비밀번호를 얻는 것을 의미합니다. 당신이 그들을 알고 있다면 전형적인 구조, 키워드를 쉽게 지정할 수 있습니다. ws_ftp.ini에 있는 것과 같은 줄은 매우 일반적입니다. 예를 들어 Drupal과 PrestaShop에는 항상 사용자 식별자(UID)와 해당 비밀번호(pwd)가 있으며 모든 정보는 .inc 확장자를 가진 파일에 저장됩니다. 다음과 같이 검색할 수 있습니다.

"pwd=" "UID=" 내선:inc

DBMS 비밀번호 공개

SQL 서버의 구성 파일에서 이름 및 주소 이메일사용자는 일반 텍스트로 저장되며 비밀번호 대신 MD5 해시가 기록됩니다. 엄밀히 말하면 암호를 해독하는 것은 불가능하지만 알려진 해시-비밀번호 쌍 중에서 일치하는 항목을 찾을 수 있습니다.

비밀번호 해싱조차 사용하지 않는 DBMS가 여전히 있습니다. 이들 중 하나의 구성 파일은 브라우저에서 간단히 볼 수 있습니다.

텍스트:DB_PASSWORD 파일 유형:env

출연 이후 윈도우 서버구성 파일의 위치는 레지스트리에서 부분적으로 차지했습니다. reg를 파일 유형으로 사용하여 정확히 동일한 방식으로 해당 분기를 검색할 수 있습니다. 예를 들어 다음과 같습니다.

파일 형식:reg HKEY_CURRENT_USER "비밀번호"=

당연한 사실을 잊지 말자

때로는 실수로 공개되어 Google의 주목을 받은 데이터를 사용하여 기밀 정보에 접근하는 것이 가능합니다. 완벽한 옵션- 일반적인 형식의 비밀번호 목록을 찾으세요. 계정 정보 저장 텍스트 파일, 워드 문서또는 Excel 스프레드시트는 절망적인 사람들만이 할 수 있지만 항상 충분합니다.

파일 형식:xls inurl:비밀번호

한편으로는 그러한 사고를 예방할 수 있는 방법이 많이 있습니다. htaccess에 적절한 액세스 권한을 지정하고 CMS를 패치하며 왼손 스크립트를 사용하지 말고 다른 구멍을 닫아야 합니다. 검색 엔진이 지정된 파일과 디렉터리를 색인화하는 것을 금지하는 robots.txt 예외 목록이 포함된 파일도 있습니다. 반면에 일부 서버의 robots.txt 구조가 표준 서버와 다른 경우 해당 서버에서 숨기려는 내용이 즉시 분명해집니다.

모든 사이트의 디렉터리 및 파일 목록 앞에는 표준 색인이 붙습니다. 서비스 목적을 위해서는 제목에 표시되어야 하므로 검색을 제목 연산자로 제한하는 것이 합리적입니다. 흥미로운 내용은 /admin/, /personal/, /etc/ 및 심지어 /secret/ 디렉토리에 있습니다.

업데이트를 계속 지켜봐주세요

여기서 관련성은 매우 중요합니다. 오래된 취약점은 매우 느리게 해결되지만 Google과 검색 결과는 지속적으로 변경됩니다. "마지막 순간" 필터(요청 URL 끝에 &tbs=qdr:s)와 "실시간" 필터(&tbs=qdr:1) 사이에도 차이가 있습니다.

날짜 시간 간격 마지막 업데이트 Google은 또한 파일을 암시적으로 표시합니다. 그래픽 웹 인터페이스를 통해 표준 기간(시, 일, 주 등) 중 하나를 선택하거나 날짜 범위를 설정할 수 있지만 이 방법은 자동화에 적합하지 않습니다.

주소 표시줄의 모양을 보면 &tbs=qdr: 구성을 사용하여 결과 출력을 제한하는 방법만 추측할 수 있습니다. 1년 제한을 설정한 뒤의 문자 y(&tbs=qdr:y), m은 지난 달의 결과를 표시합니다. w - 이번 주, d - 지난 날, h - 지난 시간, n - 잠시 동안, 그리고 s - 잠시만 기다려주세요. Google이 방금 공개한 가장 최근 결과는 &tbs=qdr:1 필터를 사용하여 찾을 수 있습니다.

