Lugha ya kuuliza ni lugha ya programu iliyoundwa na mwanadamu inayotumiwa kuuliza maswali katika hifadhidata na mifumo ya habari.

Kwa ujumla, mbinu kama hizo za kuuliza zinaweza kuainishwa kulingana na ikiwa zinatumika kwa hifadhidata au kupata habari. Tofauti ni kwamba maombi ya huduma kama hizo hufanywa ili kupata majibu ya kweli kwa maswali yaliyoulizwa, wakati injini ya utaftaji inajaribu kupata hati zilizo na habari zinazohusiana na eneo la masilahi la mtumiaji.

Hifadhidata

Lugha za hoja za hifadhidata ni pamoja na mifano ifuatayo:

• QL - iliyoelekezwa kwa kitu, inahusu mrithi wa Datalog.
• Muktadha (CQL) - lugha rasmi uwakilishi wa maswali ya mifumo ya kupata taarifa (kama vile faharasa za wavuti au katalogi za biblia).
• CQLF (CODYASYL) - kwa hifadhidata za CODASYL-TYPE.
• Lugha ya Maswali Iliyoelekezwa kwa Dhana (COQL) - inayotumika katika mifano inayohusiana (com). Inategemea kanuni mbovu za uundaji wa data na hutumia shughuli kama vile makadirio na kukadiria uchanganuzi wa aina nyingi, shughuli za uchanganuzi na makisio.
• DMX - kutumika kwa mifano
• Datalog ni lugha ya swala ya hifadhidata inayopunguza.
• Kiingereza cha Gellish ni lugha inayoweza kutumika kuuliza hifadhidata ya Kiingereza ya Gellish na inaruhusu mazungumzo (maswali na majibu) na pia hutumika kwa uundaji wa maelezo ya maarifa.
• HTSQL - hutafsiri maombi ya http kwa SQL.
• ISBL - inayotumika kwa PRTV (moja ya mifumo ya kwanza ya usimamizi wa hifadhidata ya uhusiano).
• LDAP ni itifaki ya huduma za hoja na saraka inayoendesha TCP/IP.
• MDX - inahitajika kwa hifadhidata za OLAP.

Injini za utafutaji

Lugha maswali ya utafutaji, kwa upande wake, inalenga kutafuta data katika injini za utafutaji. Inatofautiana kwa kuwa hoja mara nyingi huwa na maandishi wazi au hypertext yenye sintaksia ya ziada (kama vile "na"/"au"). Inatofautiana kwa kiasi kikubwa kutoka kwa lugha za kawaida zinazofanana, ambazo zinatawaliwa na sheria kali za sintaksia ya amri au zina vigezo vya nafasi.

Maswali ya utafutaji yanaainishwaje?

Kuna kategoria tatu pana zinazoshughulikia maswali mengi ya utafutaji: habari, urambazaji, na shughuli. Ingawa uainishaji huu haujaanzishwa kinadharia, umethibitishwa kwa uthabiti na uwepo wa maswali halisi katika injini za utafutaji.

Hoja za habari ni zile zinazoshughulikia mada pana (kama vile jiji mahususi au muundo wa lori) ambazo zinaweza kurudisha maelfu ya matokeo muhimu.

Hoja za usogezaji ni hoja zinazotafuta tovuti moja au ukurasa wa wavuti kwenye mada maalum (kwa mfano, YouTube).

Shughuli - onyesha nia ya mtumiaji kufanya kitendo fulani, kwa mfano, kununua gari au kukata tikiti.

Injini za utaftaji mara nyingi huunga mkono aina ya nne ya swala, ambayo haitumiki sana. Haya ni yanayoitwa maombi ya uunganisho, yenye ripoti juu ya uunganisho wa grafu ya wavuti iliyoorodheshwa (idadi ya viungo kwa URL fulani, au ni kurasa ngapi zimeorodheshwa kutoka kwa kikoa fulani).

Je, taarifa hutafutwaje?

Ikajulikana sifa za kuvutia kuhusiana na utafutaji wa wavuti:

Urefu wa wastani wa hoja ya utafutaji ulikuwa maneno 2.4.

• Takriban nusu ya watumiaji walituma ombi moja, na chini ya theluthi moja ya watumiaji walifanya maombi matatu au zaidi ya kipekee kurudi nyuma.
• Takriban nusu ya watumiaji walitazama ukurasa mmoja au mbili za matokeo pekee.
• Chini ya 5% ya watumiaji hutumia uwezo wa juu wa utafutaji (kwa mfano, kuchagua kategoria maalum au kutafuta katika utafutaji).

Vipengele vya vitendo maalum

Utafiti pia uligundua kuwa 19% ya hoja zilikuwa na neno la kijiografia (k.m. majina, misimbo ya posta, vitu vya kijiografia, nk). Pia ni muhimu kuzingatia kwamba kwa kuongeza maswali mafupi(yaani, kwa hali nyingi), mara nyingi kulikuwa na mifumo inayotabirika ambapo watumiaji walibadilisha vifungu vyao vya utafutaji.

Pia ilibainika kuwa 33% ya maombi kutoka kwa mtumiaji sawa yanarudiwa, na katika 87% ya kesi mtumiaji atabofya matokeo sawa. Hii inapendekeza kwamba watumiaji wengi hutumia maswali ya kurudia kusahihisha au kupata habari tena.

Usambazaji wa mara kwa mara wa maombi

Kwa kuongeza, wataalam walithibitisha kwamba usambazaji wa mzunguko wa maswali unafanana na sheria ya nguvu. Hiyo ni sehemu ndogo maneno muhimu kuzingatiwa katika orodha kubwa zaidi ya maswali (k.m. zaidi ya milioni 100) na ndizo zinazotumiwa mara kwa mara. Vifungu vilivyosalia ndani ya mada sawa hutumiwa mara chache na zaidi kibinafsi. Jambo hili linaitwa kanuni ya Pareto (au "kanuni ya 80-20"), na imeruhusu injini za utafutaji kutumia mbinu za uboreshaji kama vile kuorodhesha au kugawanya hifadhidata, kuweka akiba na upakiaji mapema, na pia imewezesha kuboresha injini ya utafutaji. lugha ya kuuliza.

