ჩვენ ვიყენებთ ნაკლებად ცნობილ Google-ის ფუნქციებს ფარული ნივთების საპოვნელად. ზუსტი ფრაზის პოვნა ორმაგი ბრჭყალების გამოყენებით


იქნებ უკვე შეგხვედრიათ თქვენს ვებსაიტზე საიტზე სურათის ჩატვირთვის პრობლემა? ვთქვათ, მომხმარებელმა უნდა ატვირთოს ავატარი ან სურათი პოსტისთვის ან სტატიისთვის? და როგორ დაიცვათ თავი გამოსახულების ნაცვლად მავნე JS კოდის სერვერზე ატვირთვისგან?

თქვენ უნდა ჩაწეროთ ფორმა გვერდზე ჩამოტვირთვის ფორმით:

HTML კოდი

სურათის ზომა არ აღემატება 512 KB-ს, სიგანე არაუმეტეს 500, ხოლო სიმაღლე არაუმეტეს 1500.


აირჩიეთ ფაილი ჩამოსატვირთად:


სურათის ატვირთვის ჩვეულებრივი ფორმა. როცა დააჭერთ ჩამოტვირთვაჩვენ გადამისამართებულები ვართ download_img.php გვერდზე.

ფორმა იქნება მიბმული ფაილთან download_img.php. მასში, იმისათვის, რომ დაიცვათ სერვერი სურათების ნაცვლად ზედმეტი ფაილების ჩატვირთვისგან, საკმარისია მიუთითოთ ფაილის ზომის შემოწმება. თუ FALSE დაბრუნდება სურათის ზომის საპასუხოდ, ფაილი არ ჩაიტვირთება.

PHP კოდი

$uploaddir = "სურათები/";
// ეს არის საქაღალდე, სადაც ჩამოიტვირთება სურათი
$apend=date("YmdHis").rand(100,1000).".jpg";
// ეს არის სახელი, რომელიც მიენიჭება სურათს
$uploadfile = "$uploaddir$apend";
//$uploadfile ცვლადი მოიცავს საქაღალდის და სურათის სახელს

// ამ სტრიქონში ყველაზე მნიშვნელოვანი რამ არის იმის შემოწმება, იტვირთება თუ არა სურათი (ან შესაძლოა მავნე კოდი?)
// და გადის თუ არა გამოსახულება წონის მიხედვით. ჩვენს შემთხვევაში 512 კბ-მდე
if(($_FILES["მომხმარებლის ფაილი"]["ტიპი"] == "სურათი/გიფ" || $_FILES["მომხმარებლის ფაილი"]["ტიპი"] == "სურათი/jpeg" || $_FILES["მომხმარებლის ფაილი" "]["ტიპი"] == "სურათი/png") && ($_FILES["მომხმარებლის ფაილი"]["ზომა"] != 0 და $_FILES ["მომხმარებლის ფაილი"]["ზომა"]<=512000))
{
// მიუთითეთ ატვირთული ფაილის მაქსიმალური წონა. ახლა 512 კბ-მდე
if (move_uploaded_file($_FILES["userfile"]["tmp_name"], $uploadfile))
{
//აქ არის სურათის ჩატვირთვის პროცესი
$size = getimagesize($uploadfile);
// ამ ფუნქციის გამოყენებით შეგვიძლია მივიღოთ სურათის პიქსელის ზომა
თუ ($ ზომა< 501 && $size<1501)
{
// თუ სურათის ზომა არის არაუმეტეს 500 პიქსელის სიგანე და არაუმეტეს 1500 სიმაღლისა
echo "ფაილი აიტვირთა. გზა ფაილამდე: http://yoursite.ru/".$uploadfile."";
) სხვა (
echo "ატვირთული სურათი აღემატება დასაშვებ სტანდარტებს (სიგანე არაუმეტეს 500; სიმაღლე არაუმეტეს 1500)";
გაუქმება ($uploadfile);
// ფაილის წაშლა
}
) სხვა (
echo "ფაილი არ არის ჩატვირთული, დაბრუნდი და სცადე ხელახლა";
}
) სხვა (
echo "ფაილის ზომა არ უნდა აღემატებოდეს 512 Kb";
}
?>

კოდი შეიძლება არ იყოს უმოკლესი, მაგრამ ის ასრულებს საქმეს.
გმადლობთ ყურადღებისთვის!

როგორ მოძებნოთ სწორად google.com-ის გამოყენებით

ალბათ ყველამ იცის როგორ გამოიყენოს ეს საძიებო სისტემა, ისევე როგორც Google =) მაგრამ ყველამ არ იცის, რომ თუ სწორად შეასრულებთ საძიებო მოთხოვნას სპეციალური კონსტრუქციების გამოყენებით, შეგიძლიათ მიაღწიოთ შედეგებს, რასაც ეძებთ ბევრად უფრო ეფექტურად და სწრაფად =) ამ სტატიაში შევეცდები გაჩვენოთ რა და როგორ თქვენ უნდა გააკეთოთ იმისათვის, რომ მოძებნოთ სწორად

Google მხარს უჭერს რამდენიმე გაფართოებულ საძიებო ოპერატორს, რომლებსაც განსაკუთრებული მნიშვნელობა აქვთ google.com-ზე ძიებისას. როგორც წესი, ეს ოპერატორები ცვლიან ძიებას, ან თუნდაც ეუბნებიან Google-ს, რომ ეს მთლიანად გააკეთოს სხვადასხვა სახისძებნა. მაგალითად, დიზაინი ბმული:არის სპეციალური ოპერატორი და მოთხოვნა ბმული: www.google.comარ მოგცემთ ნორმალურ ძიებას, არამედ იპოვის ყველა ვებ გვერდს, რომელსაც აქვს ბმულები google.com-ზე.
ალტერნატიული მოთხოვნის ტიპები

ქეში:თუ თქვენს მოთხოვნაში სხვა სიტყვებს შეიტანთ, Google ხაზს გაუსვამს იმ სიტყვებს, რომლებიც შედის ქეშ დოკუმენტში.
მაგალითად, ქეში: www.ვებ საიტიაჩვენებს ქეშებულ შინაარსს სიტყვით "ვებ" ხაზგასმული.

ბმული:ზემოთ მოყვანილი საძიებო მოთხოვნა აჩვენებს ვებგვერდებს, რომლებიც შეიცავს მითითებულ მოთხოვნის ბმულებს.
მაგალითად: ბმული: www.siteგამოჩნდება ყველა გვერდი, რომელსაც აქვს ბმული http://www.site

დაკავშირებული:აჩვენებს ვებ გვერდებს, რომლებიც "დაკავშირებულია" მითითებულ ვებ გვერდზე.
მაგალითად, დაკავშირებული: www.google.comჩამოთვლის მსგავს ვებგვერდებს მთავარი გვერდი Google.

ინფორმაცია:შეკითხვის ინფორმაცია: წარმოგიდგენთ Google-ის ზოგიერთ ინფორმაციას იმ ვებ გვერდის შესახებ, რომელსაც თქვენ ითხოვთ.
მაგალითად, ინფორმაცია: საიტიგაჩვენებთ ინფორმაციას ჩვენი ფორუმის შესახებ =) (Armada - Adult Webmasters Forum).

სხვა ინფორმაციის მოთხოვნა

განსაზღვრე:განსაზღვრა: შეკითხვა მოგცემთ მის შემდეგ შეყვანილი სიტყვების განმარტებას, შეგროვებული სხვადასხვა ონლაინ წყაროებიდან. განმარტება იქნება შეყვანილი მთელი ფრაზისთვის (ანუ ის მოიცავს ყველა სიტყვას ზუსტი მოთხოვნაში).

