വെബ് റിസോഴ്സുകളിലെ കേടുപാടുകൾക്കായുള്ള ഏതൊരു തിരയലും ആരംഭിക്കുന്നത് നിരീക്ഷണത്തിലും വിവര ശേഖരണത്തിലും നിന്നാണ്.
ഇൻ്റലിജൻസ് ഒന്നുകിൽ സജീവമാകാം - സൈറ്റിൻ്റെ ഫയലുകളുടെയും ഡയറക്ടറികളുടെയും ബ്രൂട്ട് ഫോഴ്സ്, ദുർബലത സ്കാനറുകൾ പ്രവർത്തിപ്പിക്കുക, സൈറ്റ് സ്വമേധയാ ബ്രൗസ് ചെയ്യുക, അല്ലെങ്കിൽ നിഷ്ക്രിയ - വ്യത്യസ്ത തിരയൽ എഞ്ചിനുകളിൽ വിവരങ്ങൾ തിരയുക. സൈറ്റിൻ്റെ ആദ്യ പേജ് തുറക്കുന്നതിന് മുമ്പുതന്നെ ഒരു അപകടസാധ്യത അറിയുന്നത് ചിലപ്പോൾ സംഭവിക്കുന്നു.
ഇത് എങ്ങനെ സാധിക്കും?
സെർച്ച് റോബോട്ടുകൾ, ഇൻ്റർനെറ്റിൽ നിരന്തരം കറങ്ങുന്നു, ശരാശരി ഉപയോക്താവിന് ഉപയോഗപ്രദമായ വിവരങ്ങൾക്ക് പുറമേ, ഒരു വെബ് റിസോഴ്സിനെ ആക്രമിക്കാൻ ആക്രമണകാരികൾക്ക് ഉപയോഗിക്കാൻ കഴിയുന്ന കാര്യങ്ങൾ പലപ്പോഴും റെക്കോർഡുചെയ്യുന്നു. ഉദാഹരണത്തിന്, സ്ക്രിപ്റ്റ് പിശകുകളും സെൻസിറ്റീവ് വിവരങ്ങളുള്ള ഫയലുകളും (കോൺഫിഗറേഷൻ ഫയലുകളും ലോഗുകളും മുതൽ പ്രാമാണീകരണ ഡാറ്റയും ഡാറ്റാബേസ് ബാക്കപ്പുകളും ഉള്ള ഫയലുകൾ വരെ).
ഒരു തിരയൽ റോബോട്ടിൻ്റെ വീക്ഷണകോണിൽ, ഒരു sql അന്വേഷണം നടപ്പിലാക്കുന്നതിനെക്കുറിച്ചുള്ള ഒരു പിശക് സന്ദേശം പ്ലെയിൻ വാചകമാണ്, വേർതിരിക്കാനാവാത്തതാണ്, ഉദാഹരണത്തിന്, പേജിലെ ഉൽപ്പന്നങ്ങളുടെ വിവരണത്തിൽ നിന്ന്. ചില കാരണങ്ങളാൽ സൈറ്റിൻ്റെ വർക്കിംഗ് ഫോൾഡറിൽ അവസാനിച്ച .sql വിപുലീകരണമുള്ള ഒരു ഫയലിൽ പെട്ടെന്ന് ഒരു തിരയൽ റോബോട്ട് വന്നാൽ, അത് സൈറ്റിൻ്റെ ഉള്ളടക്കത്തിൻ്റെ ഭാഗമായി കാണുകയും സൂചികയിലാകുകയും ചെയ്യും (ഒരുപക്ഷേ, പാസ്വേഡുകൾ ഉൾപ്പെടെ. അതിൽ വ്യക്തമാക്കിയിട്ടുണ്ട്).
കേടുപാടുകൾ ഇല്ലാത്ത പേജുകളിൽ നിന്ന് "ദുർബലമായ പേജുകൾ" വേർതിരിക്കാൻ സഹായിക്കുന്ന ശക്തമായ, പലപ്പോഴും അതുല്യമായ കീവേഡുകൾ അറിഞ്ഞുകൊണ്ട് അത്തരം വിവരങ്ങൾ കണ്ടെത്താനാകും.
കീവേഡുകൾ (ഡോർക്സ് എന്ന് വിളിക്കപ്പെടുന്നവ) ഉപയോഗിച്ച് പ്രത്യേക അന്വേഷണങ്ങളുടെ ഒരു വലിയ ഡാറ്റാബേസ് exploit-db.com-ൽ നിലവിലുണ്ട്, ഇത് Google ഹാക്ക് ഡാറ്റാബേസ് എന്നറിയപ്പെടുന്നു.
എന്തിനാണ് ഗൂഗിൾ?
രണ്ട് കാരണങ്ങളാൽ ഡോർക്കുകൾ പ്രധാനമായും Google-നെ ലക്ഷ്യമിടുന്നു:
- കീവേഡുകളുടെ ഏറ്റവും വഴക്കമുള്ള വാക്യഘടന (പട്ടിക 1-ൽ കാണിച്ചിരിക്കുന്നു), പ്രത്യേക പ്രതീകങ്ങൾ (പട്ടിക 2-ൽ കാണിച്ചിരിക്കുന്നു);
- മറ്റ് സെർച്ച് എഞ്ചിനുകളേക്കാൾ ഗൂഗിൾ സൂചിക ഇപ്പോഴും പൂർണ്ണമാണ്;
പട്ടിക 1 - പ്രധാന Google കീവേഡുകൾ
കീവേഡ് |
അർത്ഥം |
ഉദാഹരണം |
സൈറ്റ് |
നിർദ്ദിഷ്ട സൈറ്റിൽ മാത്രം തിരയുക. url മാത്രം കണക്കിലെടുക്കുന്നു |
site:somesite.ru - തന്നിരിക്കുന്ന ഡൊമെയ്നിലും ഉപഡൊമെയ്നുകളിലും എല്ലാ പേജുകളും കണ്ടെത്തും |
inurl |
ഉറിയിൽ ഉള്ള വാക്കുകൾ ഉപയോഗിച്ച് തിരയുക. cl പോലെയല്ല. "സൈറ്റ്" എന്ന വാക്കുകൾ, സൈറ്റിൻ്റെ പേരിന് ശേഷമുള്ള പൊരുത്തങ്ങൾക്കായി തിരയുന്നു |
inurl:news - യുറിയിൽ നൽകിയിരിക്കുന്ന വാക്ക് ദൃശ്യമാകുന്ന എല്ലാ പേജുകളും കണ്ടെത്തുന്നു |
വാചകം |
പേജിൻ്റെ ബോഡിയിൽ തിരയുക |
intext:”ട്രാഫിക് ജാം” - “ട്രാഫിക് ജാമുകൾ” എന്ന സാധാരണ അഭ്യർത്ഥനയ്ക്ക് തികച്ചും സമാനമാണ് |
തലക്കെട്ട് |
പേജിൻ്റെ തലക്കെട്ടിൽ തിരയുക. ടാഗുകൾക്കിടയിലുള്ള വാചകം |
intitle:”index of” - ഡയറക്ടറി ലിസ്റ്റിംഗുകളുള്ള എല്ലാ പേജുകളും കണ്ടെത്തും |
ext |
ഒരു നിർദ്ദിഷ്ട വിപുലീകരണമുള്ള പേജുകൾക്കായി തിരയുക |
ext:pdf - എല്ലാ pdf ഫയലുകളും കണ്ടെത്തുന്നു |
ഫയൽ തരം |
നിലവിൽ, ക്ലാസിന് പൂർണ്ണമായും സമാനമാണ്. "ext" എന്ന വാക്ക് |
filetype:pdf - സമാനമായത് |
ബന്ധപ്പെട്ട |
സമാന വിഷയങ്ങളുള്ള സൈറ്റുകൾക്കായി തിരയുക |
related:google.ru - അതിൻ്റെ അനലോഗുകൾ കാണിക്കും |
ലിങ്ക് |
ഇതിലേക്ക് ലിങ്ക് ചെയ്യുന്ന സൈറ്റുകൾക്കായി തിരയുക |
link:somesite.ru - ഇതിലേക്ക് ലിങ്കുള്ള എല്ലാ സൈറ്റുകളും കണ്ടെത്തും |
നിർവ്വചിക്കുക |
പദ നിർവചനം കാണിക്കുക |
define:0day - പദത്തിൻ്റെ നിർവചനം |
കാഷെ |
പേജ് ഉള്ളടക്കങ്ങൾ കാഷെയിൽ കാണിക്കുക (നിലവിലുണ്ടെങ്കിൽ) |
cache:google.com - ഒരു കാഷെ ചെയ്ത പേജ് തുറക്കും |
പട്ടിക 2 - Google അന്വേഷണങ്ങൾക്കുള്ള പ്രത്യേക പ്രതീകങ്ങൾ
ചിഹ്നം |
അർത്ഥം |
ഉദാഹരണം |
“ |
കൃത്യമായ വാചകം |
intitle:“RouterOS റൂട്ടർ കോൺഫിഗറേഷൻ പേജ്” - റൂട്ടറുകൾക്കായി തിരയുക |
* |
ഏതെങ്കിലും വാചകം |
inurl: “bitrix*mcart” - ദുർബലമായ mcart മൊഡ്യൂളുള്ള ബിട്രിക്സിൽ സൈറ്റുകൾക്കായി തിരയുക |
. |
ഏത് കഥാപാത്രവും |
Index.of - അഭ്യർത്ഥനയുടെ സൂചികയ്ക്ക് സമാനമാണ് |
- |
ഒരു വാക്ക് ഇല്ലാതാക്കുക |
പിശക് -മുന്നറിയിപ്പ് - പിശകുള്ളതും എന്നാൽ മുന്നറിയിപ്പില്ലാത്തതുമായ എല്ലാ പേജുകളും കാണിക്കുക |
.. |
പരിധി |
cve 2006..2016 - 2006 മുതൽ വർഷം തോറും കേടുപാടുകൾ കാണിക്കുക |
| |
ലോജിക്കൽ "അല്ലെങ്കിൽ" |
ലിനക്സ് | windows - ആദ്യത്തെയോ രണ്ടാമത്തെയോ വാക്ക് വരുന്ന പേജുകൾ കാണിക്കുക |
ഒരു സെർച്ച് എഞ്ചിനിലേക്കുള്ള ഏതൊരു അഭ്യർത്ഥനയും വാക്കുകളിലൂടെയുള്ള തിരയലാണെന്ന് മനസ്സിലാക്കേണ്ടതാണ്.
പേജിൽ മെറ്റാ പ്രതീകങ്ങൾ തിരയുന്നത് ഉപയോഗശൂന്യമാണ് (ഉദ്ധരണികൾ, പരാൻതീസിസ്, ചിഹ്ന ചിഹ്നങ്ങൾ മുതലായവ). ഉദ്ധരണി ചിഹ്നങ്ങളിൽ വ്യക്തമാക്കിയിട്ടുള്ള കൃത്യമായ വാക്യത്തിനായുള്ള തിരയൽ പോലും ഒരു വാക്ക് തിരയലാണ്, തുടർന്ന് ഫലങ്ങളിൽ കൃത്യമായ പൊരുത്തത്തിനായി തിരയുക.
എല്ലാ Google Hack Database dorks ഉം യുക്തിപരമായി 14 വിഭാഗങ്ങളായി തിരിച്ചിരിക്കുന്നു, അവ പട്ടിക 3-ൽ അവതരിപ്പിച്ചിരിക്കുന്നു.