KATIKA miaka iliyopita Ilibainika kuwa urefu wa wastani wa hoja umekuwa ukiongezeka kwa kasi kwa muda. Kwa hivyo, swali la wastani katika Kiingereza limekuwa refu. Ili kufikia hili, Google ilianzisha sasisho linaloitwa "Hummingbird" (mwezi Agosti 2013), ambalo lina uwezo wa kuchakata vifungu virefu vya utafutaji kwa kutumia lugha isiyo ya itifaki, "colloquial" (kama vile "duka la kahawa lililo karibu zaidi liko wapi?").

Kwa zaidi maswali marefu usindikaji wao hutumiwa - wamegawanywa katika misemo iliyoundwa lugha sanifu, na majibu kwa sehemu tofauti huonyeshwa kando.

Maswali yaliyopangwa

Injini za utafutaji zinazotumia sintaksia zote mbili hutumia lugha za juu zaidi za kuuliza. Mtumiaji anayetafuta hati zinazoshughulikia mada au sura nyingi anaweza kuelezea kila moja yao kwa sifa za kimantiki za neno. Katika msingi wake, lugha ya hoja yenye mantiki ni mkusanyiko wa vishazi fulani na alama za uakifishaji.

Utafutaji wa hali ya juu ni nini?

Lugha ya maswali ya Yandex na Google inaweza kufanya utafutaji unaolengwa zaidi ikiwa masharti fulani yatatimizwa. Utafutaji wa kina unaweza kutafuta kwa sehemu ya kichwa cha ukurasa au kiambishi awali cha kichwa, pamoja na kategoria maalum na orodha za majina. Inaweza pia kuweka kikomo cha utafutaji kwenye kurasa zilizo na maneno fulani kwenye kichwa au ziko katika vikundi fulani vya mada. Katika matumizi sahihi lugha ya maswali, inaweza kuchakata vigezo ambavyo ni vya ukubwa wa maagizo changamano zaidi kuliko matokeo ya juu juu ya injini nyingi za utafutaji, ikiwa ni pamoja na maneno yaliyobainishwa na mtumiaji yenye miisho tofauti na tahajia zinazofanana. Unapowasilisha matokeo ya utafutaji wa kina, kiungo cha sehemu husika za ukurasa kitaonyeshwa.

Inawezekana pia kutafuta kurasa zote zilizo na kifungu maalum cha maneno, wakati kwa swali la kawaida, injini za utafutaji haziwezi kusimama kwenye ukurasa wowote wa majadiliano. Mara nyingi, lugha ya swali inaweza kusababisha ukurasa wowote ulio kwenye lebo za noindex.

Katika hali nyingine, swala iliyoundwa kwa usahihi hukuruhusu kupata habari iliyo na idadi ya herufi maalum na herufi za alfabeti zingine ( Wahusika wa Kichina Kwa mfano).

Je, herufi za lugha ya swali husomwa vipi?

Juu na kesi ya chini, pamoja na baadhi (umlauts na accents) hazizingatiwi katika utafutaji. Kwa mfano, utafutaji wa neno kuu la Citroen hautapata kurasa zilizo na neno "Citroen". Lakini baadhi ya ligatures yanahusiana na barua binafsi. Kwa mfano, utafutaji wa "aeroskobing" utapata kwa urahisi kurasa zenye "Ereskobing" (AE = Æ).

Herufi nyingi zisizo za alphanumeric hupuuzwa kila mara. Kwa mfano, haiwezekani kupata maelezo ya hoja iliyo na mfuatano |L| (herufi kati ya pau mbili wima), ingawa herufi hii inatumika katika mifumo fulani ya ubadilishaji. Matokeo yatakuwa na data kutoka kwa "LT". Baadhi ya vibambo na vifungu vinashughulikiwa kwa njia tofauti: swali la "mkopo (Fedha)" litarejesha maingizo yenye maneno "mkopo" na "fedha", ikipuuza mabano, hata kama kuna ingizo lenye kichwa halisi "mikopo (Fedha) ".

Kuna vitendaji vingi vinavyoweza kutumika kwa kutumia lugha ya kuuliza maswali.

Sintaksia

Lugha ya maswali ya Yandex na Google inaweza kutumia alama za uakifishaji ili kuboresha utafutaji. Mfano ni braces- ((tafuta)). Maneno yaliyomo ndani yao yatatafutwa kwa ukamilifu, bila mabadiliko.

Kifungu cha maneno ndani hukuruhusu kuamua kitu cha kutafutia. Kwa mfano, neno katika alama za nukuu litatambuliwa kama linatumika kwa maana ya kitamathali au kama mhusika wa kubuni, bila alama za nukuu - kama habari ya hali halisi zaidi.

Zaidi ya hayo, injini zote kuu za utafutaji zinaunga mkono ishara "-" kwa mantiki "si" na pia na/au. Isipokuwa ni maneno ambayo hayawezi kuambishwa kwa kistari au kistari.

Maneno ya utafutaji yasiyo sahihi yanayolingana yana alama ~. Kwa mfano, ikiwa hukumbuki maneno halisi ya neno au kichwa, unaweza kuiingiza kwenye upau wa kutafutia na ishara maalum, na unaweza kupata matokeo ambayo yanafanana iwezekanavyo.