აქციები:თუ თქვენ იწყებთ შეკითხვას აქციებით: Google დაამუშავებს მოთხოვნის დანარჩენ პირობებს აქციების სიმბოლოებად და ბმულს გადასცემს გვერდს, რომელიც აჩვენებს ამ სიმბოლოების მზა ინფორმაციას.
მაგალითად, აქციები: Intel yahooაჩვენებს ინფორმაციას Intel-ისა და Yahoo-ს შესახებ. (გაითვალისწინეთ, რომ თქვენ უნდა აკრიფოთ ახალი ამბების სიმბოლოები და არა კომპანიის სახელი)

შეკითხვის მოდიფიკატორები

საიტი:თუ თქვენ ჩართავთ საიტს: თქვენს მოთხოვნაში, Google შეზღუდავს შედეგებს იმ ვებსაიტებით, რომლებსაც აღმოაჩენს ამ დომენში.
თქვენ ასევე შეგიძლიათ მოძებნოთ ცალკეული ზონების მიხედვით, როგორიცაა ru, org, com და ა.შ. საიტი: com საიტი: ru)

allintitle:თუ თქვენ შეასრულებთ შეკითხვას allintitle:-ით, Google შეზღუდავს შედეგებს სათაურის ყველა მოთხოვნის სიტყვით.
მაგალითად, allintitle: გუგლის ძებნა დააბრუნებს Google-ის ყველა გვერდს საძიებლად, როგორიცაა სურათები, ბლოგი და ა.შ

სათაური:თუ თქვენს მოთხოვნაში მიუთითებთ intitle:-ს, Google შეზღუდავს შედეგებს სათაურში ამ სიტყვის შემცველი დოკუმენტებით.
მაგალითად, სათაური: ბიზნესი

ალინურლი:თუ თქვენ შეასრულებთ შეკითხვას allinurl-ით: Google შეზღუდავს შედეგებს URL-ის ყველა მოთხოვნის სიტყვით.
მაგალითად, allinurl: გუგლის ძებნადააბრუნებს დოკუმენტებს google-ით და მოძებნის სათაურში. ასევე, როგორც ოფცია, შეგიძლიათ გამოყოთ სიტყვები დახრილი (/)-ით, შემდეგ დახრილის ორივე მხარეს სიტყვები მოიძებნება იმავე გვერდზე: მაგალითი ალინურლი: ფუ/ბარი

inurl:თუ თქვენს შეკითხვაში ჩართავთ inurl:-ს, Google შეზღუდავს შედეგებს იმ დოკუმენტებით, რომლებიც შეიცავს ამ სიტყვას URL-ში.
მაგალითად, ანიმაცია inurl:site

intext:ეძებს მხოლოდ მითითებულ სიტყვას გვერდის ტექსტში, უგულებელყოფს ბმულების სათაურს და ტექსტებს და სხვა საკითხებს, რომლებიც არ არის დაკავშირებული, ასევე არსებობს ამ მოდიფიკატორის წარმოებული -. allintext:იმათ. გარდა ამისა, მოთხოვნის ყველა სიტყვა მოძებნილი იქნება მხოლოდ ტექსტში, რაც ასევე შეიძლება იყოს მნიშვნელოვანი, ლინკებში ხშირად გამოყენებული სიტყვების იგნორირება
მაგალითად, intext:ფორუმი

თარიღი:ძიებები დროის ჩარჩოში (თარიღის დიაპაზონი:2452389-2452389), დროის თარიღები მითითებულია იულიუსის ფორმატში.

ისე, და ყველა სხვა რამ საინტერესო მაგალითებიითხოვს

Google-ისთვის მოთხოვნების დაწერის მაგალითები. სპამერებისთვის

Inurl:control.guest?a=sign

Site:books.dreambook.com „მთავარი გვერდის URL“ „Sign my“ inurl:sign

საიტი: www.freegb.net საწყისი გვერდი

Inurl:sign.asp „პერსონაჟების რაოდენობა“

"მესიჯი:" inurl:sign.cfm "გამომგზავნი:"

Inurl:register.php „მომხმარებლის რეგისტრაცია“ „ვებგვერდი“

Inurl:edu/guestbook „ხელმოწერა სტუმრების წიგნში“

Inurl: გამოაქვეყნეთ „კომენტარის გამოქვეყნება“ „URL“

Inurl:/archives/ "კომენტარები:" "გახსოვს ინფორმაცია?"

"სკრიპტი და სტუმრების წიგნი შექმნილია:" "URL:" "კომენტარები:"

Inurl:?action=დაამატე „phpBook“ „URL“

სათაური: "გააგზავნე ახალი ამბავი"

ჟურნალები

Inurl:www.livejournal.com/users/ mode=reply

Inurl greatestjournal.com/ mode=reply

Inurl:fastbb.ru/re.pl?

Inurl:fastbb.ru /re.pl? "სტუმრების წიგნი"

ბლოგები

Inurl:blogger.com/comment.g?”postID””ანონიმური”

Inurl:typepad.com/ „დააქვეყნეთ კომენტარი“ „გახსოვთ პირადი ინფორმაცია?“

Inurl:greatestjournal.com/community/ „გამოაქვეყნეთ კომენტარი“ „ანონიმური პლაკატების მისამართები“

"დააქვეყნეთ კომენტარი" "ანონიმური პლაკატების მისამართები" -

სათაური: "დააქვეყნეთ კომენტარი"

Inurl:pirillo.com "დააქვეყნეთ კომენტარი"

ფორუმები

Inurl:gate.html?”name=Forums” “mode=reply”

Inurl:”forum/posting.php?mode=reply”

Inurl:"mes.php?"

Inurl:”members.html”

Inurl:forum/memberlist.php?”

Google საძიებო სისტემა (www.google.com) გთავაზობთ ძიების მრავალ ვარიანტს. ყველა ეს ფუნქცია არის ფასდაუდებელი საძიებო ინსტრუმენტი ინტერნეტში ახალი მომხმარებლისთვის და, ამავე დროს, შემოჭრისა და განადგურების კიდევ უფრო ძლიერი იარაღი ბოროტი განზრახვების მქონე ადამიანების ხელში, მათ შორის არა მხოლოდ ჰაკერების, არამედ არაკომპიუტერული კრიმინალების და თუნდაც ტერორისტები.
(9475 ნახვა 1 კვირაში)

დენის ბარანკოვი
denisNOSPAMixi.ru

ყურადღება:ეს სტატია არ არის მოქმედების სახელმძღვანელო. ეს სტატია დაიწერა თქვენთვის, WEB სერვერის ადმინისტრატორებისთვის, რათა დაკარგოთ ცრუ განცდა, რომ უსაფრთხოდ ხართ და საბოლოოდ გაიაზროთ ინფორმაციის მოპოვების ამ მეთოდის მზაკვრობა და აიღოთ თქვენი საიტის დაცვის ამოცანა.

შესავალი

მაგალითად, მე ვიპოვე 1670 გვერდი 0,14 წამში!

2. შევიყვანოთ სხვა ხაზი, მაგალითად:

inurl:"auth_user_file.txt"

ცოტა ნაკლები, მაგრამ ეს უკვე საკმარისია უფასო გადმოტვირთვისა და პაროლის გამოსაცნობად (იგივე John The Ripper-ის გამოყენებით). ქვემოთ კიდევ რამდენიმე მაგალითს მოვიყვან.

ასე რომ, თქვენ უნდა გააცნობიეროთ, რომ Google-ის საძიებო სისტემა მოინახულა ინტერნეტ-საიტების უმეტესობა და ქეშირებული აქვს მათში არსებული ინფორმაცია. ეს ქეშირებული ინფორმაცია საშუალებას გაძლევთ მიიღოთ ინფორმაცია საიტისა და საიტის შინაარსის შესახებ საიტთან უშუალო დაკავშირების გარეშე, მხოლოდ Google-ში შენახული ინფორმაციის ჩაღრმავებით. უფრო მეტიც, თუ საიტზე არსებული ინფორმაცია აღარ არის ხელმისაწვდომი, მაშინ ქეშში არსებული ინფორმაცია შეიძლება კვლავ იყოს შენახული. ყველაფერი რაც თქვენ გჭირდებათ ამ მეთოდისთვის: იცოდეთ რამდენიმე საკვანძო სიტყვები Google. ამ ტექნიკას ჰქვია Google Hacking.

ინფორმაცია Google Hacking-ის შესახებ პირველად Bugtruck-ის დაგზავნის სიაში 3 წლის წინ გამოჩნდა. 2001 წელს ეს თემა ფრანგმა სტუდენტმა წამოჭრა. აქ არის ამ წერილის ბმული http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. მასში მოცემულია ასეთი მოთხოვნების პირველი მაგალითები:

1) ინდექსი /admin
2) /პაროლის ინდექსი
3) /ფოსტის ინდექსი
4) ინდექსი / +banques +filetype:xls (საფრანგეთისთვის...)
5) ინდექსი / +passwd
6) ინდექსი / password.txt

ამ თემამ ინტერნეტის ინგლისურენოვან ნაწილში სულ ახლახანს ტალღა გამოიწვია: 2004 წლის 7 მაისს გამოქვეყნებული ჯონი ლონგის სტატიის შემდეგ. Google Hacking-ის უფრო სრულყოფილი შესწავლისთვის, გირჩევთ, გადახვიდეთ ამ ავტორის ვებსაიტზე http://johnny.ihackstuff.com. ამ სტატიაში მე უბრალოდ მინდა მოგაწოდოთ სიახლეები.