പട്ടിക 3 - Google ഹാക്ക് ഡാറ്റാബേസ് വിഭാഗങ്ങൾ
വിഭാഗം |
എന്താണ് കണ്ടെത്താൻ നിങ്ങളെ അനുവദിക്കുന്നത് |
ഉദാഹരണം |
കാൽപ്പാടുകൾ |
വെബ് ഷെല്ലുകൾ, പൊതു ഫയൽ മാനേജർമാർ |
ലിസ്റ്റ് ചെയ്ത വെബ്ഷെല്ലുകൾ അപ്ലോഡ് ചെയ്ത എല്ലാ ഹാക്ക് ചെയ്ത സൈറ്റുകളും കണ്ടെത്തുക: (ശീർഷകം:"phpshell" അല്ലെങ്കിൽ തലക്കെട്ട്:"c99shell" അല്ലെങ്കിൽ തലക്കെട്ട്:"r57shell" അല്ലെങ്കിൽ തലക്കെട്ട്:"PHP ഷെൽ" അല്ലെങ്കിൽ തലക്കെട്ട്:"phpRemoteView") `rwx` "uname" |
ഉപയോക്തൃനാമങ്ങൾ അടങ്ങിയ ഫയലുകൾ |
രജിസ്ട്രി ഫയലുകൾ, കോൺഫിഗറേഷൻ ഫയലുകൾ, ലോഗുകൾ, നൽകിയ കമാൻഡുകളുടെ ചരിത്രം അടങ്ങുന്ന ഫയലുകൾ |
അക്കൗണ്ട് വിവരങ്ങൾ അടങ്ങിയ എല്ലാ രജിസ്ട്രി ഫയലുകളും കണ്ടെത്തുക: filetype:reg reg +intext:“ഇൻ്റർനെറ്റ് അക്കൗണ്ട് മാനേജർ” |
സെൻസിറ്റീവ് ഡയറക്ടറികൾ |
വിവിധ വിവരങ്ങളുള്ള ഡയറക്ടറികൾ (വ്യക്തിഗത പ്രമാണങ്ങൾ, vpn കോൺഫിഗറേഷനുകൾ, മറഞ്ഞിരിക്കുന്ന ശേഖരണങ്ങൾ മുതലായവ) |
VPN-മായി ബന്ധപ്പെട്ട ഫയലുകൾ അടങ്ങിയ എല്ലാ ഡയറക്ടറി ലിസ്റ്റിംഗുകളും കണ്ടെത്തുക: "കോൺഫിഗ്" തലക്കെട്ട്: "ഇൻഡക്സ്" ഇൻടെക്സ്റ്റ്:വിപിഎൻ ജിറ്റ് റിപ്പോസിറ്ററികൾ അടങ്ങിയ സൈറ്റുകൾ: (ഇൻടെക്സ്റ്റ്:"ഇൻഡക്സ് /.git") ("പാരൻ്റ് ഡയറക്ടറി") |
വെബ് സെർവർ കണ്ടെത്തൽ |
വെബ് സെർവറിനെക്കുറിച്ചുള്ള പതിപ്പും മറ്റ് വിവരങ്ങളും |
JBoss സെർവർ അഡ്മിനിസ്ട്രേറ്റീവ് കൺസോളുകൾ കണ്ടെത്തുക: inurl:"/web-console/" intitle:"അഡ്മിനിസ്ട്രേഷൻ കൺസോൾ" |
ദുർബലമായ ഫയലുകൾ |
അറിയപ്പെടുന്ന കേടുപാടുകൾ അടങ്ങിയ സ്ക്രിപ്റ്റുകൾ |
സെർവറിൽ നിന്ന് ഒരു അനിയന്ത്രിതമായ ഫയൽ അപ്ലോഡ് ചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്ന ഒരു സ്ക്രിപ്റ്റ് ഉപയോഗിക്കുന്ന സൈറ്റുകൾ കണ്ടെത്തുക: allinurl:forcedownload.php?file= |
ദുർബലമായ സെർവറുകൾ |
ഇൻസ്റ്റലേഷൻ സ്ക്രിപ്റ്റുകൾ, വെബ് ഷെല്ലുകൾ, ഓപ്പൺ അഡ്മിനിസ്ട്രേറ്റീവ് കൺസോളുകൾ മുതലായവ. |
റൂട്ടായി പ്രവർത്തിക്കുന്ന തുറന്ന PHPMyAdmin കൺസോളുകൾ കണ്ടെത്തുക: intitle:phpMyAdmin "phpMyAdmin ***ലേക്ക് സ്വാഗതം ***" "റൂട്ട്@* എന്നതിൽ പ്രവർത്തിക്കുന്നു" |
പിശക് സന്ദേശങ്ങൾ |
വിവിധ പിശകുകളും മുന്നറിയിപ്പുകളും പലപ്പോഴും പ്രധാനപ്പെട്ട വിവരങ്ങൾ വെളിപ്പെടുത്തുന്നു - CMS പതിപ്പ് മുതൽ പാസ്വേഡുകൾ വരെ |
ഡാറ്റാബേസിലേക്ക് SQL അന്വേഷണങ്ങൾ നടപ്പിലാക്കുന്നതിൽ പിശകുകളുള്ള സൈറ്റുകൾ: "മുന്നറിയിപ്പ്: mysql_query()" "അസാധുവായ ചോദ്യം" |
രസകരമായ വിവരങ്ങൾ അടങ്ങിയ ഫയലുകൾ |
സർട്ടിഫിക്കറ്റുകൾ, ബാക്കപ്പുകൾ, ഇമെയിലുകൾ, ലോഗുകൾ, SQL സ്ക്രിപ്റ്റുകൾ മുതലായവ. |
ഇനിഷ്യലൈസേഷൻ sql സ്ക്രിപ്റ്റുകൾ കണ്ടെത്തുക: filetype:sql, "insert in" -site:github.com |
പാസ്വേഡുകൾ അടങ്ങിയ ഫയലുകൾ |
പാസ്വേഡുകൾ ഉൾക്കൊള്ളാൻ കഴിയുന്ന എന്തും - ലോഗുകൾ, sql സ്ക്രിപ്റ്റുകൾ മുതലായവ. |
പാസ്വേഡുകൾ സൂചിപ്പിക്കുന്ന ലോഗുകൾ: ഫയൽ തരം:ലോഗ്വാചകം:രഹസ്യവാക്ക് |പാസ് |pw പാസ്വേഡുകൾ അടങ്ങുന്ന sql സ്ക്രിപ്റ്റുകൾ: ext:sqlവാചകം:ഉപയോക്തൃനാമംവാചകം:password |
സെൻസിറ്റീവ് ഓൺലൈൻ ഷോപ്പിംഗ് വിവരങ്ങൾ |
ഓൺലൈൻ വാങ്ങലുമായി ബന്ധപ്പെട്ട വിവരങ്ങൾ |
പിൻകോഡുകൾ കണ്ടെത്തുക: dcid=bn=പിൻകോഡ്= |
നെറ്റ്വർക്ക് അല്ലെങ്കിൽ ദുർബലത ഡാറ്റ |
വെബ് റിസോഴ്സുമായി നേരിട്ട് ബന്ധമില്ലാത്ത വിവരങ്ങൾ, നെറ്റ്വർക്കിനെയോ മറ്റ് വെബ് ഇതര സേവനങ്ങളെയോ ബാധിക്കുന്നു |
ആന്തരിക നെറ്റ്വർക്കിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ അടങ്ങിയ ഓട്ടോമാറ്റിക് പ്രോക്സി കോൺഫിഗറേഷൻ സ്ക്രിപ്റ്റുകൾ കണ്ടെത്തുക: inurl:proxy | inurl:wpad ext:pac | ext:dat findproxyforurl |
ലോഗിൻ പോർട്ടലുകൾ അടങ്ങിയ പേജുകൾ |
ലോഗിൻ ഫോമുകൾ അടങ്ങിയ പേജുകൾ |
saplogon വെബ് പേജുകൾ: intext:"2016 SAP AG. എല്ലാ അവകാശങ്ങളും നിക്ഷിപ്തം." തലക്കെട്ട്: "ലോഗിൻ" |
വിവിധ ഓൺലൈൻ ഉപകരണങ്ങൾ |
പ്രിൻ്ററുകൾ, റൂട്ടറുകൾ, നിരീക്ഷണ സംവിധാനങ്ങൾ മുതലായവ. |
പ്രിൻ്റർ കോൺഫിഗറേഷൻ പാനൽ കണ്ടെത്തുക: തലക്കെട്ട്:"hpലേസർജെറ്റ്"inurl:SSI/അംഗീകാരം/സെറ്റ്_കോൺഫിഗറേഷൻ_ഉപകരണ വിവരം.htm |
ഉപദേശങ്ങളും കേടുപാടുകളും |
ദുർബലമായ CMS പതിപ്പുകളിലെ വെബ്സൈറ്റുകൾ |
നിങ്ങൾക്ക് സെർവറിലേക്ക് ഒരു അനിയന്ത്രിതമായ ഫയൽ അപ്ലോഡ് ചെയ്യാൻ കഴിയുന്ന ദുർബലമായ പ്ലഗിനുകൾ കണ്ടെത്തുക: inurl:fckeditor -intext:"ConfigIsEnabled = False" intext:ConfigIsEnabled |
എല്ലാ ഇൻ്റർനെറ്റ് സൈറ്റുകളിലും തിരയുന്നതിലാണ് ഡോർക്കുകൾ കൂടുതൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നത്. എന്നാൽ ഏതെങ്കിലും സൈറ്റിലോ സൈറ്റിലോ തിരയൽ സ്കോപ്പ് പരിമിതപ്പെടുത്തുന്നതിൽ നിന്ന് ഒന്നും നിങ്ങളെ തടയുന്നില്ല.
ചോദ്യത്തിലേക്ക് "site:somesite.com" എന്ന കീവേഡ് ചേർത്ത് ഓരോ Google അന്വേഷണവും ഒരു നിർദ്ദിഷ്ട സൈറ്റിൽ ഫോക്കസ് ചെയ്യാൻ കഴിയും. ഈ കീവേഡ് ഏത് ഡോർക്കിലേക്കും ചേർക്കാവുന്നതാണ്.
കേടുപാടുകൾക്കായുള്ള തിരയൽ ഓട്ടോമേറ്റ് ചെയ്യുന്നു
ഒരു സെർച്ച് എഞ്ചിൻ (ഗൂഗിൾ) ഉപയോഗിച്ച് കേടുപാടുകൾക്കായുള്ള തിരയൽ ഓട്ടോമേറ്റ് ചെയ്യുന്നതും ഗൂഗിൾ ഹാക്ക് ഡാറ്റാബേസിനെ ആശ്രയിക്കുന്നതുമായ ഒരു ലളിതമായ യൂട്ടിലിറ്റി എഴുതാനുള്ള ആശയം ജനിച്ചത് ഇങ്ങനെയാണ്.
phantomjs ഉപയോഗിച്ച് nodej-ൽ എഴുതിയ ഒരു സ്ക്രിപ്റ്റാണ് യൂട്ടിലിറ്റി. കൃത്യമായി പറഞ്ഞാൽ, സ്ക്രിപ്റ്റ് വ്യാഖ്യാനിക്കുന്നത് phantomjs തന്നെയാണ്.
Phantomjs ഒരു GUI ഇല്ലാതെ, js കോഡ് ഉപയോഗിച്ച് നിയന്ത്രിക്കുന്നതും സൗകര്യപ്രദമായ API ഉള്ളതുമായ ഒരു പൂർണ്ണ വെബ് ബ്രൗസറാണ്.
യൂട്ടിലിറ്റിക്ക് തികച്ചും മനസ്സിലാക്കാവുന്ന ഒരു പേര് ലഭിച്ചു - ഡോർക്സ്. ഇത് കമാൻഡ് ലൈനിൽ പ്രവർത്തിപ്പിക്കുന്നതിലൂടെ (ഓപ്ഷനുകൾ ഇല്ലാതെ), ഉപയോഗത്തിൻ്റെ നിരവധി ഉദാഹരണങ്ങൾ ഉപയോഗിച്ച് ഞങ്ങൾക്ക് ഹ്രസ്വ സഹായം ലഭിക്കും:
ചിത്രം 1 - പ്രധാന ഡോർക്ക് ഓപ്ഷനുകളുടെ പട്ടിക
യൂട്ടിലിറ്റിയുടെ പൊതുവായ വാക്യഘടന ഇതാണ്: ഡോർക്ക് "കമാൻഡ്" "ഓപ്ഷൻ ലിസ്റ്റ്".
എല്ലാ ഓപ്ഷനുകളുടെയും വിശദമായ വിവരണം പട്ടിക 4 ൽ അവതരിപ്പിച്ചിരിക്കുന്നു.
പട്ടിക 4 - ഡോർക്സ് വാക്യഘടന
ടീം |
ഓപ്ഷൻ |
വിവരണം |
ghdb |
-എൽ |
ഡോർക്ക് വിഭാഗങ്ങളുടെ അക്കമിട്ട ലിസ്റ്റ് Google ഹാക്ക് ഡാറ്റാബേസ് പ്രിൻ്റ് ചെയ്യുക |
-സി "വിഭാഗം നമ്പർ അല്ലെങ്കിൽ പേര്" |
നമ്പർ അല്ലെങ്കിൽ പേര് പ്രകാരം നിർദ്ദിഷ്ട വിഭാഗത്തിൻ്റെ വാതിലുകൾ ലോഡ് ചെയ്യുക |
|
-q "വാക്യം" |
അഭ്യർത്ഥന പ്രകാരം കണ്ടെത്തിയ ഡോർക്കുകൾ ഡൗൺലോഡ് ചെയ്യുക |
|
-o "ഫയൽ" |
ഫലം ഒരു ഫയലിലേക്ക് സംരക്ഷിക്കുക (-c|-q ഓപ്ഷനുകൾക്കൊപ്പം മാത്രം) |
|
ഗൂഗിൾ |
-d "ഡോർക്ക്" |
ഒരു അനിയന്ത്രിതമായ ഡോർക്ക് സജ്ജീകരിക്കുക (ഓപ്ഷൻ നിരവധി തവണ ഉപയോഗിക്കാം, -D ഓപ്ഷനുമായി സംയോജിപ്പിക്കാൻ അനുവദനീയമാണ്) |
-ഡി "ഫയൽ" |
ഫയലിൽ നിന്ന് ഡോർക്ക് ഉപയോഗിക്കുക |
|
-s "സൈറ്റ്" |
സൈറ്റ് സജ്ജീകരിക്കുക (ഓപ്ഷൻ നിരവധി തവണ ഉപയോഗിക്കാം, -S-യുമായി സംയോജനം അനുവദനീയമാണ്) |
|
-എസ് "ഫയൽ" |
ഒരു ഫയലിൽ നിന്നുള്ള സൈറ്റുകൾ ഉപയോഗിക്കുക (ഓരോ സൈറ്റിനും വേണ്ടി ഡോർക്കുകൾ സ്വതന്ത്രമായി തിരയപ്പെടും) |
|
-f "ഫിൽട്ടർ" |
അധിക കീവേഡുകൾ സജ്ജമാക്കുക (ഓരോ ഡോർക്കിലേക്കും ചേർക്കും) |
|
-t "എംഎസ് എണ്ണം" |
ഗൂഗിളിലേക്കുള്ള അഭ്യർത്ഥനകൾക്കിടയിലുള്ള ഇടവേള |
|
-T "എം.എസ്. എണ്ണം" |
ഒരു ക്യാപ്ച നേരിട്ടാൽ കാലഹരണപ്പെടും |
|
-o "ഫയൽ" |
ഫലം ഒരു ഫയലിലേക്ക് സംരക്ഷിക്കുക (എന്തെങ്കിലും കണ്ടെത്തിയ ട്രാക്കുകൾ മാത്രമേ സംരക്ഷിക്കപ്പെടുകയുള്ളൂ) |
ghdb കമാൻഡ് ഉപയോഗിച്ച്, നിങ്ങൾക്ക് എക്സ്പ്ലോയിറ്റ്-ഡിബിയിൽ നിന്ന് എല്ലാ ഡോർക്കുകളും അനിയന്ത്രിതമായ അഭ്യർത്ഥനയിലൂടെ ലഭിക്കും, അല്ലെങ്കിൽ മുഴുവൻ വിഭാഗവും വ്യക്തമാക്കുക. നിങ്ങൾ വിഭാഗം 0 വ്യക്തമാക്കുകയാണെങ്കിൽ, മുഴുവൻ ഡാറ്റാബേസും അൺലോഡ് ചെയ്യപ്പെടും (ഏകദേശം 4.5 ആയിരം ഡോർക്കുകൾ).
നിലവിൽ ലഭ്യമായ വിഭാഗങ്ങളുടെ പട്ടിക ചിത്രം 2 ൽ അവതരിപ്പിച്ചിരിക്കുന്നു.
ചിത്രം 2 - ലഭ്യമായ GHDB ഡോർക്ക് വിഭാഗങ്ങളുടെ ലിസ്റ്റ്
ഗൂഗിൾ ടീം ഓരോ ഡോർക്കിനെയും ഗൂഗിൾ സെർച്ച് എഞ്ചിനിലേക്ക് മാറ്റി പൊരുത്തങ്ങൾക്കായുള്ള ഫലം വിശകലനം ചെയ്യും. എന്തെങ്കിലും കണ്ടെത്തിയ പാതകൾ ഒരു ഫയലിൽ സംരക്ഷിക്കപ്പെടും.
യൂട്ടിലിറ്റി വ്യത്യസ്ത തിരയൽ മോഡുകളെ പിന്തുണയ്ക്കുന്നു:
1 ഡോർക്കും 1 സൈറ്റും;
1 ഡോർക്കും നിരവധി സൈറ്റുകളും;
1 സൈറ്റും നിരവധി ഡോർക്കുകളും;
നിരവധി സൈറ്റുകളും നിരവധി ഡോർക്കുകളും;
ഡോർക്കുകളുടെയും സൈറ്റുകളുടെയും ലിസ്റ്റ് ഒരു ആർഗ്യുമെൻ്റിലൂടെയോ ഫയലിലൂടെയോ വ്യക്തമാക്കാം.