Chaguo Maalum za Utafutaji

Pia kuna vigezo vya utafutaji kama vile intitle na kategoria. Wao ni vichungi vinavyoonyeshwa kutengwa na koloni, kwa fomu "chujio: kamba ya swala". Mfuatano wa hoja unaweza kuwa na neno au kifungu cha maneno unachotafuta, au sehemu au kichwa kizima cha ukurasa.

Kipengele cha "intitle: query" hutoa kipaumbele katika matokeo ya utafutaji kulingana na kichwa, lakini pia huonyesha matokeo ya kikaboni kulingana na maudhui ya kichwa. Baadhi ya vichungi hivi vinaweza kutumika kwa wakati mmoja. Jinsi ya kutumia fursa hii?

Hoja kama vile "intitle: jina la uwanja wa ndege" itarejesha makala yote yenye jina la uwanja wa ndege kwenye mada. Ikiwa utaiunda kama "intitle ya maegesho: jina la uwanja wa ndege," basi utapata makala yenye jina la uwanja wa ndege kwenye kichwa na kutaja maegesho katika maandishi.

Tafuta kwa kutumia kichujio cha "aina: Kategoria" hufanya kazi kwa kanuni ya kuonyesha vipengee vya kikundi fulani au orodha ya kurasa. Kwa mfano, hoja ya utafutaji kama vile "Aina ya Hekalu: Historia" italeta matokeo kwenye mada ya historia ya hekalu. Chaguo hili la kukokotoa linaweza pia kutumika kama chaguo za kukokotoa mahiri kwa kubainisha vigezo mbalimbali.

Kupata data ya faragha haimaanishi udukuzi kila wakati - wakati mwingine huchapishwa hadharani. Maarifa Mipangilio ya Google na ustadi mdogo utakuruhusu kupata vitu vingi vya kupendeza - kutoka nambari za kadi ya mkopo hadi hati za FBI.

ONYO

Taarifa zote hutolewa kwa madhumuni ya habari tu. Wahariri wala mwandishi hawawajibiki kwa lolote madhara iwezekanavyo iliyosababishwa na nyenzo za kifungu hiki.

Leo, kila kitu kimeunganishwa kwenye mtandao, bila wasiwasi mdogo wa kuzuia upatikanaji. Kwa hiyo, data nyingi za kibinafsi huwa mawindo ya injini za utafutaji. Roboti buibui hazizuiliwi tena na kurasa za wavuti, lakini zionyeshe maudhui yote yanayopatikana kwenye Mtandao na mara kwa mara huongeza taarifa zisizo za umma kwenye hifadhidata zao. Kujua siri hizi ni rahisi - unahitaji tu kujua jinsi ya kuuliza juu yao.

Inatafuta faili

Katika mikono yenye uwezo, Google itapata haraka kila kitu ambacho haipatikani kwenye mtandao, kwa mfano, maelezo ya kibinafsi na faili za matumizi rasmi. Mara nyingi hufichwa kama ufunguo chini ya rug: hakuna vizuizi halisi vya ufikiaji, data iko tu nyuma ya tovuti, ambapo hakuna viungo vinavyoongoza. Kiolesura cha kawaida cha wavuti cha Google hutoa tu mipangilio ya msingi ya utafutaji wa juu, lakini hata hizi zitatosha.

Weka kikomo utafutaji kwa faili aina fulani katika Google unaweza kutumia waendeshaji wawili: filetype na ext . Ya kwanza inabainisha umbizo ambalo injini ya utafutaji imeamua kutoka kwa kichwa cha faili, ya pili inabainisha kiendelezi cha faili, bila kujali maudhui yake ya ndani. Unapotafuta katika matukio yote mawili, unahitaji tu kutaja ugani. Hapo awali, opereta wa zamani alikuwa rahisi kutumia katika hali ambapo faili haikuwa na sifa maalum za umbizo (kwa mfano, kutafuta usanidi. faili za ini na cfg, ambayo ndani yake kunaweza kuwa na chochote). Sasa Kanuni za Google yamebadilika, na hakuna tofauti inayoonekana kati ya waendeshaji - matokeo katika hali nyingi ni sawa.

Kuchuja matokeo

Kwa chaguo-msingi, Google hutafuta maneno na, kwa ujumla, herufi zozote zilizoingizwa kwenye faili zote kwenye kurasa zilizoorodheshwa. Unaweza kupunguza utafutaji wako kwa kikoa ngazi ya juu, tovuti maalum au katika eneo la mlolongo unaotaka katika faili zenyewe. Kwa chaguo mbili za kwanza, tumia operator wa tovuti, ikifuatiwa na jina la kikoa au tovuti iliyochaguliwa. Katika kesi ya tatu, seti nzima ya waendeshaji inakuwezesha kutafuta taarifa katika nyanja za huduma na metadata. Kwa mfano, allinurl itapata ile iliyotolewa kwenye mwili wa viungo wenyewe, allinanchor - kwenye maandishi yaliyo na lebo. , allintitle - in titles page, allintext - katika mwili wa kurasa.

Kwa kila operator kuna toleo nyepesi na jina fupi (bila kiambishi awali wote). Tofauti ni kwamba allinurl itapata viungo na maneno yote, na inurl itapata tu viungo na ya kwanza yao. Maneno ya pili na yanayofuata kutoka kwa hoja yanaweza kuonekana popote kwenye kurasa za wavuti. Opereta wa inurl pia hutofautiana na mwendeshaji mwingine aliye na maana sawa - tovuti. Ya kwanza pia hukuruhusu kupata mlolongo wowote wa wahusika kwenye kiunga cha hati iliyotafutwa (kwa mfano, /cgi-bin/), ambayo hutumiwa sana kupata vipengee vilivyo na udhaifu unaojulikana.

