云亦然
天下皆白,唯我独黑。非攻墨门,兼爱平生。

网络安全之搜索引擎收集信息

2018-12-28 15:10:47 网络安全
Word count: 810 | Reading time: 3min

利用搜索引擎收集信息

GoogleHacking

这技术能够快速全面让攻击者挖掘到有价值的信息
1.敏感信息
2.具备特殊URL关键字的目标地址
3.搜索已有的攻击结果
4.指定格式文件
5.其他与某个站点相关的信息

特别提示:利用搜索引擎的网页快照功能,有时候可以发现很多有价值的信息。

维基百科上对搜索引擎的理解:
网络搜索引擎是一个软件系统,它被设计用来在万维网上搜索信息。搜索结果通常以通常称为搜索引擎结果页面(SERP)的结果行呈现。信息可以是网页、图像和其他类型的文件的混合。一些搜索引擎还挖掘数据库或开放目录中可用的数据。与只由人类编辑器维护的web目录不同,搜索引擎还通过在Web爬虫上运行算法来维护实时信息。
百度上对搜索引擎的理解:
搜索引擎(Search Engine)是指根据一定的策略、运用特定的计算机程序从互联网上搜集信息,在对信息进行组织和处理后,为用户提供检索服务,将用户检索相关的信息展示给用户的系统。搜索引擎包括全文索引、目录索引、元搜索引擎、垂直搜索引擎、集合式搜索引擎、门户搜索引擎与免费链接列表等。

搜索引擎:
google、bing、Yahoo、搜狗、360、神马、有道、中国搜索、盘古搜索、ZoomEye、Dogpile
狗狗搜索、搜索岛

洋葱里的:
DuckDUCkGo、notEvil、TORCH

常用的GoogleHacking语法:
1.intext:把网页的正文内容中的某个字符作为搜索的条件

2.intitle:把网页标题中的某个字符作为搜索的条件

3.cache:搜索搜索引擎里关于某些内容的缓存,可能会在过期内容中发现有价值的信息

4.filetype:指定一个格式类型的文件作为搜索对象

5.inurl:搜索包含指定字符的URL

6.site:在指定的站点搜索相关内容

上图可以看到语法可以合起来使用

其他GoogleHacking语法:
1.引号 “ ”
把关键字打上引号后把引号部分作为整体来搜索
2.or
同时搜索两个或者更多的关键字
3.link:
搜索某个网站的链接

典型用法:
1.找管理后台地址
site:xxx.com intext:管理、后台、登录、用户名、密码、系统、帐号
site:xxx.com inurl:login、admin、manage、manager、admin_login、system
site:xxx.com intitle:管理、后台、登陆
2.找上传类漏洞地址
site:xxx.com inurl:file
site:xxx.com inurl:upload
3.找注入页面
site:xxx.com inurl:php?id=
4.找编辑器页面
site:xxx.com inurl:ewebeditor

比较全的搜索网站

  1. 快搜:http://search.chongbuluo.com/
  2. 学术搜索:http://scholar.chongbuluo.com/
  3. 资源搜索:http://magnet.chongbuluo.com/

        

Author: 云亦然

Link: http://www.yunyiran.xyz/2018/12/28/网络安全之搜索引擎收集信息/

Copyright: All articles in this blog are licensed under CC BY-NC-SA 3.0 unless stating additionally.

< PreviousPost
网络安全之漏洞信息收集
NextPost >
Python的终端影集
CATALOG