ജോലിയുടെ പ്രകടനം
പിശക് സന്ദേശങ്ങൾക്കായി തിരയുന്നതിൻ്റെ ഉദാഹരണം ഉപയോഗിച്ച് എന്തെങ്കിലും കേടുപാടുകൾ കണ്ടെത്താൻ ശ്രമിക്കാം. കമാൻഡ് പ്രകാരം: dorks ghdb –c 7 –o errors.dorks "പിശക് സന്ദേശങ്ങൾ" വിഭാഗത്തിലെ അറിയപ്പെടുന്ന എല്ലാ ഡോർക്കുകളും ചിത്രം 3-ൽ കാണിച്ചിരിക്കുന്നതുപോലെ ലോഡ് ചെയ്യും.
ചിത്രം 3 - "പിശക് സന്ദേശങ്ങൾ" വിഭാഗത്തിലെ അറിയപ്പെടുന്ന എല്ലാ ഡോർക്കുകളും ലോഡുചെയ്യുന്നു
ഡോർക്കുകൾ ഡൗൺലോഡ് ചെയ്ത് ഒരു ഫയലിൽ സംരക്ഷിച്ചു. ഇപ്പോൾ അവശേഷിക്കുന്നത് ഏതെങ്കിലും സൈറ്റിൽ "സജ്ജീകരിക്കുക" മാത്രമാണ് (ചിത്രം 4 കാണുക).
ചിത്രം 4 - Google കാഷെയിൽ താൽപ്പര്യമുള്ള സൈറ്റിൻ്റെ കേടുപാടുകൾക്കായി തിരയുക
കുറച്ച് സമയത്തിന് ശേഷം, പഠനത്തിന് കീഴിലുള്ള സൈറ്റിൽ പിശകുകൾ അടങ്ങിയ നിരവധി പേജുകൾ കണ്ടെത്തി (ചിത്രം 5 കാണുക).
ചിത്രം 5 - പിശക് സന്ദേശങ്ങൾ കണ്ടെത്തി
തൽഫലമായി, result.txt ഫയലിൽ പിശകിലേക്ക് നയിക്കുന്ന ഡോർക്കുകളുടെ പൂർണ്ണമായ ലിസ്റ്റ് നമുക്ക് ലഭിക്കും.
സൈറ്റ് പിശകുകൾക്കായി തിരയുന്നതിൻ്റെ ഫലം ചിത്രം 6 കാണിക്കുന്നു.
ചിത്രം 6 - പിശക് തിരയൽ ഫലം
ഈ ഡോർക്കിനായുള്ള കാഷെയിൽ, സ്ക്രിപ്റ്റുകളുടെ സമ്പൂർണ്ണ പാതകൾ, സൈറ്റ് ഉള്ളടക്ക മാനേജ്മെൻ്റ് സിസ്റ്റം, ഡാറ്റാബേസ് തരം എന്നിവ വെളിപ്പെടുത്തുന്ന ഒരു പൂർണ്ണമായ ബാക്ക്ട്രെയിസ് പ്രദർശിപ്പിക്കും (ചിത്രം 7 കാണുക).
ചിത്രം 7 - സൈറ്റ് രൂപകൽപ്പനയെക്കുറിച്ചുള്ള വിവരങ്ങളുടെ വെളിപ്പെടുത്തൽ
എന്നിരുന്നാലും, GHDB-യിൽ നിന്നുള്ള എല്ലാ ഡോർക്കുകളും യഥാർത്ഥ ഫലങ്ങൾ നൽകുന്നില്ല എന്നത് പരിഗണിക്കേണ്ടതാണ്. കൂടാതെ, Google ഒരു കൃത്യമായ പൊരുത്തം കണ്ടെത്തുകയും സമാനമായ ഫലം കാണിക്കുകയും ചെയ്തേക്കില്ല.
ഈ സാഹചര്യത്തിൽ, ഡോർക്കുകളുടെ നിങ്ങളുടെ സ്വകാര്യ ലിസ്റ്റ് ഉപയോഗിക്കുന്നതാണ് നല്ലത്. ഉദാഹരണത്തിന്, "അസാധാരണ" വിപുലീകരണങ്ങളുള്ള ഫയലുകൾക്കായി തിരയുന്നത് എല്ലായ്പ്പോഴും മൂല്യവത്താണ്, അവയുടെ ഉദാഹരണങ്ങൾ ചിത്രം 8 ൽ കാണിച്ചിരിക്കുന്നു.
ചിത്രം 8 - ഒരു സാധാരണ വെബ് റിസോഴ്സിന് സാധാരണമല്ലാത്ത ഫയൽ എക്സ്റ്റൻഷനുകളുടെ ലിസ്റ്റ്
തൽഫലമായി, dorks google –D extensions.txt –f ബാങ്ക് കമാൻഡ് ഉപയോഗിച്ച്, ആദ്യ അഭ്യർത്ഥനയിൽ നിന്ന് Google "അസാധാരണ" ഫയൽ വിപുലീകരണങ്ങളുള്ള സൈറ്റുകൾ തിരികെ നൽകാൻ തുടങ്ങുന്നു (ചിത്രം 9 കാണുക).
ചിത്രം 9 - ബാങ്കിംഗ് വെബ്സൈറ്റുകളിൽ "മോശം" ഫയൽ തരങ്ങൾക്കായി തിരയുക
32 വാക്കുകളിൽ കൂടുതൽ ദൈർഘ്യമുള്ള ചോദ്യങ്ങൾ ഗൂഗിൾ സ്വീകരിക്കുന്നില്ലെന്നത് ഓർമിക്കേണ്ടതാണ്.
dorks google –d intext എന്ന കമാൻഡ് ഉപയോഗിച്ച്:”പിശക്|മുന്നറിയിപ്പ്|അറിയിപ്പ്|വാക്യഘടന” –f യൂണിവേഴ്സിറ്റി
വിദ്യാഭ്യാസ വെബ്സൈറ്റുകളിൽ നിങ്ങൾക്ക് PHP ഇൻ്റർപ്രെറ്റർ പിശകുകൾക്കായി നോക്കാം (ചിത്രം 10 കാണുക).
ചിത്രം 10 - PHP റൺടൈം പിശകുകൾ കണ്ടെത്തുന്നു
ചിലപ്പോൾ ഒന്നോ രണ്ടോ വിഭാഗം ഡോർക്കുകൾ ഉപയോഗിക്കുന്നത് സൗകര്യപ്രദമല്ല.
ഉദാഹരണത്തിന്, സൈറ്റ് വേർഡ്പ്രസ്സ് എഞ്ചിനിലാണ് പ്രവർത്തിക്കുന്നതെന്ന് അറിയാമെങ്കിൽ, നമുക്ക് വേർഡ്പ്രസ്സ് നിർദ്ദിഷ്ട മൊഡ്യൂളുകൾ ആവശ്യമാണ്. ഈ സാഹചര്യത്തിൽ, Google Hack Database തിരയൽ ഉപയോഗിക്കുന്നത് സൗകര്യപ്രദമാണ്. ചിത്രം 11-ൽ കാണിച്ചിരിക്കുന്നതുപോലെ, dorks ghdb –q wordpress –o wordpress_dorks.txt എന്ന കമാൻഡ് എല്ലാ ഡോർക്കുകളും വേർഡ്പ്രസിൽ നിന്ന് ഡൗൺലോഡ് ചെയ്യും:
ചിത്രം 11 - വേർഡ്പ്രസ്സുമായി ബന്ധപ്പെട്ട ഡോർക്കുകൾക്കായി തിരയുക
നമുക്ക് വീണ്ടും ബാങ്കുകളിലേക്ക് മടങ്ങാം, വേർഡ്പ്രസ്സുമായി ബന്ധപ്പെട്ട രസകരമായ എന്തെങ്കിലും കണ്ടെത്താൻ ശ്രമിക്കുന്നതിന് dorks google –D wordpress_dords.txt –f bank എന്ന കമാൻഡ് ഉപയോഗിക്കുക (ചിത്രം 12 കാണുക).
ചിത്രം 12 - വേർഡ്പ്രസ്സ് കേടുപാടുകൾക്കായി തിരയുക
ഗൂഗിൾ ഹാക്ക് ഡാറ്റാബേസിലെ തിരച്ചിൽ 4 പ്രതീകങ്ങളിൽ താഴെയുള്ള വാക്കുകൾ സ്വീകരിക്കുന്നില്ല എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്. ഉദാഹരണത്തിന്, സൈറ്റിൻ്റെ CMS അറിയില്ലെങ്കിലും ഭാഷ അറിയാമെങ്കിൽ - PHP. ഈ സാഹചര്യത്തിൽ, പൈപ്പും സിസ്റ്റം സെർച്ച് യൂട്ടിലിറ്റി ഡോർക്കുകളും ഉപയോഗിച്ച് നിങ്ങൾക്ക് ആവശ്യമുള്ളത് സ്വമേധയാ ഫിൽട്ടർ ചെയ്യാൻ കഴിയും -c എല്ലാം | findstr /I php > php_dorks.txt (ചിത്രം 13 കാണുക):
ചിത്രം 13 - PHP പരാമർശിച്ചിരിക്കുന്ന എല്ലാ ഡോർക്കുകളിലും തിരയുക
ഒരു സെർച്ച് എഞ്ചിനിൽ കേടുപാടുകൾ അല്ലെങ്കിൽ ചില സെൻസിറ്റീവ് വിവരങ്ങൾക്കായി തിരയുന്നത് ഈ സൈറ്റിൽ കാര്യമായ സൂചിക ഉണ്ടെങ്കിൽ മാത്രമേ നടത്താവൂ. ഉദാഹരണത്തിന്, ഒരു സൈറ്റിൽ 10-15 പേജുകൾ ഇൻഡെക്സ് ചെയ്തിട്ടുണ്ടെങ്കിൽ, ഈ രീതിയിൽ എന്തെങ്കിലും തിരയുന്നത് മണ്ടത്തരമാണ്. സൂചിക വലുപ്പം പരിശോധിക്കുന്നത് എളുപ്പമാണ് - Google തിരയൽ ബാറിൽ "site:somesite.com" നൽകുക. അപര്യാപ്തമായ സൂചികയുള്ള ഒരു സൈറ്റിൻ്റെ ഉദാഹരണം ചിത്രം 14-ൽ കാണിച്ചിരിക്കുന്നു.
ചിത്രം 14 - സൈറ്റ് സൂചിക വലുപ്പം പരിശോധിക്കുന്നു
ഇപ്പോൾ അസുഖകരമായ കാര്യങ്ങളെക്കുറിച്ച്... കാലാകാലങ്ങളിൽ ഗൂഗിൾ ഒരു ക്യാപ്ച അഭ്യർത്ഥിച്ചേക്കാം - അതിനെക്കുറിച്ച് നിങ്ങൾക്ക് ഒന്നും ചെയ്യാനില്ല - നിങ്ങൾ അത് നൽകേണ്ടിവരും. ഉദാഹരണത്തിന്, "പിശക് സന്ദേശങ്ങൾ" വിഭാഗത്തിലൂടെ (90 ഡോർക്കുകൾ) തിരയുമ്പോൾ, ക്യാപ്ച ഒരിക്കൽ മാത്രം പ്രത്യക്ഷപ്പെട്ടു.
http, സോക്സ് ഇൻ്റർഫേസ് എന്നിവയിലൂടെ ഒരു പ്രോക്സി വഴിയുള്ള പ്രവർത്തനത്തെ phantomjs പിന്തുണയ്ക്കുന്നു എന്നത് കൂട്ടിച്ചേർക്കേണ്ടതാണ്. പ്രോക്സി മോഡ് പ്രവർത്തനക്ഷമമാക്കാൻ, നിങ്ങൾ dorks.bat അല്ലെങ്കിൽ dorks.sh എന്നതിലെ അനുബന്ധ വരി അൺകമൻ്റ് ചെയ്യേണ്ടതുണ്ട്.
ഉപകരണം സോഴ്സ് കോഡായി ലഭ്യമാണ്
[ആമുഖം]
നമ്മൾ ഓരോരുത്തരും സ്വന്തമായി ക്രെഡിറ്റ് കാർഡുകൾ നേടാൻ ശ്രമിച്ചതായി ഞാൻ കരുതുന്നു, ഞാൻ ഒരു അപവാദമല്ല.. SQL-inj വഴി ഒരു ഓൺലൈൻ സ്റ്റോറിൻ്റെ ഡാറ്റാബേസ് ഡംപ് ചെയ്യുക എന്നതാണ് പ്രധാന രീതി.
[പാഴ്സിംഗ്]
എല്ലാം ആരംഭിക്കുന്നത് ലിങ്ക് പാഴ്സിംഗ് ഉപയോഗിച്ചാണ്. വ്യക്തിപരമായി, ഞാൻ എൻ്റെ സ്വന്തം പാഴ്സർ ഉപയോഗിച്ചു. നിങ്ങൾക്ക് പൊതുവായി ലഭ്യമായ സോഫ്റ്റ്വെയറുകൾ ഉപയോഗിക്കാവുന്നതാണ്
Inurl:product.php?id=
ഇതുപോലെ എന്തെങ്കിലും വേണം
Inurl:"product.php?id=" iphone വാങ്ങുക
അല്ലെങ്കിൽ അതുപോലെ
Inurl:"*shop.com" inurl:".php?id=" വസ്ത്രം
ഉദ്ധരണികൾ ഇവിടെ വലിയ പങ്ക് വഹിക്കുന്നു... ചില വിസർജ്ജന ട്രാക്കുകൾ ഇതാ:
Inurl:buy.php?category= inurl:gallery.php?id=d= inurl:event.php?id= inurl:view_product.php?id= inurl:product.php?id= inurl:products.php?id= inurl:shop.php?id= inurl:collectionitem.php?id= inurl:shopping.php?id= inurl:items.php?id=
ഇപ്പോൾ ഞങ്ങൾക്ക് രണ്ടായിരം ലിങ്കുകളുണ്ട്!
[sql-inj പരിശോധിക്കുക. ഡ്രെയിൻ DB]
അത്രയേയുള്ളൂ, ഞങ്ങൾ ഞങ്ങളുടെ ദശലക്ഷം ലിങ്കുകൾ പാഴ്സ് ചെയ്തു. നമുക്ക് പരിശോധന ആരംഭിക്കാം.. ഇവിടെ ഞാൻ എൻ്റെ ചെക്കർ ഉപയോഗിച്ചു.. നിങ്ങൾക്ക് പൊതുവായി ലഭ്യമായ സോഫ്റ്റ്വെയർ ഉപയോഗിക്കാം...
ഇവിടെ ഇതാ...
ഞങ്ങൾ ദുർബലമായ ലിങ്കുകൾ ശേഖരിക്കുകയും അവ ചോർത്താൻ തുടങ്ങുകയും ചെയ്യുന്നു. വ്യക്തിപരമായി, ഞാൻ ആദ്യം കറങ്ങുന്നത് ഹവിജിലൂടെയാണ്. അവന് കഴിയുന്നില്ലെങ്കിൽ, ഇത് 50% കേസുകളിലും ആണെങ്കിൽ, അവൻ്റെ കൈകൾ ഉപയോഗിക്കുന്നു. പിന്നെ ഇതാ!!! തലക്കെട്ടുള്ള ഒരു മേശ ഞങ്ങൾ കണ്ടു
ഞങ്ങൾ അത് തുറക്കുന്നു, ഒപ്പം..... ക്രെഡിറ്റ് കാർഡുകളുള്ള കോളങ്ങളൊന്നുമില്ല. ഹും...