Hebu tujaribu kwa vitendo. Tunachukua kichujio cha allintext na kufanya ombi litoe orodha ya nambari na misimbo ya uthibitishaji ya kadi za mkopo ambazo zitaisha muda wa miaka miwili pekee (au wamiliki wao watakapochoka kulisha kila mtu).

Allintext: tarehe ya mwisho wa matumizi ya nambari ya kadi /2017 cvv

Unaposoma kwenye habari kwamba mdukuzi mchanga "aliingia kwenye seva" za Pentagon au NASA, akiiba habari iliyoainishwa, mara nyingi tunazungumza juu ya mbinu kama hiyo ya msingi ya kutumia Google. Tuseme tunavutiwa na orodha ya wafanyikazi wa NASA na habari zao za mawasiliano. Hakika orodha hiyo inapatikana katika fomu ya elektroniki. Kwa urahisi au kwa sababu ya uangalizi, inaweza pia kuwa kwenye tovuti ya shirika lenyewe. Ni busara kwamba katika kesi hii hakutakuwa na viungo kwa hiyo, kwa kuwa imekusudiwa kwa matumizi ya ndani. Maneno gani yanaweza kuwa katika faili kama hiyo? Kwa kiwango cha chini - uwanja wa "anwani". Kujaribu mawazo haya yote ni rahisi.

Inurl:nasa.gov filetype:xlsx "anwani"

Tunatumia urasimu

Upataji kama huu ni mguso mzuri. Ukamataji dhabiti kabisa hutolewa na maarifa ya kina zaidi ya waendeshaji wa Google kwa wasimamizi wa wavuti, Mtandao wenyewe, na sifa za kipekee za muundo wa kile kinachotafutwa. Kujua maelezo, unaweza kuchuja matokeo kwa urahisi na kuboresha sifa za faili muhimu ili kupata data muhimu kweli katika mapumziko. Inashangaza kwamba urasimu unakuja kuwaokoa hapa. Hutoa michanganyiko ya kawaida ambayo ni rahisi kwa ajili ya kutafuta taarifa za siri zilizovuja kwa bahati mbaya kwenye Mtandao.

Kwa mfano, stempu ya taarifa ya Usambazaji, inayohitajika na Idara ya Ulinzi ya Marekani, ina maana ya vizuizi vilivyowekwa kwenye usambazaji wa hati. Barua A inaashiria matoleo ya umma ambayo hakuna siri; B - iliyokusudiwa tu kwa matumizi ya ndani, C - siri madhubuti, na kadhalika hadi F. Barua X inasimama tofauti, ambayo inaashiria habari muhimu sana inayowakilisha siri ya serikali ya kiwango cha juu. Waache wale wanaopaswa kufanya hivyo wakiwa kazini watafute hati hizo, na tutajiwekea kikomo kwa faili zilizo na herufi C. Kulingana na maagizo ya DoDI 5230.24, kuashiria huku kumewekwa kwa hati zenye maelezo ya teknolojia muhimu ambazo ziko chini ya udhibiti wa usafirishaji. . Unaweza kupata taarifa kama hizo zinazolindwa kwa uangalifu kwenye tovuti katika domain.mil ya kiwango cha juu, iliyotengwa kwa ajili ya Jeshi la Marekani.

"TAARIFA YA UGAWAJI C" inurl:navy.mil

Ni rahisi sana kuwa kikoa cha .mil kina tovuti kutoka Idara ya Ulinzi ya Marekani pekee na mashirika yake ya kandarasi. Matokeo ya utafutaji yenye kizuizi cha kikoa ni safi sana, na mada zinajieleza zenyewe. Kutafuta siri za Kirusi kwa njia hii haina maana: machafuko yanatawala katika domains.ru na.rf, na majina ya mifumo mingi ya silaha inaonekana kama ya mimea (PP "Kiparis", bunduki za kujiendesha "Akatsia") au hata ajabu ( TOS "Buratino").

Kwa kusoma kwa makini hati yoyote kutoka kwa tovuti katika kikoa cha .mil, unaweza kuona vialamisho vingine ili kuboresha utafutaji wako. Kwa mfano, rejeleo la vizuizi vya usafirishaji "Sec 2751", ambayo pia ni rahisi kwa kutafuta habari ya kiufundi ya kuvutia. Mara kwa mara huondolewa kwenye tovuti rasmi ambako ilionekana mara moja, hivyo ikiwa huwezi kufuata kiungo cha kuvutia katika matokeo ya utafutaji, tumia cache ya Google (opereta wa cache) au tovuti ya Hifadhi ya Mtandao.

Kupanda kwenye mawingu

Kando na hati za serikali zilizotolewa kimakosa, viungo vya faili za kibinafsi kutoka kwa Dropbox na huduma zingine za kuhifadhi data ambazo huunda viungo vya "faragha" vya data iliyochapishwa hadharani mara kwa mara hujitokeza kwenye akiba ya Google. Ni mbaya zaidi na huduma mbadala na za nyumbani. Kwa mfano, swali lifuatalo hupata data kwa wateja wote wa Verizon ambao wamesakinisha seva ya FTP na kutumia kipanga njia chao kikamilifu.

Allinurl:ftp://verizon.net

Sasa kuna zaidi ya watu elfu arobaini kama hao wenye akili, na katika chemchemi ya 2015 kulikuwa na wengi zaidi wao. Badala ya Verizon.net, unaweza kubadilisha jina la mtoa huduma yeyote anayejulikana, na inajulikana zaidi, upatikanaji mkubwa unaweza kuwa. Kupitia seva ya FTP iliyojengewa ndani, unaweza kuona faili kwenye kifaa cha hifadhi ya nje kilichounganishwa kwenye kipanga njia. Kawaida hii ni NAS ya kazi ya mbali, wingu la kibinafsi, au aina fulani ya upakuaji wa faili ya rika-kwa-rika. Yaliyomo yote ya media kama haya yameorodheshwa na Google na injini zingine za utaftaji, kwa hivyo unaweza kufikia faili zilizohifadhiwa kwenye anatoa za nje kupitia kiunga cha moja kwa moja.

