我們今天要關注的主題是 OSINT 收集技術 - 搜尋引擎 (Search Engine)
搜尋引擎指的是用於網路搜尋的系統,透過在全球資訊網 (World-Wide-Web, WWW),查詢指定訊息並返回特定的結果。
以前我還小時,都會在 Yahoo 上搜尋小番薯玩,現在大家已經把 Google 當作搜尋的代名詞,而 Yahoo 是什麼可能大家都不知道了...
回過來,搜尋引擎其實就是普羅大眾都會應用 OSINT 的最簡單方法,根據 Gbook[1] 在今年2月統計世界上最常使用的搜尋引擎,Google 占了 75.71%。
Table 1. Top 10 search engines in the World in terms of share of Visits during February 2022
# | Search Engine | Precent (%) |
---|---|---|
1 | 75.71 | |
2 | Amazon | 11.27 |
3 | Yahoo! | 7.24 |
4 | Bing | 3.32 |
5 | DuckDuckGo | 1.32 |
6 | AOL | 0.89 |
7 | Baidu | 0.15 |
8 | Ask.com | 0.06 |
9 | Yandex | 0.04 |
10 | Ecosia | 0.04 |
Google 是一個搜尋引擎,聽說他本來叫做 Backrub[2]。
雖然叫 Google Dork,但我比較常聽到叫 Google Hacking,我們平常最喜歡 Google 了,向我最常搜尋「論文寫不出來怎麼辦」、「實驗室好冷」...,這時候看到研究生迷因都感受到溫暖。總之在資安領域,它其實就是一個非常有趣的駭客工具,比如說找到跟你競爭的企業資訊、追蹤一個人的行為或是找漏洞。
<title></title>
中間的內容。我們可以直接到 https://www.exploit-db.com/google-hacking-database 這個網站上找到幾個寫好的 google dork 語法,在這邊的例子中,我隨機點了一個 inurl:/sym404/root
在google搜尋
就能看到一些不該看到的東西
這其實是網站沒有設定限制目錄瀏覽,以 apache 來說,僅需要在 httpd.conf 輸入
Options FollowSymLinks MultiViews
或透過網頁目錄底下的 .htaccess 加入
Options -Indexes
[1] GKbooks. srikantomandal. (2022). Top 10 Search Engines in 2022 with additional info https://gkbooks.in/top-10-search-engines/
[2] 從車庫到 Googleplex https://about.google/intl/ALL_tw/our-story/