[ഒന്നുമില്ലാത്തിടത്ത് എസ്എസ്]
അതെ, ഞങ്ങൾ ss ഉള്ള നിരകൾ കണ്ടെത്തിയില്ല, അത് സങ്കടകരമാണ്. 99% കാർഡർമാരും അത്തരമൊരു ഷോപ്പ് ഉപേക്ഷിച്ച് മുന്നോട്ട് പോകും. തിരക്കുകൂട്ടേണ്ട കാര്യമില്ല. ഉപഭോക്താക്കളുടെ എല്ലാ ഷോപ്പ് ഓർഡറുകളും പേരുകളും കുടുംബപ്പേരുകളും വിലാസങ്ങളും തീയതികളും ഞങ്ങളുടെ കൈയിലുണ്ട്. ഇനി നമുക്ക് ss-ൽ പിഞ്ച് ചെയ്യുമ്പോൾ സാധാരണയായി എന്താണ് സംഭവിക്കുന്നതെന്ന് ഓർക്കാം? ശരിയാണ്, അവർ ഞങ്ങളോട് രേഖകളുടെ ഫോട്ടോകളും ക്രെഡിറ്റ് കാർഡും ആവശ്യപ്പെടുന്നു....
[ഇപ്പോൾ ഞങ്ങൾ ഒരു കടയാണ്!]
മേശയിൽ നിന്ന് കളയുക
FName LName ഓർഡർ തീയതി ഇമെയിൽ
തീർച്ചയായും പേരുകൾ വ്യത്യസ്തമായിരിക്കാം.
ഇപ്പോൾ ഞങ്ങൾക്ക് വേണ്ടതെല്ലാം ഉണ്ട്. പോലെയുള്ള ഒരു ഇമെയിൽ ഞങ്ങൾ രജിസ്റ്റർ ചെയ്യുന്നു. ഇപ്പോൾ ഞങ്ങൾ തയ്യാറാണ്. നമുക്ക് സ്പാമിംഗ് ആരംഭിക്കാം...
കത്തിൻ്റെ മാതൃകാ വാചകം:
പ്രിയ FName LName, ഞങ്ങൾ നിങ്ങളുടെ ഓർഡർ പ്രോസസ്സ് ചെയ്യുകയാണ് . ഞങ്ങളുടെ സുരക്ഷാ നടപടിക്രമങ്ങളുടെ ഭാഗമായി, ഇനിപ്പറയുന്ന രേഖകൾ നൽകാൻ ഞങ്ങൾ ആവശ്യപ്പെടുന്നു: 1) നിങ്ങളുടെ സാധുവായ ഫോട്ടോ തിരിച്ചറിയൽ (ഉദാ. പാസ്പോർട്ട് അല്ലെങ്കിൽ ഡ്രൈവിംഗ് ലൈസൻസ്). 2) നിങ്ങളുടെ പേരിൽ ഇഷ്യൂ ചെയ്തിട്ടുള്ള ഒരു യൂട്ടിലിറ്റി ബിൽ അല്ലെങ്കിൽ ബാങ്ക് സ്റ്റേറ്റ്മെൻ്റ്, അത് നിങ്ങളുടെ നിലവിലെ വിലാസം കാണിക്കുന്നു. നിലവിലെ തീയതിയിൽ നിന്ന് 3 മാസത്തിൽ കൂടുതൽ മുമ്പുള്ള തീയതിയാണെങ്കിൽ മാത്രമേ അത്തരത്തിലുള്ളവ അംഗീകരിക്കാൻ കഴിയൂ എന്നത് ശ്രദ്ധിക്കുക. 3) നിങ്ങളുടെ ക്രെഡിറ്റ് കാർഡിൻ്റെ പകർപ്പ് (മുന്നിലും പിന്നിലും). നിങ്ങളുടെ ഐഡിയും യൂട്ടിലിറ്റി ബില്ലും പരിശോധിച്ചുറപ്പിച്ചുകഴിഞ്ഞാൽ, അവ സുരക്ഷിതമായ ഫയലിൽ സ്ഥാപിക്കും, ഭാവിയിൽ അത് വീണ്ടും അയയ്ക്കാൻ നിങ്ങളോട് ആവശ്യപ്പെടില്ല. നിങ്ങളുടെ പ്രമാണങ്ങൾ ഇ-മെയിലിൽ അയക്കുക, ദയവായി ശ്രദ്ധിക്കുക, 2 ദിവസത്തിന് ശേഷം ഞങ്ങൾക്ക് വ്യക്തമായ ഇ-മെയിൽ ലഭിച്ചില്ലെങ്കിൽ, നിങ്ങളുടെ ഓർഡർ ഞങ്ങൾ റദ്ദാക്കും.
# ഈ രീതിയിലൂടെ ലഭിച്ച എല്ലാ രേഖകളും മായ്ച്ചു, അപകടസാധ്യതയെക്കുറിച്ച് കടകളെ അറിയിക്കുകയും ചെയ്തു.
# ലേഖനം വിവരദായക ആവശ്യങ്ങൾക്കായി മാത്രം എഴുതിയതാണ്. നടപടിയെടുക്കാൻ ഞാൻ ഒരു തരത്തിലും നിങ്ങളെ പ്രോത്സാഹിപ്പിക്കുന്നില്ല.
ലയിപ്പിച്ചു
ഹലോ കൂട്ടുകാരെ! സ്പോയിലർ: ഡോർക്കി Php?ts=
ഞാൻ ഒരു ആഴത്തിലുള്ള സ്പെഷ്യലിസ്റ്റല്ലെന്ന് ഉടൻ തന്നെ പറയാൻ ഞാൻ ആഗ്രഹിക്കുന്നു - മിടുക്കരും ആഴത്തിലുള്ള അറിവും ഉള്ള ആളുകളുണ്ട്. എനിക്ക് വ്യക്തിപരമായി ഇതൊരു ഹോബിയാണ്. എന്നാൽ എന്നെക്കാൾ കുറച്ച് അറിയുന്ന ആളുകളുണ്ട് - ഒന്നാമതായി, മെറ്റീരിയൽ പൂർണ്ണ വിഡ്ഢികളെ ഉദ്ദേശിച്ചുള്ളതല്ല, പക്ഷേ അത് മനസിലാക്കാൻ നിങ്ങൾ സൂപ്പർ പ്രോ ആകേണ്ടതില്ല.
ഒരു ഡോർക്ക് ഒരു ദുർബലതയാണെന്ന് ചിന്തിക്കുന്നത് നമ്മളിൽ പലരും പതിവാണ്, അയ്യോ, നിങ്ങൾക്ക് തെറ്റിപ്പോയി - ചുരുക്കത്തിൽ, ഒരു സെർച്ച് എഞ്ചിനിലേക്ക് അയച്ച തിരയൽ അഭ്യർത്ഥനയാണ് ഡോർക്ക്.
അതായത് index.php?id= dork എന്ന വാക്ക്
എന്നാൽ ഷോപ്പ് എന്ന വാക്ക് ഒരു പദമാണ്.
നിങ്ങൾക്ക് എന്താണ് വേണ്ടതെന്ന് മനസിലാക്കാൻ, ഒരു തിരയൽ എഞ്ചിനിനായുള്ള നിങ്ങളുടെ ആവശ്യകതകളെക്കുറിച്ച് നിങ്ങൾ വ്യക്തമായി അറിഞ്ഞിരിക്കണം. dork index.php?id= എന്നതിൻ്റെ സാധാരണ രൂപത്തെ വിഭജിക്കാം
സൂചിക - കീ
.php? - നിങ്ങൾക്ക് Php അടിസ്ഥാനമാക്കിയുള്ള ഒരു വെബ്സൈറ്റ് ആവശ്യമാണെന്ന് സൂചിപ്പിക്കുന്ന കോഡ്
id= സൈറ്റിലെ എന്തെങ്കിലും ഐഡൻ്റിഫയർ
ഐഡൻ്റിഫയർ ഏത് പാരാമീറ്ററിലാണ് പാഴ്സ് ചെയ്യേണ്ടത് എന്നതിൻ്റെ സൂചനയാണ് ഞങ്ങളുടെ 2 എന്നതിൽ id=2.
നിങ്ങൾ index.php?id=2 എന്ന് എഴുതിയാൽ id=2 ഉള്ള സൈറ്റുകൾ മാത്രമേ ഉണ്ടാകൂ, പൊരുത്തക്കേട് ഉണ്ടെങ്കിൽ, സൈറ്റ് ഇല്ലാതാക്കപ്പെടും. ഇക്കാരണത്താൽ, ഐഡൻ്റിഫയറിന് കൃത്യമായ ഒരു സൂചന എഴുതുന്നതിൽ അർത്ഥമില്ല - കാരണം ഇത് 1,2,3,4,5, പരസ്യ അനന്തമായിരിക്കാം.
നിങ്ങൾ ഒരു കൃത്യമായ ഡോർക്ക് സൃഷ്ടിക്കാൻ തീരുമാനിക്കുകയാണെങ്കിൽ, സ്റ്റീമിനായി പറയുക, അതിന് ഈ രൂപം നൽകുന്നതിൽ അർത്ഥമുണ്ട്
inurl:game* +intext:"csgo"
ഇത് സൈറ്റ് URL-ൽ വേഡ് ഗെയിം* പാഴ്സ് ചെയ്യും (ഇവിടെ * എന്നത് വേഡ് ഗെയിമിന് ശേഷമുള്ള പ്രതീകങ്ങളുടെ അനിയന്ത്രിതമായ സംഖ്യയാണ് - എല്ലാത്തിനുമുപരി, ഇത് ഗെയിമുകളും മറ്റും ആകാം)
ഇൻ്റെറ്റിൽ പോലുള്ള ഒരു ഓപ്പറേറ്റർ ഉപയോഗിക്കുന്നത് മൂല്യവത്താണ്:
നിങ്ങൾ ഒരു നല്ല ഗെയിമിംഗ് സൈറ്റ് കണ്ടിട്ടുണ്ടെങ്കിലോ നിങ്ങൾക്ക് ദുർബലമായ ഗെയിമിംഗ് സൈറ്റുകളുടെ ഒരു ലിസ്റ്റ് ഉണ്ടെങ്കിലോ
പാഴ്സിംഗിനായി ബന്ധപ്പെട്ട ഓപ്പറേറ്റർ ഉപയോഗിക്കുന്നത് യുക്തിസഹമാണ്:
അനുബന്ധമായി: സൈറ്റിലേക്കുള്ള ഒരു ലിങ്കിൻ്റെ രൂപത്തിലുള്ള ഒരു മൂല്യം അനുയോജ്യമാണ്
ബന്ധപ്പെട്ടത്: ***
- ഇത് സെർച്ച് എഞ്ചിൻ്റെ വീക്ഷണകോണിൽ നിന്ന് നിർദ്ദിഷ്ട സൈറ്റിന് സമാനമായ എല്ലാ സൈറ്റുകളും കണ്ടെത്തും
ഓർക്കുക - ഒരു ഡോർക്ക് ഒരു പാഴ്സിംഗ് ആണ് - അത് ഒരു ദ്വാരമല്ല.
നിങ്ങൾ പാഴ്സ് ചെയ്തതിനെ അടിസ്ഥാനമാക്കി ഒരു സ്കാനർ വഴി ഒരു ദ്വാരം, അപകടസാധ്യത എന്നും അറിയപ്പെടുന്നു.
നിങ്ങൾ പ്രോക്സികളില്ലാതെ പ്രവർത്തിക്കുമ്പോൾ ധാരാളം പ്രിഫിക്സുകൾ (സെർച്ച് ഓപ്പറേറ്റർമാർ) ഉപയോഗിക്കാൻ ഞാൻ വ്യക്തിപരമായി ശുപാർശ ചെയ്യുന്നില്ല.