Kuangalia configs

Kabla ya kuenea kwa uhamishaji kwenye wingu, seva rahisi za FTP zilitawala kama hifadhi ya mbali, ambayo pia ilikuwa na udhaifu mwingi. Wengi wao bado ni muhimu leo. Kwa mfano, programu maarufu ya WS_FTP Professional huhifadhi data ya usanidi, akaunti za mtumiaji na nywila katika faili ya ws_ftp.ini. Ni rahisi kupata na kusoma, kwa kuwa rekodi zote zimehifadhiwa katika umbizo la maandishi, na manenosiri yamesimbwa kwa njia fiche kwa Triple DES algoriti baada ya kufichwa kidogo. Katika matoleo mengi, kutupa tu byte ya kwanza inatosha.

Ni rahisi kusimbua manenosiri kama haya kwa kutumia WS_FTP Password Decryptor shirika au huduma ya bure ya wavuti.

Kuzungumza juu ya kudukua tovuti kiholela, kwa kawaida humaanisha kupata nenosiri kutoka kwa kumbukumbu na chelezo za faili za usanidi za CMS au programu za biashara ya mtandaoni. Ikiwa unajua muundo wao wa kawaida, unaweza kuonyesha kwa urahisi maneno muhimu. Mistari kama ile inayopatikana katika ws_ftp.ini ni ya kawaida sana. Kwa mfano, katika Drupal na PrestaShop daima kuna kitambulisho cha mtumiaji (UID) na nenosiri linalolingana (pwd), na taarifa zote huhifadhiwa kwenye faili zilizo na kiendelezi cha .inc. Unaweza kuzitafuta kama ifuatavyo:

"pwd=" "UID=" ext:inc

Inafichua manenosiri ya DBMS

Katika faili za usanidi wa seva za SQL, majina na anwani Barua pepe watumiaji huhifadhiwa ndani fomu wazi, na badala ya nywila heshi zao za MD5 zimeandikwa. Kwa kusema kabisa, haiwezekani kuzisimbua, lakini unaweza kupata zinazolingana kati ya jozi za hash-nenosiri zinazojulikana.

Bado kuna DBMS ambazo hazitumii hata neno la siri hashing. Faili za usanidi za yeyote kati yao zinaweza kutazamwa tu kwenye kivinjari.

Maandishi:DB_PASSWORD filetype:env

Kwa kuonekana kwenye seva Mahali pa Windows faili za usanidi zilichukuliwa kwa sehemu na sajili. Unaweza kutafuta kupitia matawi yake kwa njia sawa, kwa kutumia reg kama aina ya faili. Kwa mfano, kama hii:

Aina ya faili: reg HKEY_CURRENT_USER "Nenosiri"=

Tusisahau yaliyo wazi

Wakati mwingine inawezekana kupata habari iliyoainishwa kwa kutumia data ambayo ilifunguliwa kwa bahati mbaya na kuzingatiwa na Google. Chaguo bora ni kupata orodha ya nywila katika umbizo la kawaida. Hifadhi maelezo ya akaunti ndani faili ya maandishi, Hati ya neno au kielektroniki Lahajedwali ya Excel Watu wenye kukata tamaa tu wanaweza, lakini daima kuna kutosha kwao.

Aina ya faili:xls inurl:password

Kwa upande mmoja, kuna njia nyingi za kuzuia matukio kama haya. Inahitajika kutaja haki za kutosha za ufikiaji katika htaccess, kiraka CMS, usitumie hati za mkono wa kushoto na ufunge mashimo mengine. Pia kuna faili iliyo na orodha ya vighairi vya robots.txt ambayo inakataza injini tafuti kuorodhesha faili na saraka zilizobainishwa ndani yake. Kwa upande mwingine, ikiwa muundo wa robots.txt kwenye seva fulani hutofautiana na kiwango cha kawaida, basi mara moja inakuwa wazi kile wanachojaribu kujificha juu yake.

Orodha ya saraka na faili kwenye tovuti yoyote hutanguliwa na faharasa ya kawaida ya. Kwa kuwa kwa madhumuni ya huduma lazima ionekane kwenye kichwa, ni mantiki kupunguza utaftaji wake kwa mendeshaji wa intitle. Vitu vya kupendeza viko kwenye saraka za /admin/, /binafsi/, /etc/ na hata /siri/.

Endelea kufuatilia kwa sasisho

Umuhimu ni muhimu sana hapa: udhaifu wa zamani hufungwa polepole sana, lakini Google na matokeo yake ya utafutaji yanabadilika kila mara. Kuna hata tofauti kati ya kichujio cha "sekunde ya mwisho" (&tbs=qdr:s mwishoni mwa URL ya ombi) na kichujio cha "muda halisi" (&tbs=qdr:1).

Muda wa tarehe ya sasisho la mwisho la faili pia umeonyeshwa kwa njia kamili na Google. Kupitia kiolesura cha picha cha wavuti, unaweza kuchagua moja ya vipindi vya kawaida (saa, siku, wiki, nk) au kuweka safu ya tarehe, lakini njia hii haifai kwa otomatiki.

Kwa kuonekana upau wa anwani tunaweza tu kukisia kuhusu njia ya kupunguza matokeo ya matokeo kwa kutumia &tbs=qdr: ujenzi. Herufi y baada ya kuweka kikomo cha mwaka mmoja (&tbs=qdr:y), m inaonyesha matokeo ya mwezi uliopita, w - kwa wiki, d - kwa siku iliyopita, h - kwa saa iliyopita, n - kwa dakika, na s - kwa pili. Matokeo ya hivi punde zaidi ambayo Google imefahamisha yanapatikana kwa kutumia kichujio &tbs=qdr:1 .