ვის შეუძლია გამოიყენოს ეს:
- ჟურნალისტებს, ჯაშუშებს და ყველა იმ ადამიანს, ვისაც სურს ცხვირის ჩაყოლა სხვის საქმეში, შეუძლიათ გამოიყენონ ეს დამადანაშაულებელი მტკიცებულებების მოსაძიებლად.
- ჰაკერები ეძებენ ჰაკერებისთვის შესაფერის სამიზნეებს.

როგორ მუშაობს Google.

საუბრის გასაგრძელებლად, ნება მომეცით შეგახსენოთ რამდენიმე საკვანძო სიტყვა, რომლებიც გამოიყენება Google-ის შეკითხვებში.

ძიება + ნიშნის გამოყენებით

Google გამორიცხავს სიტყვებს, რომლებსაც ის უმნიშვნელოდ მიიჩნევს ძიებებიდან. მაგალითად, კითხვითი სიტყვები, წინადადებები და სტატიები ინგლისურად: მაგალითად are, of, where. რუსულად, Google, როგორც ჩანს, ყველა სიტყვას მნიშვნელოვანად თვლის. თუ სიტყვა გამოირიცხება ძიებიდან, ამის შესახებ Google წერს. იმისათვის, რომ Google-მა დაიწყოს ამ სიტყვებით გვერდების ძებნა, თქვენ უნდა დაამატოთ + ნიშანი სიტყვამდე სივრცის გარეშე. მაგალითად:

ტუზი +ბაზის

ძიება ნიშნის გამოყენებით -

თუ Google იპოვის დიდი რაოდენობაგვერდები, საიდანაც გსურთ გამორიცხოთ გვერდები გარკვეული თემით, შეგიძლიათ აიძულოთ Google მოძებნოს მხოლოდ ის გვერდები, რომლებიც არ შეიცავს გარკვეულ სიტყვებს. ამისათვის თქვენ უნდა მიუთითოთ ეს სიტყვები თითოეულის წინ ნიშნის დაყენებით - სიტყვის წინ სივრცის გარეშე. მაგალითად:

თევზაობა - არაყი

ძიება ~-ის გამოყენებით

შეიძლება მოგინდეთ მოძებნოთ არა მხოლოდ მითითებული სიტყვა, არამედ მისი სინონიმებიც. ამისათვის სიტყვას წინ უძღვის ~ სიმბოლო.

ძიება ზუსტი ფრაზაორმაგი ბრჭყალების გამოყენებით

Google ეძებს თითოეულ გვერდზე იმ სიტყვებს, რომლებიც თქვენ დაწერეთ შეკითხვის სტრიქონში და არ აინტერესებს სიტყვების შედარებითი პოზიცია, რადგან ყველა მითითებული სიტყვა ერთდროულად არის გვერდზე (ეს არის ნაგულისხმევი მოქმედება). ზუსტი ფრაზის მოსაძებნად, თქვენ უნდა ჩაწეროთ იგი ბრჭყალებში. მაგალითად:

"წიგნის სტენდი"

იმისათვის, რომ გქონდეთ მითითებული სიტყვებიდან ერთი მაინც, თქვენ უნდა მიუთითოთ ლოგიკური ოპერაცია ცალსახად: OR. მაგალითად:

წიგნის უსაფრთხოება ან დაცვა

გარდა ამისა, თქვენ შეგიძლიათ გამოიყენოთ * ნიშანი საძიებო ზოლში ნებისმიერი სიტყვის აღსანიშნავად და. ნებისმიერი პერსონაჟის წარმოსაჩენად.

სიტყვების პოვნა დამატებითი ოპერატორების გამოყენებით

არის საძიებო ოპერატორები, რომლებიც მითითებულია საძიებო სტრიქონში ფორმატში:

ოპერატორი:search_term

მსხვილი ნაწლავის გვერდით ადგილები არ არის საჭირო. თუ ორწერტილის შემდეგ ინტერვალს ჩასვამთ, დაინახავთ შეცდომის შეტყობინებას, ხოლო მანამდე Google გამოიყენებს მათ, როგორც საძიებო ჩვეულებრივ სტრიქონს.
არსებობს დამატებითი საძიებო ოპერატორების ჯგუფები: ენები - მიუთითეთ რომელ ენაზე გსურთ შედეგის ნახვა, თარიღი - შეზღუდეთ შედეგები ბოლო სამი, ექვსი ან 12 თვის განმავლობაში, შემთხვევები - მიუთითეთ სად უნდა მოძებნოთ დოკუმენტში. ხაზი: ყველგან, სათაურში, URL-ში, დომენები - მოძებნეთ მითითებულ საიტზე ან, პირიქით, გამორიცხეთ ის უსაფრთხო ძიებიდან - ბლოკავს საიტებს, რომლებიც შეიცავს მითითებული ტიპის ინფორმაციას და შლის მათ ძიების შედეგების გვერდებიდან.
თუმცა, ზოგიერთ ოპერატორს არ სჭირდება დამატებითი პარამეტრი, მაგალითად მოთხოვნა " ქეში: www.google.com"შეიძლება ეწოდოს სრულფასოვანი საძიებო სტრიქონი და ზოგიერთი საკვანძო სიტყვა, პირიქით, მოითხოვს საძიებო სიტყვას, მაგალითად" საიტი: www.google.com დახმარებაჩვენი თემიდან გამომდინარე, მოდით შევხედოთ შემდეგ ოპერატორებს:

ოპერატორი

აღწერა

საჭიროებს დამატებით პარამეტრს?

მოძებნეთ მხოლოდ Search_term-ში მითითებულ საიტზე

მოძებნეთ მხოლოდ დოკუმენტებში ტიპის search_term

იპოვნეთ სათაურში search_term შემცველი გვერდები

იპოვეთ გვერდები, რომლებიც შეიცავს სათაურში ყველა search_term სიტყვას

იპოვეთ გვერდები, რომლებიც შეიცავს სიტყვა search_term მათ მისამართზე

იპოვეთ გვერდები, რომლებიც შეიცავს ყველა search_term სიტყვას მათ მისამართში

ოპერატორი საიტი:ზღუდავს ძიებას მხოლოდ მითითებულ საიტზე და შეგიძლიათ მიუთითოთ არა მხოლოდ დომენის სახელი, არამედ IP მისამართი. მაგალითად, შეიყვანეთ:

ოპერატორი ფაილის ტიპი:ზღუდავს ძიებას კონკრეტული ფაილის ტიპზე. მაგალითად:

სტატიის გამოქვეყნების თარიღისთვის Google-ს შეუძლია მოძებნოს 13 სხვადასხვა ფაილის ფორმატი:

  • Adobe Portable Document Format (pdf)
  • Adobe PostScript (ps)
  • Lotus 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
  • Lotus WordPro (lwp)
  • MacWrite (მვტ)
  • Microsoft Excel(xls)
  • Microsoft PowerPoint(ppt)
  • Microsoft Word (დოკუმენტი)
  • Microsoft Works (wks, wps, wdb)
  • Microsoft Write (wri)
  • მდიდარი ტექსტის ფორმატი (rtf)
  • Shockwave Flash(swf)
  • ტექსტი (ans, txt)

ოპერატორი ბმული:აჩვენებს ყველა გვერდს, რომელიც მიუთითებს მითითებულ გვერდზე.
ალბათ ყოველთვის საინტერესოა იმის დანახვა, თუ რამდენმა ადგილმა იცის ინტერნეტში თქვენს შესახებ. ვცადოთ:

ოპერატორი ქეში:აჩვენებს საიტის ვერსიას Google-ის ქეშში, როგორ გამოიყურებოდა ის როდის Google-ის უახლესიერთხელ ეწვია ამ გვერდს. ავიღოთ ნებისმიერი ხშირად ცვალებადი საიტი და შევხედოთ:

ოპერატორი სათაური:ეძებს მითითებულ სიტყვას გვერდის სათაურში. ოპერატორი allintitle:არის გაფართოება - ის ეძებს ყველა მითითებულ სიტყვას გვერდის სათაურში. შედარება:

სათაური: ფრენა მარსზე
intitle:flight intitle:on intitle:mars
სათაური: ფრენა მარსზე

ოპერატორი inurl:აიძულებს Google-ს აჩვენოს ყველა გვერდი, რომელიც შეიცავს მითითებულ სტრიქონს URL-ში. allinurl ოპერატორი: ეძებს ყველა სიტყვას URL-ში. მაგალითად:

allinurl:acid acid_stat_alerts.php

ეს ბრძანება განსაკუთრებით სასარგებლოა მათთვის, ვისაც არ აქვს SNORT - ყოველ შემთხვევაში, მათ შეუძლიათ დაინახონ, როგორ მუშაობს ის რეალურ სისტემაზე.

