“Warning” Google хакінг

19:03 25.08.2007

Існує такий термін “Гугл хакінг” (Google hacking) - це використання пошукових систем (в першу чергу Гугла, але можна й інших систем) для пошуку уразливостей на сайтах. Давно планую розповісти вам про дану методику пошуку дірок, і раніше я вже торкався цієї теми (зокрема в записі MOSEB-20 Bonus: Google dorks strikes back), і планую ще додатково розповісти про неї.

В цій статті я розповім про методику пошуку уразливостей типу Full path disclosure та Information disclosure.

Дану методику я назвав “Warning” Гугл хакінг (”Warning” Google hacking), тому що використовується слово “Warning” для пошуку повідомлень про помилки на сайті. Які Гугл заніс у свою базу. І за допомогою спеціальних пошукових запитів можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

До “варнінг” пошукових запитів відносяться наступні дорки (dorks):

Warning: home

Warning: fetch_config

Warning: mysql_num_rows

Warning: mysql_query

Warning: mysql_select_db

Warning: mysql_fetch_row

Warning: mysql_connect

Warning: mysql_close

Warning: mysql_fetch_array

Warning: mysql_result

Warning: mysql

Warning: fopen

Warning: mkdir

Warning: Permission denied

Warning: include_once

Warning: include

Warning: main

Це об’ємний, але не вичерпний перелік “warning” запитів до пошукових систем (можливі й інші запити), котрі дозволяють шукати Full path disclosure та Information disclosure дірки на веб сайтах.


3 відповідей на ““Warning” Google хакінг”

  1. Сашко каже:

    переглядував результати, додавши одне регіональне розширення, і перший сайт в результатах в пошуку, той шо я колись робив. це ж треба… :mrgreen:

  2. MustLive каже:

    :-)

    Сашко, це доля :D . Можеш взяти собі на озброєння ці дорки. А я тим часом готую нову статтю про Гугл хакінг.

    Встановлення регіональних розширень чи імен сайтів може використовуватися для точнішого пошуку. Дана методика (”Warning” та Google хакінг в цілому) може використовуватися як власниками й адмінами сайтів і секюріті аудиторами, так і поганими хлопцями. Тому за безпекою своїх сайтів потрібно слідкувати.

  3. trovich каже:

    Це ще що. Я днями зайшов на сайт, котрий я робив, але заливала інша людина з нашої контори (я був чимось іншим зайнятий). Так там паролі типу admin/admin так і залишилися :|
    Отаке потім в портфоліо покладеш і засміють жеж

Leave a Reply

You must be logged in to post a comment.