iT邦幫忙

2021 iThome 鐵人賽

DAY 25
0
Security

三人要保密,一個人要學好資安系列 第 25

Google Hacking女神搜尋技法

看到心儀的目標想要更近一步瞭解對方
這時候我們可以善用Google
來搜尋心中殷切盼望的女神
瞭解對方後才能具體策劃進攻的方式
搶得先機早日滲透入侵對方的心


Google搜尋引擎會利用網路蜘蛛來遊走網頁
為了能增加平時查詢及檢閱速度
會下載頁面到資料庫中存放
可以用簡單的方法查找到機敏資料甚至是原始碼

可預期搜尋的網頁名稱與路徑

  • 首頁名稱:index、default….
  • 管理名稱:admin 、login 、manage 、edit 、adminuser 、main…..
  • 目錄及資料夾名稱:photo 、image 、admin、user 、script、db 、user….
  • 預設路徑:
    • IIS:c:\inetpub\wwwroot
    • Apache: /usr/local/apache

基本語法與關鍵字

  • site:搜尋特定網址
  • inurl:搜尋特定連結
  • intext:搜尋網頁內文字
  • intitle:搜尋網頁標題
  • filetype:搜尋特定檔案格式
  • link:搜尋互相連結的網頁

利用Index of /backup 在google上搜尋到的內容
可查看該組織的備份頁面

預防方法:網站應設定攀爬管制

  1. 可變更採用不易識別的名稱或路徑

  2. 於網頁的HEAD區段中,添加下列標籤:

    • <META NAME=“ROBOTS” CONTENT=“NOINDEX”>
      搜尋引擎不處理、不儲存這個網頁。
    • <META NAME=“ROBOTS” CONTENT=“NOARCHIVE”>
      搜尋引擎處理這個網頁,但是不儲存網頁,也就是說,不會有庫存頁。
    • <META NAME=“ROBOTS” CONTENT=“NOFOLLOW”>
      搜尋引擎處理這個網頁,但是不繼續處理這個網頁中另外連結的網頁。
    • <META NAME=“ROBOTS”CONTENT=“NOINDEX,NOFOLLOW”>
      搜尋引擎處理、儲存這個網頁,以及這個網頁中另外連結的所有資訊。
  3. 建立純文字檔robots.txt存放於網站的根目錄,聲明該網站中不願被robot攀爬的範圍。

    • User-agent:填入搜尋引擎蜘蛛的值(* 號代表全部)
    • Disallow:填入你希望搜尋引擎別檢索的頁面路徑
    • Allow:若你禁止檢索的頁面路徑裡面又有特定路徑你希望搜尋引擎檢索

上一篇
Web伺服器掃描工具-Nikto
下一篇
開源網路釣魚框架-Gophish(上)
系列文
三人要保密,一個人要學好資安30

尚未有邦友留言

立即登入留言