ჰაკერების მეთოდები Google-ის გამოყენებით

ამრიგად, ჩვენ გავარკვიეთ, რომ ზემოაღნიშნული ოპერატორებისა და საკვანძო სიტყვების კომბინაციის გამოყენებით, ნებისმიერს შეუძლია შეაგროვოს საჭირო ინფორმაცია და მოძებნოს დაუცველობა. ამ ტექნიკას ხშირად უწოდებენ Google Hacking-ს.

საიტის რუკა

თქვენ შეგიძლიათ გამოიყენოთ საიტი: ოპერატორი, რათა ჩამოთვალოთ ყველა ბმული, რომელიც Google-მა იპოვა საიტზე. როგორც წესი, გვერდები, რომლებიც დინამიურად იქმნება სკრიპტებით, არ ინდექსირებულია პარამეტრების გამოყენებით, ამიტომ ზოგიერთი საიტი იყენებს ISAPI ფილტრებს ისე, რომ ბმულები არ იყოს ფორმაში. /article.asp?num=10&dst=5, და შტრიხებით /article/abc/num/10/dst/5. ეს კეთდება ისე, რომ საიტი ზოგადად იყოს ინდექსირებული საძიებო სისტემების მიერ.

ვცადოთ:

საიტი: www.whitehouse.gov თეთრი სახლი

Google ფიქრობს, რომ ვებსაიტის ყველა გვერდი შეიცავს სიტყვა whitehouse. ეს არის ის, რასაც ჩვენ ვიყენებთ ყველა გვერდის მისაღებად.
ასევე არის გამარტივებული ვერსია:

საიტი:whitehouse.gov

და ყველაზე კარგი ისაა, რომ whitehouse.gov-ის ამხანაგებმა არც კი იცოდნენ, რომ ჩვენ ვუყურებდით მათი საიტის სტრუქტურას და ვეშვით იმ ქეშურ გვერდებსაც კი, რომლებიც Google-მა თავისთვის ჩამოტვირთა. ეს შეიძლება გამოყენებულ იქნას საიტების სტრუქტურის შესასწავლად და შინაარსის სანახავად, რომელიც ამ დროისთვის შეუმჩნეველი რჩება.

იხილეთ ფაილების სია დირექტორიაში

WEB სერვერებს შეუძლიათ აჩვენონ სერვერის დირექტორიების სიები ჩვეულებრივის ნაცვლად HTML გვერდები. ეს ჩვეულებრივ კეთდება იმისთვის, რომ მომხმარებლებმა აირჩიონ და ჩამოტვირთონ კონკრეტული ფაილები. თუმცა, ხშირ შემთხვევაში, ადმინისტრატორებს არ აქვთ განზრახული აჩვენონ დირექტორიაში არსებული შინაარსი. ეს ხდება სერვერის არასწორი კონფიგურაციის ან არარსებობის გამო მთავარი გვერდიდირექტორიაში. შედეგად, ჰაკერს ეძლევა შესაძლებლობა იპოვნოს რაიმე საინტერესო დირექტორიაში და გამოიყენოს იგი საკუთარი მიზნებისთვის. ყველა ასეთი გვერდის საპოვნელად საკმარისია აღინიშნოს, რომ ისინი ყველა სათაურში შეიცავს სიტყვებს: index of. მაგრამ რადგან სიტყვების ინდექსი შეიცავს არა მხოლოდ ასეთ გვერდებს, ჩვენ უნდა დახვეწოთ მოთხოვნა და გავითვალისწინოთ თავად გვერდზე არსებული საკვანძო სიტყვები, ასე რომ:

intitle:index.of მშობლების დირექტორია
სათაური: ინდექსი.სახელის ზომის

ვინაიდან კატალოგის ჩამონათვალის უმეტესობა მიზანმიმართულია, შეიძლება გაგიჭირდეთ პირველად უადგილო სიების პოვნა. მაგრამ ყოველ შემთხვევაში თქვენ უკვე შეგიძლიათ გამოიყენოთ სიები WEB სერვერის ვერსიის დასადგენად, როგორც ეს აღწერილია ქვემოთ.

WEB სერვერის ვერსიის მიღება.

WEB სერვერის ვერსიის ცოდნა ყოველთვის სასარგებლოა ნებისმიერი ჰაკერული შეტევის დაწყებამდე. კიდევ ერთხელ, Google-ის წყალობით, შეგიძლიათ მიიღოთ ეს ინფორმაცია სერვერთან დაკავშირების გარეშე. თუ ყურადღებით დააკვირდებით დირექტორიას ჩამონათვალს, ხედავთ, რომ იქ ნაჩვენებია WEB სერვერის სახელი და მისი ვერსია.

Apache1.3.29 - ProXad სერვერი trf296.free.fr პორტ 80-ზე

გამოცდილ ადმინისტრატორს შეუძლია შეცვალოს ეს ინფორმაცია, მაგრამ, როგორც წესი, ეს ასეა. ამრიგად, ამ ინფორმაციის მისაღებად საკმარისია გამოაგზავნოთ მოთხოვნა:

intitle:index.of server.at

კონკრეტული სერვერისთვის ინფორმაციის მისაღებად, ჩვენ ვაზუსტებთ მოთხოვნას:

intitle:index.of server.at site:ibm.com

ან პირიქით, ჩვენ ვეძებთ სერვერებს, რომლებიც მუშაობენ სერვერის კონკრეტულ ვერსიაზე:

intitle:index.of Apache/2.0.40 Server at

ეს ტექნიკა შეიძლება გამოიყენოს ჰაკერმა მსხვერპლის მოსაძებნად. თუ, მაგალითად, მას აქვს ექსპლოიტი WEB სერვერის გარკვეული ვერსიისთვის, მაშინ მას შეუძლია იპოვოს ის და სცადოს არსებული ექსპლოიტი.

თქვენ ასევე შეგიძლიათ მიიღოთ სერვერის ვერსია WEB სერვერის უახლესი ვერსიის ინსტალაციისას ნაგულისხმევად დაინსტალირებული გვერდების ნახვით. მაგალითად, Apache 1.2.6 სატესტო გვერდის სანახავად, უბრალოდ ჩაწერეთ

intitle:Test.Page.for.Apache it.worked!

უფრო მეტიც, ზოგიერთი ოპერაციული სისტემებიინსტალაციის დროს ისინი დაუყოვნებლივ აყენებენ და ამუშავებენ WEB სერვერს. თუმცა, ზოგიერთმა მომხმარებელმა არც კი იცის ამის შესახებ. ბუნებრივია, თუ ხედავთ, რომ ვინმემ არ წაშალა ნაგულისხმევი გვერდი, მაშინ ლოგიკურია ვივარაუდოთ, რომ კომპიუტერს საერთოდ არ გაუკეთებია რაიმე სახის პერსონალიზაცია და სავარაუდოდ დაუცველია თავდასხმისთვის.

სცადეთ მოძებნოთ IIS 5.0 გვერდები

allintitle:კეთილი იყოს თქვენი მობრძანება Windows 2000 ინტერნეტ სერვისებში

IIS-ის შემთხვევაში, თქვენ შეგიძლიათ განსაზღვროთ არა მხოლოდ სერვერის ვერსია, არამედ ვინდოუსის ვერსიადა სერვის პაკეტი.

WEB სერვერის ვერსიის განსაზღვრის კიდევ ერთი გზა არის სახელმძღვანელოების (დახმარების გვერდები) და მაგალითების ძიება, რომლებიც შეიძლება დაინსტალირდეს საიტზე ნაგულისხმევად. ჰაკერებმა იპოვეს ამ კომპონენტების გამოყენების რამდენიმე გზა საიტზე პრივილეგირებული წვდომის მოსაპოვებლად. ამიტომ თქვენ უნდა ამოიღოთ ეს კომპონენტები წარმოების ადგილზე. რომ აღარაფერი ვთქვათ იმ ფაქტზე, რომ ამ კომპონენტების არსებობამ შეიძლება მოგვაწოდოს ინფორმაცია სერვერის ტიპისა და მისი ვერსიის შესახებ. მაგალითად, ვიპოვოთ აპაჩის სახელმძღვანელო:

inurl:manual apache-ის დირექტივების მოდულები

Google-ის გამოყენება CGI სკანერად.

