Взлом при помощи Google

За последние годы было много статей, новостей о том, что хакеры используют поисковую систему Google, чтобы получить доступ к файлам. Возможно, эта статья кому-то нечего нового не даст, но лично я всегда задавался вопросом, как это все работает. Если решили читать дальше, то я рад! Джеймс Миддлетон написал статью в 2001 году о разговоре с хакерами, использующих специальную строку для поиска на Google, чтобы найти банковские данные:

Один такой поиск 'Index of / +banques +filetype:xls' в конечно счете показывал электронные таблицы Excel от Французских банков. Та же самая методика могла также использоваться, чтобы найти файлы c паролями и т.д.

Другая статья, которая появилась на wired.com, рассказывала, как популярный последние пару лет хакер, Адриан Ламо, использовал поисковую систему Google, чтобы получить доступ к websites больших корпораций.

Например, если в строке поиска напечатать фразу «Select a database to view» или фразу «FileMaker, Google выдаст приблизительно 200 ссылок, почти все, из которых ведут к FileMaker базам данных, доступных любому пользователю в online.

Статьи, новости продолжали появляться в сетевых изданиях. А правительственные сайты были по-прежнему уязвимы, т.к. админ скрипты могли быть найдены используя Google. Медицинские файлы, персональные отчеты, пароли и т.д. - все это казалось можно было найти только с помощью одного Google. Каждый раз при появлении новой статьи на эту тему, все говорили, будто это было что-то новое. Но в статьях никогда не объяснялось, как можно использовать данную поисковую систему для взлома различных сайтов. Последний раз читая одну из этих статей, я решил, что пришло время выяснить для себя непосредственно, мог ли Google делать все то, что о нем говорят. Далее я расскажу о том, что у меня получилось и дам описание некоторых методов использования строки поиска.

Теория
Теория довольно-таки проста. Вы думаете о каких-то данных, которые хотели бы получить. Попробуйте представить какой вид имеют эти данные, как они могли быть сохранены, и ищите эти файлы непосредственно. (Пример: ищите *.xls файлы). Или можете взять более интересный подход, пробуйте подумать о программном обеспечении, которое позволит исполнить некоторые задачи или обратиться к некоторым файлам. И начинайте искать критические файлы или файлы настройки этого программного обеспечения.
Пример:
Есть система управления сайтом. Проверьте из каких файлов состоит эта система, затем введите в строке поиска название одного из файлов. После этого вы увидите ту ссылку (строчку), которая не доступна для обычных пользователей, проверьте программное обеспечение и увидите, что опция, «рассмотреть базу данных» лежит в пределах веб-страницы этого программного обеспечения, называемого “viewdbase.htm”, и тогда ищете “viewdbase.htm”.

Наиболее важная задача состоит в том, чтобы иметь ясную картину того, что вы хотите найти. После чего можете искать файлы или торговые марки, которые эти файлы имеют.

Дополнительные Советы

Помните, что английский язык - это не единственный язык, который используется при поиске. Также возможна попытка поиска слов или строк на русском, французском или немецком языках, и т.д. Например “beheer” - Голландское слово для “администрации”.
Поиск файлов “config.inc.php” или “mysql.cfg”, которые могут содержать mySQL пароль и комбинации имени пользователя.

Автор: неизвестен