Iwapo unahitaji kuandika hati mahiri, itakuwa muhimu kujua kwamba kipindi kimewekwa katika Google katika umbizo la Julian kwa kutumia kiendesha kipindi. Kwa mfano, hivi ndivyo unavyoweza kupata orodha ya hati za PDF zilizo na neno siri, zilizopakuliwa kutoka Januari 1 hadi Julai 1, 2015.

Aina ya faili ya siri:pdf tarehe:2457024-2457205

Masafa yameonyeshwa katika umbizo la tarehe ya Julian bila kuzingatia sehemu ya sehemu. Kuzitafsiri mwenyewe kutoka kwa kalenda ya Gregorian sio rahisi. Ni rahisi kutumia kibadilishaji tarehe.

Kulenga na kuchuja tena

Mbali na kutaja waendeshaji wa ziada katika swala la utafutaji, wanaweza kutumwa moja kwa moja kwenye mwili wa kiungo. Kwa mfano, filetype:pdf vipimo vinalingana na ujenzi as_filetype=pdf . Hii inafanya iwe rahisi kuuliza ufafanuzi wowote. Wacha tuseme kwamba matokeo ya matokeo kutoka Jamhuri ya Honduras pekee yamebainishwa kwa kuongeza ujenzi cr=countryHN kwenye URL ya utaftaji, na kutoka mji wa Bobruisk pekee - gcs=Bobruisk. Unaweza kupata orodha kamili katika sehemu ya msanidi programu.

Zana za otomatiki za Google zimeundwa ili kurahisisha maisha, lakini mara nyingi huongeza matatizo. Kwa mfano, jiji la mtumiaji limedhamiriwa na IP ya mtumiaji kupitia WHOIS. Kulingana na habari hii, Google sio tu kusawazisha mzigo kati ya seva, lakini pia hubadilisha matokeo ya utafutaji. Kulingana na kanda, kwa ombi sawa, matokeo tofauti yataonekana kwenye ukurasa wa kwanza, na baadhi yao yanaweza kufichwa kabisa. Msimbo wa herufi mbili baada ya maagizo ya gl=country utakusaidia kujisikia kama mtu wa kimataifa na kutafuta taarifa kutoka nchi yoyote. Kwa mfano, msimbo wa Uholanzi ni NL, lakini Vatikani na Korea Kaskazini hazina msimbo wao katika Google.

Mara nyingi, matokeo ya utafutaji huishia kuwa na vitu vingi hata baada ya kutumia vichujio kadhaa vya kina. Katika kesi hii, ni rahisi kufafanua ombi kwa kuongeza maneno kadhaa ya ubaguzi kwake (ishara ya minus imewekwa mbele ya kila mmoja wao). Kwa mfano, benki, majina na mafunzo mara nyingi hutumiwa na neno la kibinafsi. Kwa hivyo, matokeo safi ya utaftaji yataonyeshwa sio kwa mfano wa kitabu cha kiada cha swali, lakini kwa iliyosafishwa:

Kichwa:Faharisi ya /Binafsi/" -majina -mafunzo -benki

Mfano mmoja wa mwisho

Mdukuzi wa kisasa anajulikana na ukweli kwamba anajipatia kila kitu anachohitaji peke yake. Kwa mfano, VPN ni jambo rahisi, lakini ni ghali, au la muda na kwa vikwazo. Kujiandikisha kwa ajili ya usajili ni ghali sana. Ni vyema kuwa kuna usajili wa kikundi, na kwa usaidizi wa Google ni rahisi kuwa sehemu ya kikundi. Ili kufanya hivyo, pata tu faili ya usanidi Cisco VPN, ambayo ina kiendelezi kisicho cha kawaida cha PCF na njia inayotambulika: Programu Files\Cisco Systems\VPN Client\Profiles. Ombi moja na unajiunga, kwa mfano, timu ya kirafiki ya Chuo Kikuu cha Bonn.

Aina ya faili: pcf vpn AU Kikundi

HABARI

Google hupata faili za usanidi wa nenosiri, lakini nyingi zao zimesimbwa kwa njia fiche au kubadilishwa na heshi. Ikiwa utaona kamba za urefu uliowekwa, basi utafute mara moja huduma ya usimbuaji.

Nenosiri huhifadhiwa kwa njia fiche, lakini Maurice Massard tayari ameandika mpango wa kusimbua na kutoa bila malipo kupitia thecampusgeeks.com.

Katika Usaidizi wa Google mamia wanauawa aina tofauti mashambulizi na vipimo vya kupenya. Kuna chaguzi nyingi zinazoathiri programu maarufu, miundo msingi ya hifadhidata, nyingi Udhaifu wa PHP, mawingu na kadhalika. Kujua hasa unachotafuta kutarahisisha zaidi kupata maelezo unayohitaji (hasa maelezo ambayo hukukusudia kuyaweka hadharani). Shodan sio pekee anayelisha mawazo ya kuvutia, lakini hifadhidata yoyote ya rasilimali za mtandao zilizoorodheshwa!

Hakika umesikia zaidi ya mara moja kuhusu injini ya utafutaji ya ajabu kama Google. Nadhani umeitumia zaidi ya mara moja ulipotaka kujua jambo. Lakini umepata ulichotaka? Ukitafuta majibu kwenye Google mara nyingi kama mimi, nadhani utapata makala hii kuwa muhimu kwa sababu imeundwa ili kufanya utafutaji wako kwa haraka na ufanisi zaidi. Kwa hivyo, kwanza, historia kidogo ...