CGI სკანერი ან WEB სკანერი არის პროგრამა მსხვერპლის სერვერზე დაუცველი სკრიპტებისა და პროგრამების მოსაძიებლად. ამ კომუნალურმა კომპანიებმა უნდა იცოდნენ, რა უნდა მოძებნონ, ამისათვის მათ აქვთ დაუცველი ფაილების მთელი სია, მაგალითად:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

ჩვენ შეგვიძლია ვიპოვოთ თითოეული ეს ფაილი Google-ის გამოყენებით, დამატებით საძიებო ზოლში სიტყვის index of ან inurl ფაილის სახელის გამოყენებით: ჩვენ შეგვიძლია ვიპოვოთ საიტები დაუცველი სკრიპტებით, მაგალითად:

allinurl:/random_banner/index.cgi

დამატებითი ცოდნის გამოყენებით, ჰაკერს შეუძლია გამოიყენოს სკრიპტის დაუცველობა და გამოიყენოს ეს დაუცველობა, რათა აიძულოს სკრიპტი გამოსცეს სერვერზე შენახული ნებისმიერი ფაილი. მაგალითად, პაროლის ფაილი.

როგორ დავიცვათ თავი Google-ის ჰაკერებისგან.

1. არ განათავსოთ მნიშვნელოვანი მონაცემები WEB სერვერზე.

მაშინაც კი, თუ მონაცემები დროებით გამოაქვეყნეთ, შეიძლება დაივიწყოთ ან ვინმეს ექნება დრო, მოიძიოს და მიიღოს ეს მონაცემები, სანამ წაშლით. არ გააკეთო ეს. არსებობს მონაცემების გადაცემის მრავალი სხვა გზა, რომელიც იცავს მას ქურდობისგან.

2. შეამოწმეთ თქვენი საიტი.

გამოიყენეთ აღწერილი მეთოდები თქვენი საიტის შესასწავლად. პერიოდულად შეამოწმეთ თქვენი საიტი ახალი მეთოდებისთვის, რომლებიც გამოჩნდება საიტზე http://johnny.ihackstuff.com. გახსოვდეთ, რომ თუ გსურთ თქვენი მოქმედებების ავტომატიზაცია, უნდა მიიღოთ სპეციალური ნებართვა Google-ისგან. თუ ყურადღებით წაიკითხავთ http://www.google.com/terms_of_service.html, შემდეგ დაინახავთ ფრაზას: თქვენ არ შეგიძლიათ Google-ის სისტემაში რაიმე სახის ავტომატური მოთხოვნების გაგზავნა Google-ის წინასწარი ნებართვის გარეშე.

3. შესაძლოა არ დაგჭირდეთ Google თქვენი საიტის ან მისი ნაწილის ინდექსირებაში.

Google გაძლევთ საშუალებას ამოშალოთ თქვენი საიტის ბმული ან მისი ნაწილი მისი მონაცემთა ბაზიდან, ასევე ამოიღოთ გვერდები ქეშიდან. გარდა ამისა, თქვენ შეგიძლიათ აიკრძალოთ სურათების ძებნა თქვენს საიტზე, აიკრძალოთ გვერდების მოკლე ფრაგმენტები ძიების შედეგებში ნაჩვენები საიტის წაშლის ყველა შესაძლებლობა http://www.google.com/remove.html. ამისათვის თქვენ უნდა დაადასტუროთ, რომ ნამდვილად ხართ ამ საიტის მფლობელი ან ჩადეთ თეგები გვერდზე ან

4. გამოიყენეთ robots.txt

ცნობილია, რომ საძიებო სისტემები უყურებენ robots.txt ფაილს, რომელიც მდებარეობს საიტის ძირში და არ აინდექსირებენ იმ ნაწილებს, რომლებიც აღნიშნულია სიტყვით. აკრძალვა. თქვენ შეგიძლიათ გამოიყენოთ ეს, რათა თავიდან აიცილოთ საიტის ნაწილის ინდექსირება. მაგალითად, იმისათვის, რომ არ მოხდეს მთელი საიტის ინდექსირება, შექმენით robots.txt ფაილი, რომელიც შეიცავს ორ ხაზს:

მომხმარებლის აგენტი: *
აკრძალვა:/

კიდევ რა ხდება

ისე, რომ ცხოვრება თაფლად არ მოგეჩვენოთ, ბოლოს გეტყვით, რომ არის საიტები, რომლებიც აკონტროლებენ იმ ადამიანებს, რომლებიც ზემოთ ჩამოთვლილი მეთოდების გამოყენებით ეძებენ ხვრელებს სკრიპტებსა და ვებ სერვერებში. ასეთი გვერდის მაგალითია

განაცხადი.

ცოტა ტკბილი. სცადეთ ზოგიერთი შემდეგი თქვენთვის:

1. #mysql dump ფაილის ტიპი:sql - მოძებნეთ mySQL მონაცემთა ბაზის ამონაწერები
2. ჰოსტის დაუცველობის შემაჯამებელი ანგარიში - გაჩვენებთ, თუ რა დაუცველობა აღმოაჩინეს სხვა ადამიანებმა
3. phpMyAdmin მუშაობს inurl:main.php-ზე - ეს გამოიწვევს კონტროლის დახურვას phpmyadmin პანელის მეშვეობით
4. არა გასავრცელებლად კონფიდენციალური
5. მოითხოვეთ დეტალები კონტროლის ხე სერვერის ცვლადები
6. სირბილი Child რეჟიმში
7. ეს ანგარიში შეიქმნა WebLog-ის მიერ
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs – იქნებ ვინმეს სჭირდება firewall-ის კონფიგურაციის ფაილები? :)
10. სათაური:ინდექსი.ფინანსების.xls – ჰმ....
11. intitle:Index of dbconvert.exe chats – icq chat logs
12.intext:Tobias Oetiker მოძრაობის ანალიზი
13. intitle:Usage Statistics for Generated by Webalizer
14. სათაური: მოწინავე ვებ სტატისტიკის სტატისტიკა
15. intitle:index.of ws_ftp.ini – ws ftp კონფიგურაცია
16. inurl:ipsec.secrets ინახავს საერთო საიდუმლოებებს - საიდუმლო გასაღები - კარგი პოვნა
17. inurl:main.php კეთილი იყოს თქვენი მობრძანება phpMyAdmin-ში
18. inurl:server-info Apache სერვერის ინფორმაცია
19. საიტი:edu admin grades
20. ORA-00921: SQL ბრძანების მოულოდნელი დასასრული - ბილიკების მიღება
21. სათაური:ინდექსი.ტრილიანი.ინი
22. intitle:Index of pwd.db
23.სათაური:ინდექსი.ადამიანთა.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. intitle:Index of .mysql_history
27. intitle:index of intext:globals.inc
28. სათაური:ინდექსი.ადმინისტრატორების.pwd
29. სათაური:Index.of etc shadow
30.intitle:index.ofsecring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini

  • „გუგლის გატეხვა“

    • სასწავლო ცენტრი "Informzashchita" http://www.itsecurity.ru - წამყვანი სპეციალიზებული ცენტრი ტრენინგის სფეროში ინფორმაციის უსაფრთხოება(მოსკოვის განათლების კომიტეტის ლიცენზია No015470, სახელმწიფო აკრედიტაცია No004251). ერთადერთი ავტორიზებული სასწავლო ცენტრი ინტერნეტ უსაფრთხოების სისტემებისა და Clearswift-ისთვის რუსეთსა და დსთ-ს ქვეყნებში. მაიკროსოფტის ავტორიზებული სასწავლო ცენტრი (უსაფრთხოების სპეციალიზაცია). სასწავლო პროგრამები კოორდინირებულია რუსეთის სახელმწიფო ტექნიკურ კომისიასთან, FSB-სთან (FAPSI). მომზადების სერთიფიკატები და სახელმწიფო დოკუმენტები კვალიფიკაციის ასამაღლებლად.

    SoftKey არის უნიკალური სერვისი მყიდველებისთვის, დეველოპერებისთვის, დილერებისთვის და შვილობილი პარტნიორებისთვის. გარდა ამისა, ეს არის ერთ-ერთი საუკეთესო ონლაინ პროგრამული უზრუნველყოფის მაღაზია რუსეთში, უკრაინაში, ყაზახეთში, რომელიც მომხმარებელს სთავაზობს ფართო სპექტრს, გადახდის მრავალ მეთოდს, შეკვეთის სწრაფ (ხშირად მყისიერ) დამუშავებას, პირად განყოფილებაში შეკვეთის პროცესის თვალყურის დევნებას, სხვადასხვა ფასდაკლებებს. მაღაზია და მწარმოებლები BY.

    პირადი მონაცემების მოპოვება ყოველთვის არ ნიშნავს გატეხვას - ზოგჯერ ის ქვეყნდება საჯარო წვდომა. ცოდნა Google პარამეტრებიდა ცოტა გამომგონებლობა საშუალებას მოგცემთ იპოვოთ ბევრი საინტერესო რამ - საკრედიტო ბარათის ნომრებიდან დაწყებული FBI დოკუმენტებით.

    გაფრთხილება

    ყველა ინფორმაცია მოცემულია მხოლოდ საინფორმაციო მიზნებისთვის. არც რედაქტორები და არც ავტორი არ არიან პასუხისმგებელი ამ სტატიის მასალებით მიყენებულ შესაძლო ზიანს.