രാജ്യത്തിനായി സ്വകാര്യ വാതിലുകൾ സൃഷ്ടിക്കുന്ന രീതിയെക്കുറിച്ച് ഞാൻ നിങ്ങളോട് പറയും
index.php?id= പോലെയുള്ള ഒരു വാതിൽ സൃഷ്ടിക്കുന്നതിന് നമ്മൾ അത് പാഴ്സ് ചെയ്യേണ്ടതുണ്ട്
സൂചിക - ഞങ്ങൾ അതിനെ ഒരു ഏകപക്ഷീയമായ വാക്ക് ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കും
.php?id= നമ്മുടെ ഡോർക്കിൻ്റെ കോഡ് ആയിരിക്കും
പുതിയ കോഡ് കണ്ടുപിടിക്കുന്നതിൽ അർത്ഥമില്ല - കാരണം പല സൈറ്റുകളും ഒരേ കോഡുകളിലും എഞ്ചിനുകളിലും സ്ഥിരതയുള്ളതിനാൽ അത് തുടരും. കോഡുകളുടെ പട്ടിക:
.php?topic=
.php?t=
.php?ch=
.php?_nkw=
.php?id=
.php?option=
.php?view=
.php?lang=
.php?page=
.php?p=
.php?q=
.php?gdjkgd=
.php?son=
.php?search=
.php?uid=
.php?title=
.php?id_q=
.php?prId=
.php?tag=
.php?letter=
.php?prid=
.php?catid=
.php?ID=
.php?iWine=
.php?productID=
.php?products_id=
.php?topic_id=
.php?pg=
.php?clan=
.php?fid=
.php?url=
.php?show=
.php?inf=
.php?event_id=
.php?term=
.php?TegID=
.php?cid=
.php?prjid=
.php?pageid=
.php?name=
.php?id_n=
.php?th_id=
.php?category=
.php?book_id=
.php?isbn=
.php?item_id=
.php?sSearchword=
.php?CatID=
.php?art=
.html?ts=
.html?topic=
.html?t=
.html?ch=
.html?_nkw=
.html?id=
.html?option=
.html?view=
.html?lang=
.html?page=
.html?p=
.html?q=
.html?gdjkgd=
.html?son=
.html?search=
.html?uid=
.html?title=
.html?id_q=
.html?prId=
.html?tag=
.html?letter=
.html?prid=
.html?catid=
.html?ID=
.html?iWine=
.html?productID=
.html?products_id=
.html?topic_id=
.html?pg=
.html?clan=
.html?fid=
.html?url=
.html?show=
.html?inf=
.html?event_id=
.html?term=
.html?TegID=
.html?cid=
.html?prjid=
.html?pageid=
.html?name=
.html?id_n=
.html?th_id=
.html?category=
.html?book_id=
.html?isbn=
.html?item_id=
.html?sSearchword=
.html?CatID=
.html?art=
.aspx?ts=
.aspx?topic=
.aspx?t=
.aspx?ch=
.aspx?_nkw=
.aspx?id=
.aspx?option=
.aspx?view=
.aspx?lang=
.aspx?page=
.aspx?p=
.aspx?q=
.aspx?gdjkgd=
.aspx?son=
.aspx?search=
.aspx?uid=
.aspx?title=
.aspx?id_q=
.aspx?prId=
.aspx?tag=
.aspx?letter=
.aspx?prid=
.aspx?catid=
.aspx?ID=
.aspx?iWine=
.aspx?productID=
.aspx?products_id=
.aspx?topic_id=
.aspx?pg=
.aspx?clan=
.aspx?fid=
.aspx?url=
.aspx?show=
.aspx?inf=
.aspx?event_id=
.aspx?term=
.aspx?TegID=
.aspx?cid=
.aspx?prjid=
.aspx?pageid=
.aspx?name=
.aspx?id_n=
.aspx?th_id=
.aspx?category=
.aspx?book_id=
.aspx?isbn=
.aspx?item_id=
.aspx?sSearchword=
.aspx?CatID=
.aspx?art=
.asp?ts=
.asp?topic=
.asp?t=
.asp?ch=
.asp?_nkw=
.asp?id=
.asp?option=
.asp?view=
.asp?lang=
.asp?page=
.asp?p=
.asp?q=
.asp?gdjkgd=
.asp?son=
.asp?search=
.asp?uid=
.asp?title=
.asp?id_q=
.asp?prId=
.asp?tag=
.asp?letter=
.asp?prid=
.asp?catid=
.asp?ID=
.asp?iWine=
.asp?productID=
.asp?products_id=
.asp?topic_id=
.asp?pg=
.asp?clan=
.asp?fid=
.asp?url=
.asp?show=
.asp?inf=
.asp?event_id=
.asp?term=
.asp?TegID=
.asp?cid=
.asp?prjid=
.asp?pageid=
.asp?name=
.asp?id_n=
.asp?th_id=
.asp?category=
.asp?book_id=
.asp?isbn=
.asp?item_id=
.asp?sSearchword=
.asp?CatID= .asp?art=
.htm?ts= .htm?topic=
.htm?t= .htm?ch=
.htm?_nkw=
.htm?id=
.htm?option=
.htm?view=
.htm?lang=
.htm?page=
.htm?p=
.htm?q=
.htm?gdjkgd=
.htm?son=
.htm?search=
.htm?uid=
.htm?title=
.htm?id_q=
.htm?prId=
.htm?tag=
.htm?letter=
.htm?prid=
.htm?catid=
.htm?ID=
.htm?iWine=
.htm?productID=
.htm?products_id=
.htm?topic_id=
.htm?pg=
.htm?clan=
.htm?fid=
.htm?url=
.htm?show=
.htm?inf=
.htm?event_id=
.htm?term=
.htm?TegID=
.htm?cid=
.htm?prjid=
.htm?pageid=
.htm?name=
.htm?id_n=
.htm?th_id=
.htm?category=
.htm?book_id=
.htm?isbn=
.htm?item_id=
.htm?sSearchword=
.htm?CatID=
.htm?art=
.cgi?ts=
.cgi?topic=
.cgi?t=
.cgi?ch=
.cgi?_nkw=
.cgi?id=
.cgi?option=
.cgi?view=
.cgi?lang=
.cgi?page=
.cgi?p=
.cgi?q=
.cgi?gdjkgd=
.cgi?son=
.cgi?search=
.cgi?uid=
.cgi?title=
.cgi?id_q=
.cgi?prId=
.cgi?tag=
.cgi?letter=
.cgi?prid=
.cgi?catid=
.cgi?ID=
.cgi?iWine=
.cgi?productID=
.cgi?products_id=
.cgi?topic_id=
.cgi?pg=
.cgi?clan=
.cgi?fid=
.cgi?url=
.cgi?show=
.cgi?inf=
.cgi?event_id=
.cgi?term=
.cgi?TegID=
.cgi?cid=
.cgi?prjid=
.cgi?pageid=
.cgi?name=
.cgi?id_n=
.cgi?th_id=
.cgi?category=
.cgi?book_id=
.cgi?isbn=
.cgi?item_id=
.cgi?sSearchword=
.cgi?CatID=
.cgi?art=
.jsp?ts=
.jsp?topic=
.jsp?t=
.jsp?ch=
.jsp?_nkw=
.jsp?id=
.jsp?option=
.jsp?view=
.jsp?lang=
.jsp?page=
.jsp?p=
.jsp?q=
.jsp?gdjkgd=
.jsp?son=
.jsp?search=
.jsp?uid=
.jsp?title=
.jsp?id_q=
.jsp?prId=
.jsp?tag=
.jsp?letter=
.jsp?prid=
.jsp?catid=
.jsp?ID=
.jsp?iWine=
.jsp?productID=
.jsp?products_id=
.jsp?topic_id=
.jsp?pg=
.jsp?clan=
.jsp?fid=
.jsp?url=
.jsp?show=
.jsp?inf=
.jsp?event_id=
.jsp?term=
.jsp?TegID=
.jsp?cid=
.jsp?prjid=
.jsp?pageid=
.jsp?name=
.jsp?id_n=
.jsp?th_id=
.jsp?category=
.jsp?book_id=
.jsp?isbn=
.jsp?item_id=
.jsp?sSearchword=
.jsp?CatID=
.jsp?art=
ഡോർക്ക് ജനറേറ്ററിനായി ഞങ്ങൾ ഈ കോഡുകൾ ഉപയോഗിക്കും.
ഞങ്ങൾ Google വിവർത്തകനിലേക്ക് പോകുന്നു - ഇറ്റാലിയൻ ഭാഷയിലേക്ക് വിവർത്തനം ചെയ്യുക - പതിവായി ഉപയോഗിക്കുന്ന പദങ്ങളുടെ പട്ടിക.
ഞങ്ങൾ ഇറ്റാലിയൻ ഭാഷയിലുള്ള പദങ്ങളുടെ ഒരു ലിസ്റ്റ് പാഴ്സ് ചെയ്യുന്നു - ഡോർക്ക് ജനറേറ്ററിൻ്റെ ആദ്യ നിരയിലേക്ക് തിരുകുക - കോഡുകൾ രണ്ടാമത്തേതിലേക്ക് ഇടുക, സാധാരണയായി php - ഇവ പലതരം സൈറ്റുകൾ, cfm ഷോപ്പുകൾ, jsp - ഗെയിമിംഗ് സൈറ്റുകൾ എന്നിവയാണ്.
ഞങ്ങൾ സൃഷ്ടിക്കുന്നു - ഞങ്ങൾ ഇടങ്ങൾ നീക്കംചെയ്യുന്നു. ഇറ്റലിയിലേക്കുള്ള സ്വകാര്യ വാതിലുകൾ തയ്യാറാണ്.
സൈറ്റിന് പകരം "എന്നെ ഓർക്കുക, നിങ്ങളുടെ പാസ്വേഡ് മറന്നു" എന്ന ശൈലിയിൽ വലത് കോളത്തിൽ ഒരേ ഭാഷയിൽ പദസമുച്ചയങ്ങൾ ചേർക്കുന്നതും യുക്തിസഹമാണ്.
നിങ്ങൾ അദ്വിതീയമായ എന്തെങ്കിലും പാഴ്സ് ചെയ്യുകയും ഡോർക്ക് കീ മാറ്റിസ്ഥാപിക്കുകയും ചെയ്താൽ അവ ശാന്തമാകും, അവ സ്വകാര്യമായിരിക്കും.
എന്നെ അതേ ഭാഷയിൽ ഓർമ്മിക്കുക - അപ്പോൾ സൈറ്റുകൾ ഡാറ്റാബേസുകൾക്കൊപ്പം മാത്രമേ പറക്കുകയുള്ളൂ.
എല്ലാം ചിന്തിക്കുക എന്നതാണ്. ഡോർക്കുകൾ name.php?uid= പോലെ കാണപ്പെടും. അവയുടെ എല്ലാ സവിശേഷതകളും ഒരു തനത് കീയിലായിരിക്കും. അവ മിശ്രണം ചെയ്യും, Inurl: operator ഉപയോഗിക്കേണ്ടതില്ല - കാരണം url, ടെക്സ്റ്റ്, ശീർഷകം എന്നിവയിൽ ഇത് കൂടാതെ പാഴ്സിംഗ് തുടരും.
എല്ലാത്തിനുമുപരി, ഡോർക്കിൻ്റെ മുഴുവൻ പോയിൻ്റും എന്തും സംഭവിക്കാം - സ്റ്റം, സ്റ്റിക്ക്, നെറ്റലർ - അല്ലെങ്കിൽ അത് സംഭവിക്കില്ല. ഇവിടെ നിങ്ങൾ അളവിൽ എടുക്കേണ്ടതുണ്ട്.
വൾനറബിലിറ്റി പാഴ്സിംഗ് എന്ന് വിളിക്കപ്പെടുന്നവയും ഉണ്ട്.
സ്പോയിലർ: ഡോർക്കി
intext:"java.lang.NumberFormatException: null"
intext:"നിങ്ങളുടെ SQL വാക്യഘടനയിൽ പിശക്"
intext:"mysql_num_rows()"
intext:"mysql_fetch_array()"
intext:"അഭ്യർത്ഥന പ്രോസസ്സ് ചെയ്യുമ്പോൾ പിശക് സംഭവിച്ചു"
intext:""/" ആപ്ലിക്കേഷനിൽ സെർവർ പിശക്"
intext:"ODBC ഡ്രൈവറുകൾക്കുള്ള മൈക്രോസോഫ്റ്റ് OLE DB പ്രൊവൈഡർ പിശക്"
intext:"അസാധുവായ ക്വറിസ്ട്രിംഗ്"
intext:"ODBC-ക്കുള്ള OLE DB ദാതാവ്"
intext:"VBScript റൺടൈം"
intext:"ADODB.ഫീൽഡ്"
intext:"BOF അല്ലെങ്കിൽ EOF"
intext:"ADODB. Command"
intext:"JET ഡാറ്റാബേസ്"
intext:"mysql_fetch_row()"
intext:"വാക്യഘടന പിശക്"
intext:"ഉൾപ്പെടുത്തുക()"
intext:"mysql_fetch_assoc()"
intext:"mysql_fetch_object()"
intext:"mysql_numrows()"
intext:"GetArray()"
intext:"FetchRow()"
ഗൂഗിൾ സെർച്ച് എഞ്ചിൻ (www.google.com) നിരവധി തിരയൽ ഓപ്ഷനുകൾ നൽകുന്നു. ഈ സവിശേഷതകളെല്ലാം ഇൻറർനെറ്റിൽ പുതിയ ഒരു ഉപയോക്താവിനുള്ള വിലമതിക്കാനാവാത്ത തിരയൽ ഉപകരണമാണ്, അതേ സമയം ഹാക്കർമാർ മാത്രമല്ല, കമ്പ്യൂട്ടർ ഇതര കുറ്റവാളികളും ഉൾപ്പെടെ ദുരുദ്ദേശ്യമുള്ള ആളുകളുടെ കൈകളിലെ അധിനിവേശത്തിൻ്റെയും നാശത്തിൻ്റെയും കൂടുതൽ ശക്തമായ ആയുധമാണ്. തീവ്രവാദികൾ പോലും.
(ഒരാഴ്ചയ്ക്കുള്ളിൽ 9475 കാഴ്ചകൾ)
ഡെനിസ് ബാരങ്കോവ്
denisNOSPAMix.ru
ശ്രദ്ധ:ഈ ലേഖനം പ്രവർത്തനത്തിലേക്കുള്ള വഴികാട്ടിയല്ല. വെബ് സെർവർ അഡ്മിനിസ്ട്രേറ്റർമാരേ, നിങ്ങൾക്കായി ഈ ലേഖനം എഴുതിയിരിക്കുന്നു, അതിനാൽ നിങ്ങൾ സുരക്ഷിതരാണെന്ന തെറ്റായ തോന്നൽ നിങ്ങൾക്ക് നഷ്ടപ്പെടും, കൂടാതെ വിവരങ്ങൾ നേടുന്നതിനുള്ള ഈ രീതിയുടെ വഞ്ചന നിങ്ങൾ മനസ്സിലാക്കുകയും നിങ്ങളുടെ സൈറ്റ് പരിരക്ഷിക്കുന്നതിനുള്ള ചുമതല ഏറ്റെടുക്കുകയും ചെയ്യും.
ആമുഖം
ഉദാഹരണത്തിന്, ഞാൻ 0.14 സെക്കൻഡിനുള്ളിൽ 1670 പേജുകൾ കണ്ടെത്തി!
2. നമുക്ക് മറ്റൊരു വരി നൽകാം, ഉദാഹരണത്തിന്:
inurl:"auth_user_file.txt"കുറച്ച് കുറവ്, പക്ഷേ സൗജന്യ ഡൗൺലോഡ് ചെയ്യുന്നതിനും പാസ്വേഡ് ഊഹിക്കുന്നതിനും ഇത് ഇതിനകം തന്നെ മതിയാകും (അതേ ജോൺ ദി റിപ്പർ ഉപയോഗിച്ച്). താഴെ ഞാൻ കൂടുതൽ ഉദാഹരണങ്ങൾ നൽകും.
അതിനാൽ, ഗൂഗിൾ സെർച്ച് എഞ്ചിൻ മിക്ക ഇൻ്റർനെറ്റ് സൈറ്റുകളും സന്ദർശിക്കുകയും അവയിൽ അടങ്ങിയിരിക്കുന്ന വിവരങ്ങൾ കാഷെ ചെയ്യുകയും ചെയ്തുവെന്ന് നിങ്ങൾ മനസ്സിലാക്കേണ്ടതുണ്ട്. ഈ കാഷെ ചെയ്ത വിവരങ്ങൾ, ഗൂഗിളിനുള്ളിൽ സംഭരിച്ചിരിക്കുന്ന വിവരങ്ങളിലേക്ക് ആഴ്ന്നിറങ്ങുന്നതിലൂടെ, സൈറ്റിലേക്ക് നേരിട്ട് കണക്റ്റുചെയ്യാതെ തന്നെ സൈറ്റിനെയും സൈറ്റിൻ്റെ ഉള്ളടക്കത്തെയും കുറിച്ചുള്ള വിവരങ്ങൾ നേടാൻ നിങ്ങളെ അനുവദിക്കുന്നു. മാത്രമല്ല, സൈറ്റിലെ വിവരങ്ങൾ ഇനി ലഭ്യമല്ലെങ്കിൽ, കാഷെയിലെ വിവരങ്ങൾ ഇപ്പോഴും സംരക്ഷിക്കപ്പെട്ടേക്കാം. ഈ രീതിക്ക് നിങ്ങൾക്ക് വേണ്ടത് ചില Google കീവേഡുകൾ അറിയുക എന്നതാണ്. ഗൂഗിൾ ഹാക്കിംഗ് എന്നാണ് ഈ സാങ്കേതിക വിദ്യയുടെ പേര്.