Google ni upotovu wa neno la Kiingereza "googol", lililotungwa na Milton Sirotta, mpwa wa mwanahisabati wa Marekani Edward Kaiser, kuashiria nambari inayojumuisha sufuri mia moja na mia moja. Sasa jina Google ni kiongozi wa injini za utafutaji za mtandao, zilizotengenezwa na Google Inc.

Google inachukua zaidi ya 70% ya soko la kimataifa, ambayo ina maana kwamba watu saba kati ya kumi mtandaoni hugeuka kwenye ukurasa wake wakati wa kutafuta taarifa kwenye mtandao. Kwa sasa inasajili takriban maswali milioni 50 ya utafutaji kila siku na kuorodhesha zaidi ya kurasa bilioni 8 za wavuti. Google inaweza kupata taarifa katika lugha 101. Google mwishoni mwa Agosti 2004 ilikuwa na mashine 132,000 zilizoko sehemu tofauti za sayari.

Google hutumia mbinu mahiri za uchanganuzi wa maandishi ili kupata kurasa muhimu lakini zinazofaa kwa hoja yako. Ili kufanya hivyo, Google huchanganua sio tu ukurasa wenyewe unaolingana na swali, lakini pia kurasa zinazounganishwa ili kubaini thamani ya ukurasa huo kwa madhumuni ya hoja yako. Google pia inapendelea kurasa ambazo maneno muhimu unayoingiza yanakaribiana.

Kiolesura cha Google kina mengi sana Lugha ngumu maswali, hukuruhusu kupunguza upeo wa utafutaji kwa vikoa maalum, lugha, aina za faili, n.k. Matumizi ya baadhi ya waendeshaji wa lugha hii hukuruhusu kufanya mchakato wa kutafuta taarifa muhimu kuwa rahisi na sahihi zaidi. Hebu tuangalie baadhi yao.

"NA" ya kimantiki:
Kwa chaguo-msingi, unapoandika maneno ya swali yaliyotenganishwa na nafasi, Google hutafuta hati zilizo na maneno yote ya swali. Hii inalingana na opereta NA. Wale. nafasi ni sawa na opereta AND.

Kwa mfano:
Paka mbwa kasuku pundamilia
Paka NA mbwa NA kasuku NA pundamilia
(maswali yote mawili ni sawa)

Mantiki "AU" (AU):
Imeandikwa kwa kutumia Opereta AU. Tafadhali kumbuka kuwa Opereta AU lazima iandikwe kwa herufi kubwa. Hivi karibuni, iliwezekana kuandika "AU" ya kimantiki kwa namna ya bar ya wima (|), sawa na jinsi inafanywa katika Yandex. Inatumika kutafuta na chaguzi kadhaa kwa habari inayohitajika.

Kwa mfano:
Dachshunds wenye nywele ndefu AU wenye nywele laini
Dachshunds wenye nywele ndefu | mwenye nywele laini
(maswali yote mawili ni sawa)

Tafadhali kumbuka kuwa hoja za Google si nyeti kwa ukubwa! Wale. hoja za Greenland Island na Greenland Island zitakuwa sawa kabisa.

Opereta "Plus" (+):
Kuna hali wakati unahitaji kuingiza kwa nguvu katika maandishi neno ambalo linaweza kuwa na tahajia tofauti. Ili kufanya hivyo, tumia opereta "+" kabla ya neno linalohitajika. Wacha tuseme ikiwa tuna swali la Home Alone I, kama matokeo ya swali tutakuwa na habari zisizo za lazima kuhusu "Home Alone II", "Home Alone III" na kidogo sana kuhusu "Home Alone I". Ikiwa tuna swali la fomu ya Home Alone +I, matokeo yatakuwa na taarifa tu kuhusu filamu "Home Alone I".

Kwa mfano:
Gazeti + Zarya
Mlinganyo wa Bernoulli + hisabati

Ukiondoa maneno kutoka kwa swali. Mantiki SI (-):
Kama unavyojua, takataka za habari mara nyingi hukutana wakati wa kuunda ombi. Ili kuiondoa, waendeshaji wa kutengwa hutumiwa kama kawaida - "NOT" ya kimantiki. Katika Google, opereta huyu anawakilishwa na ishara ya kuondoa. Kwa kutumia opereta huyu, unaweza kuwatenga kutoka kwa matokeo ya utafutaji kurasa hizo ambazo zina maneno fulani katika maandishi. Inatumika kama opereta "+" kabla ya neno lililotengwa.

Kwa mfano:
Crane vizuri-ndege
Nafsi Zilizokufa - riwaya

Tafuta kishazi halisi (""):
Katika mazoezi, kutafuta maneno halisi inahitajika ama kutafuta maandishi ya kazi fulani, au kutafuta bidhaa maalum au makampuni ambayo jina au sehemu ya maelezo ni maneno yanayorudiwa mara kwa mara. Ili kukabiliana na kazi hii kwa kutumia Google, unahitaji kuambatanisha hoja katika alama za nukuu (maana yake. nukuu mara mbili, ambayo hutumiwa, kwa mfano, kuonyesha hotuba ya moja kwa moja).

Kwa mfano:
Kazi "Don Kimya"
"Kulikuwa na baridi nje, ingawa hii haikumzuia Boris kutekeleza mipango yake"

Kwa njia, Google hukuruhusu kuingiza si zaidi ya maneno 32 kwenye upau wa hoja!

Ukataji wa maneno (*):
Wakati mwingine unahitaji kutafuta habari kuhusu mchanganyiko wa neno ambalo neno moja au zaidi haijulikani. Kwa madhumuni haya, badala ya maneno yasiyojulikana, operator "*" hutumiwa. Wale. "*" - neno lolote au kikundi cha maneno.