    დღეს ყველაფერი ინტერნეტთან არის დაკავშირებული, წვდომის შეზღუდვაზე ნაკლებად ზრუნავს. ამიტომ, ბევრი პირადი მონაცემი ხდება საძიებო სისტემების მტაცებელი. ობობის რობოტები აღარ შემოიფარგლება მხოლოდ ვებ გვერდებით, არამედ ინდექსირებენ ინტერნეტში არსებულ მთელ კონტენტს და მუდმივად ამატებენ არა-საჯარო ინფორმაციას თავიანთ მონაცემთა ბაზაში. ამ საიდუმლოებების გარკვევა მარტივია – თქვენ უბრალოდ უნდა იცოდეთ როგორ იკითხოთ მათ შესახებ.

    ვეძებ ფაილებს

    კომპეტენტურ ხელში, Google სწრაფად იპოვის ყველაფერს, რაც ინტერნეტში არ არის ნაპოვნი, მაგალითად, პერსონალურ ინფორმაციას და ფაილებს ოფიციალური გამოყენებისთვის. ისინი ხშირად იმალება, როგორც გასაღები ხალიჩის ქვეშ: არ არსებობს რეალური წვდომის შეზღუდვები, მონაცემები უბრალოდ დევს საიტის უკანა მხარეს, სადაც არ არის ბმულები. სტანდარტული Google ვებ ინტერფეისი უზრუნველყოფს მხოლოდ ძირითადი გაფართოებული ძიების პარამეტრებს, მაგრამ ესეც საკმარისი იქნება.

    თქვენ შეგიძლიათ შეზღუდოთ თქვენი Google ძიება კონკრეტული ტიპის ფაილით ორი ოპერატორის გამოყენებით: filetype და ext. პირველი განსაზღვრავს ფორმატს, რომელიც საძიებო სისტემამ დაადგინა ფაილის სათაურიდან, მეორე მიუთითებს ფაილის გაფართოებას, მიუხედავად მისი შიდა შინაარსისა. ორივე შემთხვევაში ძიებისას საჭიროა მხოლოდ გაფართოების მითითება. თავდაპირველად, ext ოპერატორი მოსახერხებელი იყო გამოსაყენებლად იმ შემთხვევებში, როდესაც ფაილს არ გააჩნდა სპეციფიკური ფორმატის მახასიათებლები (მაგალითად, ini და cfg კონფიგურაციის ფაილების მოსაძებნად, რომელიც შეიძლება შეიცავდეს ყველაფერს). ახლა Google-ის ალგორითმები შეიცვალა და ოპერატორებს შორის აშკარა განსხვავება არ არის - უმეტეს შემთხვევაში შედეგები იგივეა.


    შედეგების გაფილტვრა

    ნაგულისხმევად, Google ეძებს სიტყვებს და, ზოგადად, ყველა შეყვანილ სიმბოლოს ინდექსირებული გვერდების ყველა ფაილში. თქვენ შეგიძლიათ შეზღუდოთ ძიების არეალი ზედა დონის დომენის, კონკრეტული საიტის ან თავად ფაილებში საძიებო თანმიმდევრობის ადგილმდებარეობის მიხედვით. პირველი ორი ვარიანტისთვის გამოიყენეთ საიტის ოპერატორი, რასაც მოჰყვება დომენის ან არჩეული საიტის სახელი. მესამე შემთხვევაში, ოპერატორების მთელი ნაკრები საშუალებას გაძლევთ მოძებნოთ ინფორმაცია მომსახურების სფეროებში და მეტამონაცემებში. მაგალითად, allinurl იპოვის მოცემულს თავად ბმულების სხეულში, allinanchor - ტეგით აღჭურვილ ტექსტში. , allintitle - გვერდების სათაურებში, allintext - გვერდების სხეულში.

    თითოეული ოპერატორისთვის არის მსუბუქი ვერსია უფრო მოკლე სახელით (ყველა პრეფიქსის გარეშე). განსხვავება ისაა, რომ allinurl იპოვის ბმულებს ყველა სიტყვასთან, ხოლო inurl იპოვის ბმულებს მხოლოდ პირველ მათგანთან. მოთხოვნიდან მეორე და შემდგომი სიტყვები შეიძლება გამოჩნდეს ვებგვერდების ნებისმიერ ადგილას. inurl ოპერატორი ასევე განსხვავდება მსგავსი მნიშვნელობის სხვა ოპერატორისგან - საიტისგან. პირველი ასევე საშუალებას გაძლევთ იპოვოთ სიმბოლოების ნებისმიერი თანმიმდევრობა მოძიებული დოკუმენტის ბმულში (მაგალითად, /cgi-bin/), რომელიც ფართოდ გამოიყენება ცნობილი დაუცველობის მქონე კომპონენტების მოსაძებნად.

    პრაქტიკაში ვცადოთ. ჩვენ ვიღებთ allintext ფილტრს და ვაძლევთ მოთხოვნას აწარმოოს საკრედიტო ბარათების ნომრებისა და დამადასტურებელი კოდების სია, რომელთა ვადა მხოლოდ ორ წელიწადში ამოიწურება (ან როცა მათი მფლობელები დაიღალებიან ყველას კვებით).

    Allintext: ბარათის ნომრის ვადის გასვლის თარიღი /2017 cvv

    როდესაც ახალ ამბებში კითხულობთ, რომ ახალგაზრდა ჰაკერმა „გატეხა“ პენტაგონის ან NASA-ს სერვერები, მოიპარა საიდუმლო ინფორმაცია, უმეტეს შემთხვევაში ჩვენ ვსაუბრობთ Google-ის გამოყენების სწორედ ასეთ ძირითად ტექნიკაზე. დავუშვათ, ჩვენ გვაინტერესებს NASA-ს თანამშრომლების სია და მათი საკონტაქტო ინფორმაცია. რა თქმა უნდა, ასეთი სია ხელმისაწვდომია ელექტრონული ფორმით. მოხერხებულობისთვის ან ზედამხედველობის გამო, ის ასევე შეიძლება იყოს თავად ორგანიზაციის ვებსაიტზე. ლოგიკურია, რომ ამ შემთხვევაში არ იქნება ბმულები, რადგან ის განკუთვნილია შიდა გამოყენებისთვის. რა სიტყვები შეიძლება იყოს ასეთ ფაილში? მინიმუმ - "მისამართის" ველი. ყველა ამ ვარაუდის ტესტირება მარტივია.


    Inurl:nasa.gov ფაილის ტიპი:xlsx "მისამართი"


    ჩვენ ვიყენებთ ბიუროკრატიას

    მსგავსი აღმოჩენები სასიამოვნო შეხებაა. ჭეშმარიტად სოლიდური დაჭერა უზრუნველყოფილია Google-ის ოპერატორების უფრო დეტალური ცოდნით ვებმასტერებისთვის, თავად ქსელისა და მოთხოვნილი სტრუქტურის თავისებურებების შესახებ. დეტალების ცოდნით, თქვენ შეგიძლიათ მარტივად გაფილტროთ შედეგები და დახვეწოთ საჭირო ფაილების თვისებები, რათა მიიღოთ მართლაც ღირებული მონაცემები დანარჩენში. სასაცილოა, რომ აქ ბიუროკრატია შველის. ის აწარმოებს სტანდარტულ ფორმულირებებს, რომლებიც მოსახერხებელია ინტერნეტში შემთხვევით გაჟონილი საიდუმლო ინფორმაციის მოსაძიებლად.

    მაგალითად, აშშ-ს თავდაცვის დეპარტამენტის მიერ მოთხოვნილი Distribution-ის განცხადების ბეჭედი ნიშნავს დოკუმენტის გავრცელების სტანდარტიზებულ შეზღუდვებს. ასო A აღნიშნავს საჯარო რელიზებს, რომლებშიც არაფერია საიდუმლო; B - განკუთვნილია მხოლოდ შიდა გამოყენებისთვის, C - მკაცრად კონფიდენციალური და ასე შემდეგ, სანამ F. ასო X ცალკე გამოირჩევა, რომელიც აღნიშნავს განსაკუთრებით ღირებულ ინფორმაციას, რომელიც წარმოადგენს უმაღლესი დონის სახელმწიფო საიდუმლოებას. დაე, მათ, ვინც ამას მორიგეობით უნდა აკეთონ, მოძებნონ ასეთი დოკუმენტები და ჩვენ შემოვიფარგლებით ფაილებით C ასოებით. DoDI დირექტივის 5230.24 მიხედვით, ეს მარკირება ენიჭება დოკუმენტებს, რომლებიც შეიცავს კრიტიკული ტექნოლოგიების აღწერას, რომლებიც ექვემდებარება ექსპორტის კონტროლს. . თქვენ შეგიძლიათ იპოვოთ ასეთი საგულდაგულოდ დაცული ინფორმაცია საიტებზე ზედა დონის domain.mil-ში, რომელიც გამოყოფილია აშშ-ს არმიისთვის.