3 വർഷം മുമ്പ് ബഗ്ട്രക്ക് മെയിലിംഗ് ലിസ്റ്റിൽ ഗൂഗിൾ ഹാക്കിംഗിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ആദ്യമായി പ്രത്യക്ഷപ്പെട്ടു. 2001-ൽ ഒരു ഫ്രഞ്ച് വിദ്യാർത്ഥിയാണ് ഈ വിഷയം ഉന്നയിച്ചത്. ഈ കത്തിലേക്കുള്ള ഒരു ലിങ്ക് ഇതാ http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. അത്തരം ചോദ്യങ്ങളുടെ ആദ്യ ഉദാഹരണങ്ങൾ ഇത് നൽകുന്നു:
1) /അഡ്മിൻ സൂചിക
2) /പാസ്വേഡിൻ്റെ സൂചിക
3) /മെയിൽ സൂചിക
4) / +banques +ഫയലിൻ്റെ ഇൻഡക്സ്:xls (ഫ്രാൻസിനായി...)
5) / +passwd എന്നതിൻ്റെ സൂചിക
6) / password.txt എന്നതിൻ്റെ സൂചിക
ഈ വിഷയം ഇൻ്റർനെറ്റിൻ്റെ ഇംഗ്ലീഷ് വായനാ ഭാഗത്ത് അടുത്തിടെ തരംഗമായി: ജോണി ലോങ്ങിൻ്റെ ലേഖനത്തിന് ശേഷം, മെയ് 7, 2004 ന് പ്രസിദ്ധീകരിച്ചു. ഗൂഗിൾ ഹാക്കിംഗിനെക്കുറിച്ചുള്ള കൂടുതൽ പൂർണ്ണമായ പഠനത്തിന്, ഈ രചയിതാവിൻ്റെ വെബ്സൈറ്റ് http://johnny.ihackstuff.com-ലേക്ക് പോകാൻ ഞാൻ നിങ്ങളെ ഉപദേശിക്കുന്നു. ഈ ലേഖനത്തിൽ ഞാൻ നിങ്ങളെ കാലികമാക്കാൻ ആഗ്രഹിക്കുന്നു.
ആർക്കൊക്കെ ഇത് ഉപയോഗിക്കാം:
- മാധ്യമപ്രവർത്തകർക്കും ചാരന്മാർക്കും മറ്റുള്ളവരുടെ ബിസിനസ്സിലേക്ക് മൂക്ക് കുത്താൻ ഇഷ്ടപ്പെടുന്ന എല്ലാ ആളുകൾക്കും കുറ്റകരമായ തെളിവുകൾ തിരയാൻ ഇത് ഉപയോഗിക്കാം.
- ഹാക്കിംഗിന് അനുയോജ്യമായ ലക്ഷ്യങ്ങൾ തേടുന്ന ഹാക്കർമാർ.
Google എങ്ങനെയാണ് പ്രവർത്തിക്കുന്നത്.
സംഭാഷണം തുടരാൻ, Google അന്വേഷണങ്ങളിൽ ഉപയോഗിക്കുന്ന ചില കീവേഡുകൾ നിങ്ങളെ ഓർമ്മിപ്പിക്കട്ടെ.
+ ചിഹ്നം ഉപയോഗിച്ച് തിരയുക
തിരയലുകളിൽ നിന്ന് അപ്രധാനമെന്ന് കരുതുന്ന വാക്കുകൾ Google ഒഴിവാക്കുന്നു. ഉദാഹരണത്തിന്, ഇംഗ്ലീഷിലെ ചോദ്യ പദങ്ങൾ, പ്രീപോസിഷനുകൾ, ലേഖനങ്ങൾ: ഉദാഹരണത്തിന്, ഓഫ്, എവിടെ. റഷ്യൻ ഭാഷയിൽ, Google എല്ലാ വാക്കുകളും പ്രധാനമായി കണക്കാക്കുന്നതായി തോന്നുന്നു. തിരയലിൽ നിന്ന് ഒരു വാക്ക് ഒഴിവാക്കിയാൽ, Google അതിനെ കുറിച്ച് എഴുതുന്നു. ഈ വാക്കുകളുള്ള പേജുകൾക്കായി Google തിരയാൻ തുടങ്ങുന്നതിന്, വാക്കിന് മുമ്പ് നിങ്ങൾ ഒരു + ചിഹ്നം ഇടമില്ലാതെ ചേർക്കേണ്ടതുണ്ട്. ഉദാഹരണത്തിന്:
ace + of base
ചിഹ്നം ഉപയോഗിച്ച് തിരയുക -
ഒരു പ്രത്യേക വിഷയമുള്ള പേജുകൾ ഒഴിവാക്കേണ്ട ധാരാളം പേജുകൾ Google കണ്ടെത്തുകയാണെങ്കിൽ, ചില വാക്കുകൾ അടങ്ങിയിട്ടില്ലാത്ത പേജുകൾ മാത്രം തിരയാൻ നിങ്ങൾക്ക് Google-നെ നിർബന്ധിക്കാവുന്നതാണ്. ഇത് ചെയ്യുന്നതിന്, ഓരോന്നിനും മുന്നിൽ ഒരു അടയാളം സ്ഥാപിച്ചുകൊണ്ട് നിങ്ങൾ ഈ വാക്കുകൾ സൂചിപ്പിക്കേണ്ടതുണ്ട് - വാക്കിന് മുമ്പായി ഒരു സ്പേസ് ഇല്ലാതെ. ഉദാഹരണത്തിന്:
മത്സ്യബന്ധനം - വോഡ്ക
~ ഉപയോഗിച്ച് തിരയുക
നിർദ്ദിഷ്ട വാക്ക് മാത്രമല്ല, അതിൻ്റെ പര്യായപദങ്ങളും തിരയാൻ നിങ്ങൾ ആഗ്രഹിച്ചേക്കാം. ഇത് ചെയ്യുന്നതിന്, ~ ചിഹ്നം ഉപയോഗിച്ച് വാക്കിന് മുമ്പ് നൽകുക.
ഇരട്ട ഉദ്ധരണികൾ ഉപയോഗിച്ച് കൃത്യമായ വാക്യം കണ്ടെത്തുന്നു
അന്വേഷണ സ്ട്രിംഗിൽ നിങ്ങൾ എഴുതിയ വാക്കുകളുടെ എല്ലാ സംഭവങ്ങളും Google ഓരോ പേജിലും തിരയുന്നു, കൂടാതെ എല്ലാ നിർദ്ദിഷ്ട വാക്കുകളും ഒരേ സമയം പേജിൽ ഉള്ളിടത്തോളം കാലം അത് വാക്കുകളുടെ ആപേക്ഷിക സ്ഥാനത്തെക്കുറിച്ച് ശ്രദ്ധിക്കുന്നില്ല (ഇത് സ്ഥിരസ്ഥിതി പ്രവർത്തനം). കൃത്യമായ വാക്യം കണ്ടെത്താൻ, നിങ്ങൾ അത് ഉദ്ധരണികളിൽ ഇടേണ്ടതുണ്ട്. ഉദാഹരണത്തിന്:
"ബുക്കെൻഡ്"
നിർദ്ദിഷ്ട പദങ്ങളിൽ ഒരെണ്ണമെങ്കിലും ഉണ്ടായിരിക്കാൻ, നിങ്ങൾ ലോജിക്കൽ പ്രവർത്തനം വ്യക്തമായി വ്യക്തമാക്കേണ്ടതുണ്ട്: അല്ലെങ്കിൽ. ഉദാഹരണത്തിന്:
പുസ്തക സുരക്ഷ അല്ലെങ്കിൽ സംരക്ഷണം
കൂടാതെ, ഏത് വാക്കും സൂചിപ്പിക്കാൻ നിങ്ങൾക്ക് തിരയൽ ബാറിലെ * ചിഹ്നം ഉപയോഗിക്കാം. ഏതെങ്കിലും കഥാപാത്രത്തെ പ്രതിനിധീകരിക്കാൻ.
അധിക ഓപ്പറേറ്റർമാരെ ഉപയോഗിച്ച് വാക്കുകൾക്കായി തിരയുന്നു
ഫോർമാറ്റിലെ തിരയൽ സ്ട്രിംഗിൽ വ്യക്തമാക്കിയ തിരയൽ ഓപ്പറേറ്റർമാരുണ്ട്:
ഓപ്പറേറ്റർ:search_term
കോളണിന് അടുത്തുള്ള ഇടങ്ങൾ ആവശ്യമില്ല. കോളണിന് ശേഷം നിങ്ങൾ ഒരു സ്പെയ്സ് ചേർക്കുകയാണെങ്കിൽ, നിങ്ങൾ ഒരു പിശക് സന്ദേശം കാണും, അതിന് മുമ്പ്, Google അവ ഒരു സാധാരണ തിരയൽ സ്ട്രിംഗായി ഉപയോഗിക്കും.
അധിക തിരയൽ ഓപ്പറേറ്റർമാരുടെ ഗ്രൂപ്പുകളുണ്ട്: ഭാഷകൾ - ഏത് ഭാഷയിലാണ് നിങ്ങൾ ഫലം കാണാൻ ആഗ്രഹിക്കുന്നതെന്ന് സൂചിപ്പിക്കുക, തീയതി - കഴിഞ്ഞ മൂന്ന്, ആറ് അല്ലെങ്കിൽ 12 മാസങ്ങളിലെ ഫലങ്ങൾ പരിമിതപ്പെടുത്തുക, സംഭവങ്ങൾ - ഡോക്യുമെൻ്റിൽ നിങ്ങൾ എവിടെയാണ് തിരയേണ്ടതെന്ന് സൂചിപ്പിക്കുക വരി: എല്ലായിടത്തും, ശീർഷകത്തിൽ, URL-ൽ, ഡൊമെയ്നുകൾ - നിർദ്ദിഷ്ട സൈറ്റിൽ തിരയുക അല്ലെങ്കിൽ, സുരക്ഷിതമായ തിരയലിൽ നിന്ന് ഒഴിവാക്കുക - നിർദ്ദിഷ്ട തരം വിവരങ്ങൾ അടങ്ങിയ സൈറ്റുകൾ തടയുകയും തിരയൽ ഫലങ്ങളുടെ പേജുകളിൽ നിന്ന് അവയെ നീക്കം ചെയ്യുകയും ചെയ്യുന്നു.
എന്നിരുന്നാലും, ചില ഓപ്പറേറ്റർമാർക്ക് ഒരു അധിക പാരാമീറ്റർ ആവശ്യമില്ല, ഉദാഹരണത്തിന് അഭ്യർത്ഥന " കാഷെ:www.google.com" ഒരു പൂർണ്ണമായ തിരയൽ സ്ട്രിംഗ് എന്ന് വിളിക്കാം, ചില കീവേഡുകൾക്ക്, നേരെമറിച്ച്, ഒരു തിരയൽ വാക്ക് ആവശ്യമാണ്, ഉദാഹരണത്തിന് " സൈറ്റ്:www.google.com സഹായം". ഞങ്ങളുടെ വിഷയത്തിൻ്റെ വെളിച്ചത്തിൽ, ഇനിപ്പറയുന്ന ഓപ്പറേറ്റർമാരെ നോക്കാം:
ഓപ്പറേറ്റർ |
വിവരണം |
ഒരു അധിക പാരാമീറ്റർ ആവശ്യമുണ്ടോ? |
search_term-ൽ വ്യക്തമാക്കിയ സൈറ്റിൽ മാത്രം തിരയുക |
||
തിരയൽ_ടേം ടൈപ്പ് ഉള്ള പ്രമാണങ്ങളിൽ മാത്രം തിരയുക |
||
ശീർഷകത്തിൽ search_term അടങ്ങിയ പേജുകൾ കണ്ടെത്തുക |
||
ശീർഷകത്തിലെ എല്ലാ തിരയൽ_പദങ്ങളും അടങ്ങിയ പേജുകൾ കണ്ടെത്തുക |
||
അവരുടെ വിലാസത്തിൽ search_term എന്ന വാക്ക് അടങ്ങിയ പേജുകൾ കണ്ടെത്തുക |
||
അവരുടെ വിലാസത്തിൽ എല്ലാ തിരയൽ_പദങ്ങളും അടങ്ങിയ പേജുകൾ കണ്ടെത്തുക |
ഓപ്പറേറ്റർ സൈറ്റ്:നിർദ്ദിഷ്ട സൈറ്റിലേക്ക് മാത്രം തിരയലിനെ പരിമിതപ്പെടുത്തുന്നു, നിങ്ങൾക്ക് ഡൊമെയ്ൻ നാമം മാത്രമല്ല, IP വിലാസവും വ്യക്തമാക്കാൻ കഴിയും. ഉദാഹരണത്തിന്, നൽകുക:
ഓപ്പറേറ്റർ ഫയൽ തരം:ഒരു നിർദ്ദിഷ്ട ഫയൽ തരത്തിലേക്ക് തിരയലിനെ പരിമിതപ്പെടുത്തുന്നു. ഉദാഹരണത്തിന്:
ലേഖനത്തിൻ്റെ പ്രസിദ്ധീകരണ തീയതി പ്രകാരം, Google ന് 13 വ്യത്യസ്ത ഫയൽ ഫോർമാറ്റുകൾക്കുള്ളിൽ തിരയാൻ കഴിയും:
- അഡോബ് പോർട്ടബിൾ ഡോക്യുമെൻ്റ് ഫോർമാറ്റ് (പിഡിഎഫ്)
- അഡോബ് പോസ്റ്റ്സ്ക്രിപ്റ്റ് (ps)
- ലോട്ടസ് 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
- ലോട്ടസ് വേർഡ്പ്രോ (lwp)
- മാക്റൈറ്റ് (mw)
- Microsoft Excel (xls)
- Microsoft PowerPoint (ppt)
- മൈക്രോസോഫ്റ്റ് വേഡ് (ഡോക്)
- Microsoft Works (wks, wps, wdb)
- Microsoft Write (wri)
- റിച്ച് ടെക്സ്റ്റ് ഫോർമാറ്റ് (rtf)
- ഷോക്ക് വേവ് ഫ്ലാഷ് (swf)
- വാചകം (ans, txt)
ഓപ്പറേറ്റർ ലിങ്ക്:നിർദ്ദിഷ്ട പേജിലേക്ക് പോയിൻ്റ് ചെയ്യുന്ന എല്ലാ പേജുകളും കാണിക്കുന്നു.