영리한 스크립트를 작성해야 하는 경우 날짜 범위 연산자를 사용하여 Google에서 날짜 범위가 율리우스 형식으로 설정되어 있다는 것을 아는 것이 유용할 것입니다. 예를 들어, 목록을 찾는 방법은 다음과 같습니다. PDF 문서 2015년 1월 1일부터 7월 1일까지 업로드된 기밀 단어 포함.

기밀 파일 형식:pdf 날짜 범위:2457024-2457205

범위는 분수 부분을 고려하지 않고 율리우스력 날짜 형식으로 표시됩니다. 그레고리력에서 수동으로 번역하는 것은 불편합니다. 날짜 변환기를 사용하는 것이 더 쉽습니다.

다시 타겟팅 및 필터링

추가 연산자를 지정하는 것 외에도 검색어링크 본문에서 직접 보낼 수 있습니다. 예를 들어, filetype:pdf 사양은 as_filetype=pdf 구성에 해당합니다. 이렇게 하면 설명을 묻는 것이 편리해집니다. 검색 URL에 cr=countryHN 구문을 추가하여 온두라스 공화국의 결과 출력만 지정하고 Bobruisk 시(gcs=Bobruisk)에서만 결과 출력을 지정한다고 가정해 보겠습니다. 개발자 섹션에서 전체 목록을 찾을 수 있습니다.

Google의 자동화 도구는 삶을 더 쉽게 만들도록 설계되었지만 종종 문제를 추가합니다. 예를 들어, 사용자의 도시는 WHOIS를 통해 사용자의 IP에 의해 결정됩니다. 이 정보를 바탕으로 Google은 서버 간의 부하 균형을 조정할 뿐만 아니라 검색 결과도 변경합니다. 지역에 따라 동일한 요청에 대해 첫 번째 페이지에 다른 결과가 나타나며 일부는 완전히 숨겨질 수 있습니다. gl=country 지시문 뒤의 두 글자 코드는 국제적인 느낌을 주고 모든 국가의 정보를 검색하는 데 도움이 됩니다. 예를 들어 네덜란드의 코드는 NL인데, 바티칸과 북한은 구글에 자체 코드가 없습니다.

여러 고급 필터를 사용한 후에도 검색 결과가 복잡해지는 경우가 많습니다. 이 경우 여러 예외 단어를 추가하여 요청을 명확하게 하는 것이 쉽습니다(각 예외 단어 앞에 빼기 기호가 표시됨). 예를 들어, 뱅킹, 이름, 튜토리얼 등은 개인이라는 단어와 함께 사용되는 경우가 많습니다. 따라서 더 깔끔한 검색 결과는 교과서적인 쿼리 예시가 아닌 정제된 예시로 표시됩니다.

제목:"/개인/색인" -names -tutorial -banking

마지막 예

정교한 해커는 필요한 모든 것을 스스로 제공한다는 점에서 구별됩니다. 예를 들어, VPN은 편리하지만 비용이 많이 들거나 일시적이고 제한이 있습니다. 자신을 위해 구독을 신청하는 것은 비용이 너무 많이 듭니다. 그룹 구독이 있다는 점은 좋은데, Google의 도움으로 그룹에 쉽게 가입할 수 있습니다. 이렇게 하려면 표준이 아닌 PCF 확장자와 인식 가능한 경로(Program Files\Cisco Systems\VPN Client\Profiles)가 있는 Cisco VPN 구성 파일을 찾으십시오. 예를 들어, 한 번의 요청으로 본 대학교의 친절한 팀에 합류하게 됩니다.

파일 유형:pcf vpn OR 그룹

정보

Google에서는 비밀번호 구성 파일을 찾았지만 그 중 상당수가 암호화되거나 해시로 대체되었습니다. 고정 길이의 문자열이 보이면 즉시 암호 해독 서비스를 찾으십시오.

비밀번호는 암호화되어 저장되지만 Maurice Massard는 이미 비밀번호를 해독하는 프로그램을 작성하여 thecampusgeeks.com을 통해 무료로 제공하고 있습니다.

Google은 수백 가지 일을 합니다. 다른 유형공격 및 침투 테스트. 인기 있는 프로그램, 주요 데이터베이스 형식, PHP의 수많은 취약점, 클라우드 등에 영향을 미치는 다양한 옵션이 있습니다. 찾고 있는 것이 무엇인지 정확히 알면 필요한 정보(특히 공개할 의도가 없었던 정보)를 훨씬 쉽게 찾을 수 있습니다. Shodan은 흥미로운 아이디어를 제공하는 유일한 제품이 아니라 색인화된 네트워크 리소스의 모든 데이터베이스를 제공합니다!