    "DISTRIBUTION STATEMENT C" inurl:navy.mil

    ძალიან მოსახერხებელია, რომ .mil დომენი შეიცავს მხოლოდ აშშ-ს თავდაცვის დეპარტამენტის და მისი საკონტრაქტო ორგანიზაციების საიტებს. დომენის შეზღუდვით ძიების შედეგები განსაკუთრებით სუფთაა და სათაურები თავისთავად საუბრობენ. რუსული საიდუმლოებების ამ გზით ძიება პრაქტიკულად უსარგებლოა: domains.ru და.rf-ში ქაოსი სუფევს და მრავალი იარაღის სისტემის სახელი ჟღერს ბოტანიკურს (PP "Kiparis", თვითმავალი თოფები "აკაცია") ან თუნდაც ზღაპრული ( TOS "ბურატინო").


    .mil დომენის საიტიდან ნებისმიერი დოკუმენტის გულდასმით შესწავლით, შეგიძლიათ ნახოთ სხვა მარკერები თქვენი ძიების გასაუმჯობესებლად. მაგალითად, მითითება ექსპორტის შეზღუდვებზე "Sec 2751", რომელიც ასევე მოსახერხებელია საინტერესო ტექნიკური ინფორმაციის მოსაძიებლად. დროდადრო ის ამოღებულია ოფიციალური საიტებიდან, სადაც ოდესღაც გამოჩნდა, ასე რომ, თუ ძიების შედეგებში საინტერესო ბმულს ვერ მიჰყვებით, გამოიყენეთ Google-ის ქეში (ქეშის ოპერატორი) ან ინტერნეტ არქივის საიტი.

    ღრუბლებში ასვლა

    გარდა შემთხვევით დეკლარირებული სამთავრობო დოკუმენტებისა, Google-ის ქეშში ზოგჯერ ჩნდება პერსონალური ფაილების ბმულები Dropbox-დან და მონაცემთა შენახვის სხვა სერვისებიდან, რომლებიც ქმნიან „პირად“ ბმულებს საჯაროდ გამოქვეყნებულ მონაცემებზე. ეს კიდევ უფრო უარესია ალტერნატიული და ხელნაკეთი სერვისებით. მაგალითად, შემდეგი მოთხოვნა პოულობს მონაცემებს Verizon-ის ყველა მომხმარებლისთვის, რომლებსაც აქვთ დაინსტალირებული FTP სერვერი და აქტიურად იყენებენ როუტერს.

    Allinurl:ftp://verizon.net

    ახლა ორმოც ათასზე მეტი ასეთი ჭკვიანი ადამიანია და 2015 წლის გაზაფხულზე კიდევ ბევრი იყო. Verizon.net-ის ნაცვლად, შეგიძლიათ შეცვალოთ ნებისმიერი ცნობილი პროვაიდერის სახელი და რაც უფრო ცნობილი იქნება, მით უფრო დიდი იქნება დაჭერა. ჩაშენებული FTP სერვერის საშუალებით შეგიძლიათ იხილოთ ფაილები გარე შენახვის მოწყობილობაზე, რომელიც დაკავშირებულია როუტერთან. ჩვეულებრივ, ეს არის NAS დისტანციური მუშაობისთვის, პერსონალური ღრუბლისთვის ან რაიმე სახის Peer-to-peer ფაილის ჩამოტვირთვისთვის. ასეთი მედიის ყველა შინაარსი ინდექსირებულია Google-ისა და სხვა საძიებო სისტემების მიერ, ასე რომ თქვენ შეგიძლიათ წვდომა გარე დისკებზე შენახულ ფაილებზე პირდაპირი ბმულის საშუალებით.

    ათვალიერებ კონფიგურაციებს

    ღრუბელში გავრცელებულ მიგრაციამდე, მარტივი FTP სერვერები მართავდნენ როგორც დისტანციურ შენახვას, რომელსაც ასევე ჰქონდა უამრავი დაუცველობა. ბევრი მათგანი დღესაც აქტუალურია. მაგალითად, პოპულარული WS_FTP Professional პროგრამა ინახავს კონფიგურაციის მონაცემებს, მომხმარებლის ანგარიშებს და პაროლებს ws_ftp.ini ფაილში. მისი პოვნა და წაკითხვა მარტივია, რადგან ყველა ჩანაწერი ინახება ტექსტის ფორმატში, ხოლო პაროლები დაშიფრულია Triple DES ალგორითმით მინიმალური დაბინდვის შემდეგ. უმეტეს ვერსიებში საკმარისია პირველი ბაიტის უბრალოდ გაუქმება.

    ასეთი პაროლების გაშიფვრა მარტივია WS_FTP Password Decryptor პროგრამის ან უფასო ვებ სერვისის გამოყენებით.

    თვითნებური ვებსაიტის გატეხვაზე საუბრისას, ისინი ჩვეულებრივ გულისხმობენ პაროლის მიღებას ჟურნალებიდან და CMS-ის კონფიგურაციის ფაილების ან აპლიკაციების სარეზერვო ასლებიდან. ელექტრონული კომერცია. თუ იცით მათი ტიპიური სტრუქტურა, შეგიძლიათ მარტივად მიუთითოთ საკვანძო სიტყვები. ws_ftp.ini-ში ნაპოვნი ხაზები ძალზე გავრცელებულია. მაგალითად, Drupal-სა და PrestaShop-ში ყოველთვის არის მომხმარებლის იდენტიფიკატორი (UID) და შესაბამისი პაროლი (pwd) და ყველა ინფორმაცია ინახება ფაილებში .inc გაფართოებით. თქვენ შეგიძლიათ მოძებნოთ ისინი შემდეგნაირად:

    "pwd=" "UID=" ext:inc

    DBMS პაროლების გამოვლენა

    SQL სერვერების კონფიგურაციის ფაილებში სახელები და მისამართები ელმომხმარებლები ინახება მკაფიო ტექსტში და პაროლების ნაცვლად მათი MD5 ჰეშები ჩაწერილია. მკაცრად რომ ვთქვათ, მათი გაშიფვრა შეუძლებელია, მაგრამ შეგიძლიათ იპოვოთ შესატყვისი ცნობილ ჰეშ-პაროლთა წყვილებს შორის.

    ჯერ კიდევ არსებობს DBMS-ები, რომლებიც არც კი იყენებენ პაროლის ჰეშინგს. ნებისმიერი მათგანის კონფიგურაციის ფაილები უბრალოდ შეგიძლიათ ნახოთ ბრაუზერში.

    Intext:DB_PASSWORD ფაილის ტიპი: env

    გამოჩენის დღიდან Windows სერვერებიკონფიგურაციის ფაილების ადგილი ნაწილობრივ დაიკავა რეესტრმა. თქვენ შეგიძლიათ მოძებნოთ მისი ფილიალები ზუსტად იმავე გზით, ფაილის ტიპად reg-ის გამოყენებით. მაგალითად, ასე:

    ფაილის ტიპი:რეგ HKEY_CURRENT_USER "პაროლი"=

    არ დავივიწყოთ აშკარა

    ზოგჯერ შესაძლებელია საიდუმლო ინფორმაციის მოხვედრა შემთხვევით გახსნილი და ხედვის ველში მოხვედრის დახმარებით Google მონაცემები. იდეალური ვარიანტია პაროლების სიის პოვნა რაიმე საერთო ფორმატში. შეინახეთ ანგარიშის ინფორმაცია ტექსტური ფაილი, Word დოკუმენტიან ელექტრონული Excel ცხრილიმხოლოდ სასოწარკვეთილ ადამიანებს შეუძლიათ, მაგრამ ისინი ყოველთვის საკმარისია.

    ფაილის ტიპი:xls inurl:პაროლი

    ერთის მხრივ, არსებობს უამრავი საშუალება მსგავსი ინციდენტების თავიდან ასაცილებლად. აუცილებელია htaccess-ში ადექვატური წვდომის უფლებების მითითება, CMS-ის პატჩი, არ გამოიყენოთ მარცხენა სკრიპტები და დახუროთ სხვა ხვრელები. ასევე არის ფაილი robots.txt გამონაკლისების სიით, რომელიც კრძალავს საძიებო სისტემებს მასში მითითებული ფაილების და დირექტორიების ინდექსირებას. მეორეს მხრივ, თუ robots.txt-ის სტრუქტურა ზოგიერთ სერვერზე განსხვავდება სტანდარტულისგან, მაშინვე ცხადი ხდება, რის დამალვას ცდილობენ მასზე.