ഇൻ്റർനെറ്റിലെ എത്ര സ്ഥലങ്ങൾ നിങ്ങളെക്കുറിച്ച് അറിയാമെന്ന് കാണുന്നത് എല്ലായ്പ്പോഴും രസകരമായിരിക്കും. നമുക്ക് ശ്രമിക്കാം:
ഓപ്പറേറ്റർ കാഷെ: Google-ൻ്റെ കാഷെയിൽ സൈറ്റിൻ്റെ പതിപ്പ് കാണിക്കുന്നു, കാരണം Google ആ പേജ് അവസാനമായി സന്ദർശിച്ചതായി തോന്നുന്നു. ഇടയ്ക്കിടെ മാറിക്കൊണ്ടിരിക്കുന്ന ഏതെങ്കിലും സൈറ്റ് എടുത്ത് നോക്കാം:
ഓപ്പറേറ്റർ തലക്കെട്ട്:പേജ് ശീർഷകത്തിലെ നിർദ്ദിഷ്ട പദത്തിനായി തിരയുന്നു. ഓപ്പറേറ്റർ മുഴുവൻ തലക്കെട്ട്:ഒരു വിപുലീകരണമാണ് - ഇത് പേജ് ശീർഷകത്തിലെ എല്ലാ നിർദ്ദിഷ്ട കുറച്ച് വാക്കുകൾക്കായി തിരയുന്നു. താരതമ്യം ചെയ്യുക:
ശീർഷകം:ചൊവ്വയിലേക്കുള്ള വിമാനം
ശീർഷകം:വിമാനം ശീർഷകം:ചൊവ്വയിൽ
allintitle:ചൊവ്വയിലേക്കുള്ള വിമാനം
ഓപ്പറേറ്റർ inurl: URL-ൽ നിർദ്ദിഷ്ട സ്ട്രിംഗ് അടങ്ങിയ എല്ലാ പേജുകളും കാണിക്കാൻ Google-നെ നിർബന്ധിക്കുന്നു. allinurl ഓപ്പറേറ്റർ: ഒരു URL-ലെ എല്ലാ വാക്കുകളും തിരയുന്നു. ഉദാഹരണത്തിന്:
allinurl:acid acid_stat_alerts.php
SNORT ഇല്ലാത്തവർക്ക് ഈ കമാൻഡ് പ്രത്യേകിച്ചും ഉപയോഗപ്രദമാണ് - ഒരു യഥാർത്ഥ സിസ്റ്റത്തിൽ ഇത് എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് അവർക്ക് കാണാൻ കഴിയും.
ഗൂഗിൾ ഉപയോഗിച്ച് ഹാക്കിംഗ് രീതികൾ
അതിനാൽ, മുകളിലുള്ള ഓപ്പറേറ്റർമാരുടെയും കീവേഡുകളുടെയും സംയോജനം ഉപയോഗിച്ച്, ആർക്കും ആവശ്യമായ വിവരങ്ങൾ ശേഖരിക്കാനും കേടുപാടുകൾക്കായി തിരയാനും കഴിയുമെന്ന് ഞങ്ങൾ കണ്ടെത്തി. ഈ സാങ്കേതിക വിദ്യകളെ പലപ്പോഴും ഗൂഗിൾ ഹാക്കിംഗ് എന്ന് വിളിക്കുന്നു.
സൈറ്റ് മാപ്പ്
ഒരു സൈറ്റിൽ Google കണ്ടെത്തിയ എല്ലാ ലിങ്കുകളും ലിസ്റ്റ് ചെയ്യാൻ നിങ്ങൾക്ക് സൈറ്റ്: ഓപ്പറേറ്റർ ഉപയോഗിക്കാം. സാധാരണഗതിയിൽ, സ്ക്രിപ്റ്റുകൾ ഉപയോഗിച്ച് ചലനാത്മകമായി സൃഷ്ടിക്കപ്പെട്ട പേജുകൾ പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് സൂചികയിലാക്കില്ല, അതിനാൽ ചില സൈറ്റുകൾ ISAPI ഫിൽട്ടറുകൾ ഉപയോഗിക്കുന്നതിനാൽ ലിങ്കുകൾ ഫോമിൽ ഉണ്ടാകില്ല. /article.asp?num=10&dst=5, ഒപ്പം സ്ലാഷുകളോടെയും /ലേഖനം/abc/num/10/dst/5. സെർച്ച് എഞ്ചിനുകളാൽ സൈറ്റ് പൊതുവെ സൂചികയിലാക്കുന്നതിനാണ് ഇത് ചെയ്യുന്നത്.
നമുക്ക് ശ്രമിക്കാം:
സൈറ്റ്:www.whitehouse.gov വൈറ്റ്ഹൗസ്
വെബ്സൈറ്റിലെ എല്ലാ പേജുകളിലും വൈറ്റ്ഹൗസ് എന്ന വാക്ക് അടങ്ങിയിട്ടുണ്ടെന്ന് ഗൂഗിൾ കരുതുന്നു. എല്ലാ പേജുകളും ലഭിക്കാൻ ഞങ്ങൾ ഉപയോഗിക്കുന്നത് ഇതാണ്.
ഒരു ലളിതമായ പതിപ്പും ഉണ്ട്:
സൈറ്റ്:whitehouse.gov
ഏറ്റവും നല്ല ഭാഗം, whitehouse.gov-ലെ സഖാക്കൾക്ക് ഞങ്ങൾ അവരുടെ സൈറ്റിൻ്റെ ഘടന നോക്കുകയും ഗൂഗിൾ ഡൗൺലോഡ് ചെയ്ത കാഷെ ചെയ്ത പേജുകൾ നോക്കുകയും ചെയ്തതായി പോലും അറിഞ്ഞിരുന്നില്ല എന്നതാണ്. സൈറ്റുകളുടെ ഘടന പഠിക്കാനും ഉള്ളടക്കം കാണാനും ഇത് ഉപയോഗിക്കാനാകും, തൽക്കാലം കണ്ടെത്താനാകാതെ അവശേഷിക്കുന്നു.
ഡയറക്ടറികളിലെ ഫയലുകളുടെ ഒരു ലിസ്റ്റ് കാണുക
സാധാരണ HTML പേജുകൾക്ക് പകരം വെബ് സെർവറുകൾക്ക് സെർവർ ഡയറക്ടറികളുടെ ലിസ്റ്റുകൾ പ്രദർശിപ്പിക്കാൻ കഴിയും. ഉപയോക്താക്കൾ നിർദ്ദിഷ്ട ഫയലുകൾ തിരഞ്ഞെടുത്ത് ഡൗൺലോഡ് ചെയ്യുന്നുവെന്ന് ഉറപ്പാക്കാനാണ് ഇത് സാധാരണയായി ചെയ്യുന്നത്. എന്നിരുന്നാലും, പല കേസുകളിലും, ഒരു ഡയറക്ടറിയുടെ ഉള്ളടക്കം കാണിക്കാൻ അഡ്മിനിസ്ട്രേറ്റർക്ക് ഉദ്ദേശ്യമില്ല. തെറ്റായ സെർവർ കോൺഫിഗറേഷൻ കാരണമോ ഡയറക്ടറിയിലെ പ്രധാന പേജിൻ്റെ അഭാവം മൂലമോ ഇത് സംഭവിക്കുന്നു. തൽഫലമായി, ഡയറക്ടറിയിൽ രസകരമായ എന്തെങ്കിലും കണ്ടെത്താനും അത് സ്വന്തം ആവശ്യങ്ങൾക്കായി ഉപയോഗിക്കാനും ഹാക്കർക്ക് അവസരമുണ്ട്. അത്തരം എല്ലാ പേജുകളും കണ്ടെത്തുന്നതിന്, അവയിലെല്ലാം വാക്കുകൾ അടങ്ങിയിരിക്കുന്നു എന്നത് ശ്രദ്ധിച്ചാൽ മതി: സൂചിക. എന്നാൽ സൂചിക എന്ന പദങ്ങളിൽ അത്തരം പേജുകൾ മാത്രമല്ല അടങ്ങിയിരിക്കുന്നതിനാൽ, ഞങ്ങൾ ചോദ്യം പരിഷ്കരിക്കുകയും പേജിലെ തന്നെ കീവേഡുകൾ കണക്കിലെടുക്കുകയും വേണം, അതിനാൽ ഇതുപോലുള്ള ചോദ്യങ്ങൾ:
പേരൻ്റ് ഡയറക്ടറിയുടെ തലക്കെട്ട്:സൂചിക
തലക്കെട്ട്:സൂചിക.പേരിൻ്റെ വലിപ്പം
മിക്ക ഡയറക്ടറി ലിസ്റ്റിംഗുകളും മനഃപൂർവമായതിനാൽ, തെറ്റായി ലിസ്റ്റുചെയ്യുന്ന ലിസ്റ്റിംഗുകൾ ആദ്യമായി കണ്ടെത്തുന്നത് നിങ്ങൾക്ക് ബുദ്ധിമുട്ടായേക്കാം. എന്നാൽ ചുവടെ വിവരിച്ചിരിക്കുന്നതുപോലെ, WEB സെർവർ പതിപ്പ് നിർണ്ണയിക്കാൻ നിങ്ങൾക്ക് ഇതിനകം തന്നെ ലിസ്റ്റിംഗുകൾ ഉപയോഗിക്കാം.
വെബ് സെർവർ പതിപ്പ് നേടുന്നു.
ഏതെങ്കിലും ഹാക്കർ ആക്രമണം ആരംഭിക്കുന്നതിന് മുമ്പ് വെബ് സെർവർ പതിപ്പ് അറിയുന്നത് എല്ലായ്പ്പോഴും ഉപയോഗപ്രദമാണ്. വീണ്ടും, Google-ന് നന്ദി, ഒരു സെർവറിലേക്ക് കണക്റ്റുചെയ്യാതെ തന്നെ നിങ്ങൾക്ക് ഈ വിവരങ്ങൾ ലഭിക്കും. നിങ്ങൾ ഡയറക്ടറി ലിസ്റ്റിംഗ് സൂക്ഷ്മമായി പരിശോധിച്ചാൽ, വെബ് സെർവറിൻ്റെ പേരും അതിൻ്റെ പതിപ്പും അവിടെ പ്രദർശിപ്പിച്ചിരിക്കുന്നത് കാണാം.
Apache1.3.29 - trf296.free.fr പോർട്ട് 80-ലെ പ്രോക്സാഡ് സെർവർ
പരിചയസമ്പന്നനായ ഒരു അഡ്മിനിസ്ട്രേറ്റർക്ക് ഈ വിവരങ്ങൾ മാറ്റാൻ കഴിയും, പക്ഷേ, ചട്ടം പോലെ, ഇത് ശരിയാണ്. അതിനാൽ, ഈ വിവരങ്ങൾ ലഭിക്കുന്നതിന് ഒരു അഭ്യർത്ഥന അയച്ചാൽ മതി:
തലക്കെട്ട്:index.of server.at
ഒരു നിർദ്ദിഷ്ട സെർവറിനായുള്ള വിവരങ്ങൾ ലഭിക്കുന്നതിന്, ഞങ്ങൾ അഭ്യർത്ഥന വ്യക്തമാക്കും:
intitle:index.of server.at site:ibm.com
അല്ലെങ്കിൽ തിരിച്ചും, സെർവറിൻ്റെ ഒരു പ്രത്യേക പതിപ്പ് പ്രവർത്തിക്കുന്ന സെർവറുകൾക്കായി ഞങ്ങൾ തിരയുകയാണ്:
intitle:index.of Apache/2.0.40 സെർവറിൽ
ഇരയെ കണ്ടെത്താൻ ഹാക്കർക്ക് ഈ വിദ്യ ഉപയോഗിക്കാം. ഉദാഹരണത്തിന്, വെബ് സെർവറിൻ്റെ ഒരു പ്രത്യേക പതിപ്പിനായി അയാൾക്ക് ഒരു ചൂഷണം ഉണ്ടെങ്കിൽ, അയാൾക്ക് അത് കണ്ടെത്താനും നിലവിലുള്ള ചൂഷണം പരീക്ഷിക്കാനും കഴിയും.
WEB സെർവറിൻ്റെ ഏറ്റവും പുതിയ പതിപ്പ് ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ സ്ഥിരസ്ഥിതിയായി ഇൻസ്റ്റാൾ ചെയ്ത പേജുകൾ കാണുന്നതിലൂടെ നിങ്ങൾക്ക് സെർവർ പതിപ്പ് ലഭിക്കും. ഉദാഹരണത്തിന്, അപ്പാച്ചെ 1.2.6 ടെസ്റ്റ് പേജ് കാണാൻ, ടൈപ്പ് ചെയ്യുക
intitle:Test.Page.for.Apache it.worked!
മാത്രമല്ല, ചില ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങൾ ഇൻസ്റ്റാളേഷൻ സമയത്ത് ഉടൻ തന്നെ WEB സെർവർ ഇൻസ്റ്റാൾ ചെയ്യുകയും സമാരംഭിക്കുകയും ചെയ്യുന്നു. എന്നിരുന്നാലും, ചില ഉപയോക്താക്കൾക്ക് ഇതിനെക്കുറിച്ച് അറിയില്ല. സ്വാഭാവികമായും, ആരെങ്കിലും ഡിഫോൾട്ട് പേജ് നീക്കം ചെയ്തിട്ടില്ലെന്ന് നിങ്ങൾ കാണുകയാണെങ്കിൽ, കമ്പ്യൂട്ടർ ഒരു ഇഷ്ടാനുസൃതമാക്കലിന് വിധേയമായിട്ടില്ലെന്നും ആക്രമണത്തിന് ഇരയാകാൻ സാധ്യതയുണ്ടെന്നും അനുമാനിക്കുന്നത് യുക്തിസഹമാണ്.
IIS 5.0 പേജുകൾക്കായി തിരയാൻ ശ്രമിക്കുക
allintitle:Windows 2000 ഇൻ്റർനെറ്റ് സേവനങ്ങളിലേക്ക് സ്വാഗതം
IIS-ൻ്റെ കാര്യത്തിൽ, നിങ്ങൾക്ക് സെർവർ പതിപ്പ് മാത്രമല്ല, വിൻഡോസ് പതിപ്പും സർവീസ് പാക്കും നിർണ്ണയിക്കാനാകും.
വെബ് സെർവർ പതിപ്പ് നിർണ്ണയിക്കുന്നതിനുള്ള മറ്റൊരു മാർഗ്ഗം മാനുവലുകൾ (സഹായ പേജുകൾ), സൈറ്റിൽ സ്ഥിരസ്ഥിതിയായി ഇൻസ്റ്റാൾ ചെയ്തേക്കാവുന്ന ഉദാഹരണങ്ങൾ എന്നിവ തിരയുക എന്നതാണ്. ഒരു സൈറ്റിലേക്ക് പ്രത്യേക ആക്സസ് നേടുന്നതിന് ഈ ഘടകങ്ങൾ ഉപയോഗിക്കുന്നതിന് ഹാക്കർമാർ കുറച്ച് വഴികൾ കണ്ടെത്തിയിട്ടുണ്ട്. അതുകൊണ്ടാണ് നിങ്ങൾ ഉൽപ്പാദന സൈറ്റിൽ ഈ ഘടകങ്ങൾ നീക്കം ചെയ്യേണ്ടത്. ഈ ഘടകങ്ങളുടെ സാന്നിധ്യം സെർവറിൻ്റെ തരത്തെക്കുറിച്ചും അതിൻ്റെ പതിപ്പിനെക്കുറിച്ചും വിവരങ്ങൾ നൽകുമെന്ന വസ്തുത പരാമർശിക്കേണ്ടതില്ല. ഉദാഹരണത്തിന്, നമുക്ക് അപ്പാച്ചെ മാനുവൽ കണ്ടെത്താം:
inurl:മാനുവൽ അപ്പാച്ചെ നിർദ്ദേശങ്ങളുടെ മൊഡ്യൂളുകൾ
ഒരു CGI സ്കാനറായി Google ഉപയോഗിക്കുന്നു.
