iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 2
3
Security

資訊安全大補帖系列 第 2

資安補帖─Day2─想學資安,先學寫程式&利用Google當個駭客(談Google Hacking)

前言

每天都要想一個很中二的標題,還真是有點困難XD
決定要把上一年在黑客社的社課內容,用正文重新Review一次。
然後之後會在前言分享一下經營一個資安社團的困難點,還有經驗分享。
因為我們社團的名稱比較顯眼,所以會有很多新生加入社團。

社團經驗談

第一個困難點:新生不會程式,不會寫CODE怎麼辦
解決方法:教新生寫CODE,所以開了資安社課的線又開了分支─程式線。
那時選擇比較好上手的Python,利用程式線教了爬蟲跟HTML簡介。
透過教材以及出作業的方式,希望新手可以快速學會Python的使用。
透過主題吸引:爬蟲,讓新手可以有興趣以及有目的的學習。

正文

還記得第一堂社課,告訴社員們:
現在網路上的資安教材很多,要如何使用,才是重點。

我還記得我剛加入社團的時候,學長告訴我們:

給他魚吃,還不如給他魚桿教他釣魚。 ~ Jyny

善用Google你會得到知識,不要小看Google。

Google hacking

關鍵字:Google hacking

  • 利用google搜尋功能,從網路中找尋機敏資料
  • 機敏資訊:如名冊、身分證字號、曾經被找到的漏洞網頁或原始碼
  • 實用度:★★★★★
  • 停止當一個伸手牌
    • 問不到大神,那就自己動手查。
    • 學習如何下關鍵字。
  • 想肉搜也可以利用Google hacking
    伸手牌大概是什麼都沒有查詢就直接問的人。
    這種人可能會被人討厭,不過不一定啦,還是會遇到好人教你。

常用指令

  • intext

    • 搜尋網頁當中的內容
    intext:駭客
    
  • intitle

    • 搜尋網頁中的標題
    intitle:index of
    
    • 目錄遍歷漏洞,通常為server設定不當而導致的漏洞
    intitle:"index of" (mp3) 可能否
    
  • cache

    • 搜尋google中的緩存
    cache:網址
    
    • 找快取
  • define

    • 搜尋關鍵字的定義
    define:hacker
    
  • filetype

    • 搜尋指定類型的文件
    filetype:pdf
    doc,docx,ppt,xls...
    
    • 找原文書的好朋友
  • info

    • 搜尋指定網站的基本資訊
    info:www.fcu.edu.tw
    
  • related

    • 搜尋類似於指定網站的其他網站
    related:www.fcu.edu.tw
    
  • inurl

    • 尋找指定的字串是否在網址列當中
    inurl:www.fcu.edu.tw
    
  • site

    • 列出指定網站內的所有網頁
    site:www.fcu.edu.tw
    
  • 額外操作指令

    + 把google可能忽略的字列如查詢範圍 
    - 把某個字忽略
    ~ 同意詞
    . 單一的通配符
    * 通配符,可代表多個字母
    "" 精確查詢

Google Hacking Database

參考資料

  • 網路上有許多關於Google hacking文章
  • Google Hacking - Jack Yu | 傑克
    • 簡介Google hacking,使用指令有圖片展示,可供讀者參考。
    • 文章內提供一個PDF-Google Hacking for Penetration Testers有興趣的讀者可以查看該PDF,是講述如何利用Google hacking進行滲透測試,可以找到SQL username、password、講述利用Perl搭配google做爬蟲找尋敏感資訊。
  • 0. Google Hacking | 宅學習
    • 列了許多搜尋語法,有興趣可以搜尋看看。
    • 文章較久遠(2009.05)因此有許多連結失效,請讀者自行注意。
  • 駭客眼中的Google Hacking – 軟體品管的專業思維
    • 提到網站管理者該如何避免駭客利用google hacking 找到敏感資訊。
      • 設定 Robots.txt (可避免Google搜尋,但仍有機會被駭客利用
      • Web Server 設定不回傳Server資訊(需熟識伺服器的設定)
  • 黑客的行前功課-Google Hacking
    • 提到Googledork

      這個名詞係指一個人在網站上無意間地洩漏敏感資訊,並被搜尋引擎「扒」出來,供所有網路使用者檢索。

    • 詳細的內容需要登入才能看到

後記

其實這個系列我比較想要寫的方式,
像最後一大點的參考資料那邊閱讀大量網站,
並且稍微簡介一下該網站的內容。
期待自己可以持續保持:)

鐵人賽中跟Google hacking相關的文章


上一篇
資安補帖─Day1─補帖簡介&目標&規劃
下一篇
資安補帖─Day3─沒有資安基礎怎麼辦&資安入門資源(Got Your PW)&個人隱私議題
系列文
資訊安全大補帖53

尚未有邦友留言

立即登入留言