    ნებისმიერი საიტის დირექტორიებისა და ფაილების სიას წინ უძღვის სტანდარტული ინდექსი. იმის გამო, რომ სერვისის მიზნებისთვის ის უნდა გამოჩნდეს სათაურში, აზრი აქვს მისი ძიების შეზღუდვას intitle ოპერატორით. საინტერესო რამ არის /admin/, /personal/, /etc/ და კიდევ /secret/ დირექტორიებში.

    თვალყური ადევნეთ განახლებებს

    აქ რელევანტურობა ძალზე მნიშვნელოვანია: ძველი დაუცველობები ძალიან ნელა იხურება, მაგრამ Google და მისი ძიების შედეგები მუდმივად იცვლება. „ბოლო წამის“ ფილტრსა (&tbs=qdr:s მოთხოვნის URL-ის ბოლოს) და „რეალურ დროში“ ფილტრს (&tbs=qdr:1) შორის განსხვავებაც კი არის.

    თარიღის დროის ინტერვალი უახლესი განახლება Google ასევე მიუთითებს ფაილს ირიბად. გრაფიკული ვებ ინტერფეისის საშუალებით შეგიძლიათ აირჩიოთ ერთ-ერთი სტანდარტული პერიოდი (საათი, დღე, კვირა და ა.შ.) ან დააყენოთ თარიღის დიაპაზონი, მაგრამ ეს მეთოდი არ არის შესაფერისი ავტომატიზაციისთვის.

    მისამართების ზოლის გარეგნობის მიხედვით, თქვენ შეგიძლიათ მხოლოდ გამოიცნოთ შედეგების გამომუშავების შეზღუდვის გზა &tbs=qdr: კონსტრუქციის გამოყენებით. ასო y მას შემდეგ რაც ადგენს ერთი წლის ზღვარს (&tbs=qdr:y), m აჩვენებს შედეგებს ბოლო თვისთვის, w - კვირისთვის, d - გასული დღისთვის, h - ბოლო საათისთვის, n - წუთისთვის, ხოლო ს - წამისთვის. უახლესი შედეგები, რომლებიც ახლახან გახდა ცნობილი Google-ისთვის, ნაპოვნია &tbs=qdr:1 ფილტრის გამოყენებით.

    თუ ჭკვიანური სკრიპტის დაწერა გჭირდებათ, სასარგებლო იქნება იმის ცოდნა, რომ თარიღის დიაპაზონი დაყენებულია Google-ში ჯულიანის ფორმატში daterange ოპერატორის გამოყენებით. მაგალითად, ასე შეგიძლიათ იპოვოთ სია PDF დოკუმენტებისიტყვით კონფიდენციალური, ატვირთული 2015 წლის 1 იანვრიდან 1 ივლისამდე.

    კონფიდენციალური ფაილის ტიპი:pdf daterange:2457024-2457205

    დიაპაზონი მითითებულია იულიუსის თარიღის ფორმატში, წილადი ნაწილის გათვალისწინების გარეშე. მათი ხელით თარგმნა გრიგორიანული კალენდრიდან მოუხერხებელია. თარიღის გადამყვანის გამოყენება უფრო ადვილია.

    დამიზნება და ისევ გაფილტვრა

    საძიებო მოთხოვნაში დამატებითი ოპერატორების მითითების გარდა, მათი გაგზავნა შესაძლებელია უშუალოდ ბმულის ტექსტში. მაგალითად, filetype:pdf სპეციფიკაცია შეესაბამება კონსტრუქციას as_filetype=pdf. ეს ხელს უწყობს ნებისმიერი განმარტების მოთხოვნას. ვთქვათ, რომ შედეგების გამომავალი მხოლოდ ჰონდურასის რესპუბლიკიდან არის მითითებული საძიებო URL-ში კონსტრუქციის cr=countryHN-ის დამატებით და მხოლოდ ქალაქ ბობრუისკიდან - gcs=Bobruisk. სრული სია შეგიძლიათ ნახოთ დეველოპერის განყოფილებაში.

    Google-ის ავტომატიზაციის ხელსაწყოები შექმნილია იმისთვის, რომ გაამარტივოს ცხოვრება, მაგრამ ისინი ხშირად ამატებენ პრობლემებს. მაგალითად, მომხმარებლის IP გამოიყენება მისი ქალაქის დასადგენად WHOIS-ის საშუალებით. ამ ინფორმაციის საფუძველზე Google არა მხოლოდ აბალანსებს დატვირთვას სერვერებს შორის, არამედ ცვლის ძიების შედეგებს. რეგიონიდან გამომდინარე, ერთი და იგივე მოთხოვნის შემთხვევაში, პირველ გვერდზე გამოჩნდება სხვადასხვა შედეგი და ზოგიერთი მათგანი შესაძლოა მთლიანად დამალული იყოს. gl=country დირექტივის შემდეგ ორასოიანი კოდი დაგეხმარებათ თავი იგრძნოთ კოსმოპოლიტად და მოიძიოთ ინფორმაცია ნებისმიერი ქვეყნიდან. მაგალითად, ნიდერლანდების კოდი არის NL, მაგრამ ვატიკანსა და ჩრდილოეთ კორეას არ აქვთ საკუთარი კოდი Google-ში.

    ხშირად, ძიების შედეგები დაბინძურებულია რამდენიმე მოწინავე ფილტრის გამოყენების შემდეგაც კი. ამ შემთხვევაში მოთხოვნის გარკვევა ადვილია მასში რამდენიმე გამონაკლისი სიტყვის დამატებით (თითოეულის წინ არის მინუს ნიშანი). მაგალითად, საბანკო საქმე, სახელები და სახელმძღვანელო ხშირად გამოიყენება სიტყვა Personal-თან ერთად. ამიტომ, უფრო სუფთა ძიების შედეგები ნაჩვენები იქნება არა მოთხოვნის სახელმძღვანელოს მაგალითით, არამედ დახვეწილი:

    სათაური:"ინდექსი /პირადი/" -სახელები -სამეურვეო -საბანკო

    ერთი ბოლო მაგალითი

    დახვეწილი ჰაკერი იმითაა გამორჩეული, რომ თვითონ უზრუნველყოფს ყველაფერს, რაც სჭირდება. მაგალითად, VPN არის მოსახერხებელი რამ, მაგრამ ან ძვირი, ან დროებითი და შეზღუდვებით. საკუთარი თავის გამოწერაზე დარეგისტრირება ძალიან ძვირია. კარგია, რომ არის ჯგუფური გამოწერები და Google-ის დახმარებით ადვილია გახდე ჯგუფის წევრი. ამისათვის უბრალოდ იპოვეთ Cisco VPN კონფიგურაციის ფაილი, რომელსაც აქვს საკმაოდ არასტანდარტული PCF გაფართოება და ცნობადი გზა: Program Files\Cisco Systems\VPN Client\Profiles. ერთი თხოვნა და თქვენ შეუერთდით, მაგალითად, ბონის უნივერსიტეტის მეგობრულ გუნდს.

    ფაილის ტიპი: pcf vpn ან ჯგუფი

    ინფორმაცია

    Google პოულობს პაროლის კონფიგურაციის ფაილებს, მაგრამ ბევრი მათგანი დაშიფრულია ან ჩანაცვლებულია ჰეშებით. თუ ხედავთ ფიქსირებული სიგრძის სტრიქონებს, მაშინვე მოძებნეთ გაშიფვრის სერვისი.

    პაროლები ინახება დაშიფრულად, მაგრამ მორის მასარდმა უკვე დაწერა პროგრამა მათი გაშიფვრის მიზნით და უფასოდ აწვდის მას thecampusgeeks.com-ის საშუალებით.

    Google აკეთებს ასობით რამეს სხვადასხვა სახისშეტევები და შეღწევადობის ტესტები. ბევრი ვარიანტია, რომელიც გავლენას ახდენს პოპულარული პროგრამები, მონაცემთა ბაზის ძირითადი ფორმატები, PHP-ის მრავალი დაუცველობა, ღრუბლები და ა.შ. იმის ცოდნა, თუ რას ეძებთ, ბევრად გაგიადვილებთ თქვენთვის საჭირო ინფორმაციის პოვნას (განსაკუთრებით ინფორმაციის, რომლის გასაჯაროებასაც არ აპირებდით). Shodan არ არის ერთადერთი, რომელიც იკვებება საინტერესო იდეებით, არამედ ინდექსირებული ქსელის რესურსების ყველა მონაცემთა ბაზა!

    დაკავშირებული სტატიები