CGI സ്കാനർ അല്ലെങ്കിൽ WEB സ്കാനർ ഇരയുടെ സെർവറിൽ ദുർബലമായ സ്ക്രിപ്റ്റുകളും പ്രോഗ്രാമുകളും തിരയുന്നതിനുള്ള ഒരു യൂട്ടിലിറ്റിയാണ്. എന്താണ് തിരയേണ്ടതെന്ന് ഈ യൂട്ടിലിറ്റികൾ അറിഞ്ഞിരിക്കണം, ഇതിനായി അവർക്ക് ദുർബലമായ ഫയലുകളുടെ ഒരു മുഴുവൻ ലിസ്റ്റ് ഉണ്ട്, ഉദാഹരണത്തിന്:
/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/mailist.cgi
/cgi-bin/userreg.cgi
/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi
ഈ ഫയലുകൾ ഓരോന്നും Google ഉപയോഗിച്ച് നമുക്ക് കണ്ടെത്താനാകും, കൂടാതെ തിരയൽ ബാറിലെ ഇൻഡക്സ് ഓഫ് അല്ലെങ്കിൽ ഇൻറൽ എന്ന പദങ്ങൾ ഉപയോഗിച്ച്: ദുർബലമായ സ്ക്രിപ്റ്റുകളുള്ള സൈറ്റുകൾ നമുക്ക് കണ്ടെത്താനാകും, ഉദാഹരണത്തിന്:
allinurl:/random_banner/index.cgi
അധിക അറിവ് ഉപയോഗിച്ച്, ഒരു ഹാക്കർക്ക് ഒരു സ്ക്രിപ്റ്റിൻ്റെ കേടുപാടുകൾ മുതലെടുക്കാനും സെർവറിൽ സംഭരിച്ചിരിക്കുന്ന ഏത് ഫയലും പുറത്തുവിടാൻ സ്ക്രിപ്റ്റിനെ നിർബന്ധിക്കാൻ ഈ ദുർബലത ഉപയോഗിക്കാനും കഴിയും. ഉദാഹരണത്തിന്, ഒരു പാസ്വേഡ് ഫയൽ.
ഗൂഗിൾ ഹാക്കിംഗിൽ നിന്ന് എങ്ങനെ സ്വയം പരിരക്ഷിക്കാം.
1. പ്രധാനപ്പെട്ട ഡാറ്റ വെബ് സെർവറിൽ പോസ്റ്റ് ചെയ്യരുത്.
നിങ്ങൾ ഡാറ്റ താൽക്കാലികമായി പോസ്റ്റ് ചെയ്താലും, നിങ്ങൾ അതിനെക്കുറിച്ച് മറന്നേക്കാം അല്ലെങ്കിൽ നിങ്ങൾ ഇത് മായ്ക്കുന്നതിന് മുമ്പ് ഈ ഡാറ്റ കണ്ടെത്തി എടുക്കാൻ മറ്റൊരാൾക്ക് സമയമുണ്ടാകും. ഇത് ചെയ്യരുത്. മോഷണത്തിൽ നിന്ന് സംരക്ഷിക്കുന്ന ഡാറ്റ കൈമാറാൻ മറ്റ് നിരവധി മാർഗങ്ങളുണ്ട്.
2. നിങ്ങളുടെ സൈറ്റ് പരിശോധിക്കുക.
നിങ്ങളുടെ സൈറ്റ് ഗവേഷണം ചെയ്യാൻ വിവരിച്ച രീതികൾ ഉപയോഗിക്കുക. http://johnny.ihackstuff.com എന്ന സൈറ്റിൽ ദൃശ്യമാകുന്ന പുതിയ രീതികൾക്കായി നിങ്ങളുടെ സൈറ്റ് ഇടയ്ക്കിടെ പരിശോധിക്കുക. നിങ്ങളുടെ പ്രവർത്തനങ്ങൾ ഓട്ടോമേറ്റ് ചെയ്യണമെങ്കിൽ, Google-ൽ നിന്ന് പ്രത്യേക അനുമതി വാങ്ങേണ്ടതുണ്ടെന്ന് ഓർമ്മിക്കുക. ശ്രദ്ധിച്ചു വായിച്ചാൽ http://www.google.com/terms_of_service.html, അപ്പോൾ നിങ്ങൾ ഈ വാചകം കാണും: Google-ൽ നിന്ന് മുൻകൂർ അനുമതിയില്ലാതെ നിങ്ങൾക്ക് ഒരു തരത്തിലുള്ള സ്വയമേവയുള്ള അന്വേഷണങ്ങൾ Google-ൻ്റെ സിസ്റ്റത്തിലേക്ക് അയയ്ക്കാൻ പാടില്ല.
3. നിങ്ങളുടെ സൈറ്റിനെയോ അതിൻ്റെ ഭാഗത്തെയോ സൂചികയിലാക്കാൻ നിങ്ങൾക്ക് Google-ൻ്റെ ആവശ്യമില്ലായിരിക്കാം.
നിങ്ങളുടെ സൈറ്റിലേക്കുള്ള ഒരു ലിങ്ക് അല്ലെങ്കിൽ അതിൻ്റെ ഡാറ്റാബേസിൽ നിന്ന് അതിൻ്റെ ഒരു ഭാഗം നീക്കം ചെയ്യാനും കാഷെയിൽ നിന്ന് പേജുകൾ നീക്കം ചെയ്യാനും Google നിങ്ങളെ അനുവദിക്കുന്നു. കൂടാതെ, നിങ്ങളുടെ സൈറ്റിലെ ചിത്രങ്ങൾക്കായുള്ള തിരയൽ നിങ്ങൾക്ക് നിരോധിക്കാം, ഒരു സൈറ്റ് ഇല്ലാതാക്കുന്നതിനുള്ള എല്ലാ സാധ്യതകളും പേജിൽ വിവരിച്ചിരിക്കുന്ന പേജുകളുടെ ചെറിയ ശകലങ്ങൾ നിരോധിക്കാം http://www.google.com/remove.html. ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾ ശരിക്കും ഈ സൈറ്റിൻ്റെ ഉടമയാണെന്ന് നിങ്ങൾ സ്ഥിരീകരിക്കണം അല്ലെങ്കിൽ പേജിലേക്ക് ടാഗുകൾ ചേർക്കുക അല്ലെങ്കിൽ
4. robots.txt ഉപയോഗിക്കുക
സെർച്ച് എഞ്ചിനുകൾ സൈറ്റിൻ്റെ റൂട്ടിൽ സ്ഥിതിചെയ്യുന്ന robots.txt ഫയലിലേക്ക് നോക്കുന്നുവെന്നും വാക്ക് കൊണ്ട് അടയാളപ്പെടുത്തിയിരിക്കുന്ന ഭാഗങ്ങൾ സൂചികയിലാക്കരുതെന്നും അറിയാം. അനുവദിക്കരുത്. സൈറ്റിൻ്റെ ഒരു ഭാഗം സൂചികയിലാക്കുന്നത് തടയാൻ നിങ്ങൾക്ക് ഇത് ഉപയോഗിക്കാം. ഉദാഹരണത്തിന്, മുഴുവൻ സൈറ്റും സൂചികയിലാക്കുന്നത് തടയാൻ, രണ്ട് വരികൾ അടങ്ങിയ ഒരു robots.txt ഫയൽ സൃഷ്ടിക്കുക:
ഉപയോക്തൃ ഏജൻ്റ്: *
അനുവദിക്കരുത്: /
മറ്റെന്താണ് സംഭവിക്കുന്നത്
അതിനാൽ ജീവിതം നിങ്ങൾക്ക് തേൻ പോലെ തോന്നാതിരിക്കാൻ, മുകളിൽ വിവരിച്ച രീതികൾ ഉപയോഗിച്ച് സ്ക്രിപ്റ്റുകളിലും വെബ് സെർവറുകളിലും ദ്വാരങ്ങൾ തിരയുന്ന ആളുകളെ നിരീക്ഷിക്കുന്ന സൈറ്റുകൾ ഉണ്ടെന്ന് ഞാൻ ഒടുവിൽ പറയും. അത്തരമൊരു പേജിൻ്റെ ഉദാഹരണം
അപേക്ഷ.
അല്പം മധുരം. ഇനിപ്പറയുന്നവയിൽ ചിലത് നിങ്ങൾക്കായി പരീക്ഷിക്കുക:
1. #mysql dump filetype:sql - mySQL ഡാറ്റാബേസ് ഡംപുകൾക്കായി തിരയുക
2. ഹോസ്റ്റ് വൾനറബിലിറ്റി സംഗ്രഹ റിപ്പോർട്ട് - മറ്റ് ആളുകൾ കണ്ടെത്തിയ അപകടസാധ്യതകൾ നിങ്ങളെ കാണിക്കും
3. inurl:main.php-ൽ പ്രവർത്തിക്കുന്ന phpMyAdmin - ഇത് phpmyadmin പാനലിലൂടെ നിയന്ത്രണം അടയ്ക്കാൻ നിർബന്ധിതമാക്കും.
4. വിതരണത്തിനുള്ള രഹസ്യമല്ല
5. അഭ്യർത്ഥന വിശദാംശങ്ങൾ ട്രീ സെർവർ വേരിയബിളുകൾ നിയന്ത്രിക്കുക
6. ചൈൽഡ് മോഡിൽ പ്രവർത്തിക്കുന്നു
7. ഈ റിപ്പോർട്ട് വെബ്ലോഗ് സൃഷ്ടിച്ചതാണ്
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs – ആർക്കെങ്കിലും ഫയർവാൾ കോൺഫിഗറേഷൻ ഫയലുകൾ ആവശ്യമുണ്ടോ? :)
10. intitle:index.of finances.xls – ഹും....
11. തലക്കെട്ട്: dbconvert.exe ചാറ്റുകളുടെ സൂചിക - icq ചാറ്റ് ലോഗുകൾ
12.intext:Tobias Oetiker ട്രാഫിക് വിശകലനം
13. തലക്കെട്ട്:വെബലൈസർ സൃഷ്ടിച്ച ഉപയോഗ സ്ഥിതിവിവരക്കണക്കുകൾ
14. തലക്കെട്ട്: വിപുലമായ വെബ് സ്ഥിതിവിവരക്കണക്കുകളുടെ സ്ഥിതിവിവരക്കണക്കുകൾ
15. intitle:index.of ws_ftp.ini – ws ftp config
16. inurl:ipsec.secrets പങ്കിട്ട രഹസ്യങ്ങൾ സൂക്ഷിക്കുന്നു - രഹസ്യ കീ - നല്ല കണ്ടെത്തൽ
17. inurl:main.php phpMyAdmin-ലേക്ക് സ്വാഗതം
18. inurl:server-info അപ്പാച്ചെ സെർവർ വിവരങ്ങൾ
19. site:edu അഡ്മിൻ ഗ്രേഡുകൾ
20. ORA-00921: SQL കമാൻഡിൻ്റെ അപ്രതീക്ഷിത അവസാനം - പാതകൾ നേടുന്നു
21. intitle:index.of trillian.ini
22. തലക്കെട്ട്:pwd.db യുടെ സൂചിക
23.intitle:index.of people.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. തലക്കെട്ട്: .mysql_history യുടെ സൂചിക
27. തലക്കെട്ട്: സൂചികയുടെ സൂചിക: globals.inc
28. intitle:index.of administrators.pwd
29. തലക്കെട്ട്:ഇൻഡക്സ്.ഓഫ് തുടങ്ങിയവ നിഴൽ
30.intitle:index.ofsecring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini
പരിശീലന കേന്ദ്രം "Informzashita" http://www.itsecurity.ru - വിവര സുരക്ഷാ പരിശീലന മേഖലയിലെ ഒരു പ്രമുഖ പ്രത്യേക കേന്ദ്രം (വിദ്യാഭ്യാസത്തിൻ്റെ മോസ്കോ കമ്മിറ്റിയുടെ ലൈസൻസ് നമ്പർ 015470, സ്റ്റേറ്റ് അക്രഡിറ്റേഷൻ നമ്പർ 004251). റഷ്യയിലെയും സിഐഎസ് രാജ്യങ്ങളിലെയും ഇൻ്റർനെറ്റ് സെക്യൂരിറ്റി സിസ്റ്റങ്ങൾക്കും ക്ലിയർസ്വിഫ്റ്റിനുമുള്ള ഏക അംഗീകൃത പരിശീലന കേന്ദ്രം. മൈക്രോസോഫ്റ്റ് അംഗീകൃത പരിശീലന കേന്ദ്രം (സെക്യൂരിറ്റി സ്പെഷ്യലൈസേഷൻ). പരിശീലന പരിപാടികൾ റഷ്യയിലെ സ്റ്റേറ്റ് ടെക്നിക്കൽ കമ്മീഷൻ, FSB (FAPSI) യുമായി ഏകോപിപ്പിച്ചിരിക്കുന്നു. പരിശീലനത്തിൻ്റെ സർട്ടിഫിക്കറ്റുകളും വിപുലമായ പരിശീലനത്തെക്കുറിച്ചുള്ള സംസ്ഥാന രേഖകളും.
വാങ്ങുന്നവർക്കും ഡെവലപ്പർമാർക്കും ഡീലർമാർക്കും അഫിലിയേറ്റ് പാർട്ണർമാർക്കും വേണ്ടിയുള്ള ഒരു സവിശേഷ സേവനമാണ് SoftKey. കൂടാതെ, റഷ്യ, ഉക്രെയ്ൻ, കസാക്കിസ്ഥാൻ എന്നിവിടങ്ങളിലെ മികച്ച ഓൺലൈൻ സോഫ്റ്റ്വെയർ സ്റ്റോറുകളിൽ ഒന്നാണിത്, ഇത് ഉപഭോക്താക്കൾക്ക് വൈവിധ്യമാർന്ന ഉൽപ്പന്നങ്ങൾ, നിരവധി പേയ്മെൻ്റ് രീതികൾ, പ്രോംപ്റ്റ് (പലപ്പോഴും തൽക്ഷണം) ഓർഡർ പ്രോസസ്സിംഗ്, വ്യക്തിഗത വിഭാഗത്തിലെ ഓർഡർ പ്രക്രിയ ട്രാക്കുചെയ്യൽ എന്നിവ വാഗ്ദാനം ചെയ്യുന്നു. സ്റ്റോറിൽ നിന്നും നിർമ്മാതാക്കളിൽ നിന്നും കിഴിവുകൾ BY.