Kwa mfano:
Mwalimu na *
Leonardo * Vinci

opereta kache:
Injini ya utaftaji huhifadhi toleo la maandishi ambayo yameorodheshwa na buibui wa utaftaji katika muundo maalum wa uhifadhi unaoitwa cache. Toleo la kache la ukurasa linaweza kurejeshwa ikiwa ukurasa asili haupatikani (kwa mfano, seva ambayo umehifadhiwa iko chini). Ukurasa uliohifadhiwa unaonyeshwa kama unavyohifadhiwa kwenye hifadhidata injini ya utafutaji na inaambatana na arifa iliyo juu ya ukurasa inayosema kuwa huu ni ukurasa ulioakibishwa. Pia ina taarifa kuhusu wakati toleo la kache lilipoundwa. Kwenye ukurasa kutoka kwa kache, maneno muhimu ya swala yanasisitizwa, na kila neno limeangaziwa kwa rangi tofauti kwa urahisi wa mtumiaji. Unaweza kuunda ombi ambalo litarejesha mara moja toleo la kache la ukurasa na anwani maalum: cache: page_address, ambapo badala ya "page_address" ni anwani ya ukurasa iliyohifadhiwa kwenye cache. Ikiwa unahitaji kupata taarifa yoyote katika ukurasa ulioakibishwa, unahitaji kuandika ombi la habari hii likitenganishwa na nafasi baada ya anwani ya ukurasa.

Kwa mfano:
kache: www.bsd.com
kache: www.knights.ru mashindano

Lazima tukumbuke kwamba haipaswi kuwa na nafasi kati ya ":" na anwani ya ukurasa!

Opereta ya aina ya faili:
Kama unavyojua, Google haiongezi tu kurasa za html. Ikiwa, kwa mfano, ulihitaji kupata habari fulani mahali pengine isipokuwa aina ya html faili, unaweza kutumia opereta ya faili, ambayo hukuruhusu kutafuta habari ndani aina fulani faili (html, pdf, hati, rtf...).

Kwa mfano:
Uainishaji wa aina ya faili ya html:pdf
Insha filetype:rtf

Maelezo ya Opereta:
Opereta wa maelezo hukuruhusu kuona maelezo ambayo Google inajua kuhusu ukurasa huu.

Kwa mfano:
habari: www.wiches.ru
habari:www.food.healthy.com

Opereta wa tovuti:
Opereta huyu anawekea kikomo utafutaji kwa kikoa au tovuti maalum. Hiyo ni, ikiwa unatoa ombi: tovuti ya akili ya uuzaji: www.acfor-tc.ru, basi matokeo yatapatikana kutoka kwa kurasa zilizo na maneno "masoko" na "akili" kwenye tovuti "acfor-tc.ru" na sio kwenye sehemu zingine za Mtandao.

Kwa mfano:
Tovuti ya muziki: www.music.su
Tovuti ya vitabu: ru

Unganisha opereta:
Opereta huyu hukuruhusu kuona kurasa zote zinazounganisha kwenye ukurasa ambao ombi lilifanywa. Kwa hivyo, kiungo cha ombi:www.google.com kitarudisha kurasa zilizo na viungo kwa google.com.

Kwa mfano:
kiungo: www.ozone.com
Kiungo cha marafiki: www.happylife.ru

mwendeshaji wa allintitle:
Ukianzisha swali na opereta wa allintitle, ambayo hutafsiriwa kama "kila kitu kiko kwenye kichwa," basi Google itarejesha maandishi ambayo maneno yote ya swali yamo kwenye mada (ndani ya lebo ya TITLE katika HTML).

Kwa mfano:
allintitle: Programu ya bure
allintitle: Pakua albamu za muziki

opereta wa kichwa:
Inaonyesha kurasa ambazo neno pekee mara tu baada ya opereta intitle liko kwenye kichwa, na maneno mengine yote ya swali yanaweza kuwa popote kwenye maandishi. Kuweka opereta ya intitle kabla ya kila neno la swali ni sawa na kutumia opereta ya allintitle.

Kwa mfano:
Mada ya programu: Pakua
kichwa: Kichwa cha bure: programu ya kupakua

mwendeshaji wa allinurl:
Ikiwa swala huanza na operator wa allinurl, basi utafutaji ni mdogo kwa nyaraka hizo ambazo maneno yote ya swala yanajumuisha tu kwenye anwani ya ukurasa, yaani, katika url.

Kwa mfano:
allinurl:michezo ya rus
allinurl:vitabu fantasy

mwendeshaji wa inurl:
Neno ambalo liko moja kwa moja na opereta wa inurl litapatikana tu kwenye anwani ya ukurasa wa wavuti, na maneno yaliyobaki yatapatikana popote kwenye ukurasa kama huo.

Kwa mfano:
inurl:vitabu pakua
inurl:michezo ufa

Opereta inayohusiana:
Opereta huyu anaelezea kurasa ambazo "zinafanana" na zingine ukurasa maalum. Kwa hivyo, swali linalohusiana:www.google.com litarudisha kurasa zilizo na mada sawa kwa Google.

Kwa mfano:
kuhusiana: www.ozone.com
kuhusiana: www.nnm.ru

Taarifa ya ufafanuzi:
Opereta huyu hufanya kama aina ya kamusi ya ufafanuzi, ambayo inakuwezesha kupata haraka ufafanuzi wa neno ambalo limeingia baada ya operator.

Kwa mfano:
fafanua: Kangaroo
fafanua: Ubao wa mama

Opereta wa utafutaji wa kisawe (~):
Ikiwa unataka kupata maandishi yaliyo na sio maneno yako tu, lakini pia visawe vyake, basi unaweza kutumia opereta "~" kabla ya neno ambalo unataka kupata visawe.

Kwa mfano:
Aina za ~metamorphoses
~Mwelekeo wa kitu

Opereta wa safu (..):
Kwa wale ambao wanapaswa kufanya kazi na nambari, Google imewezesha kutafuta masafa kati ya nambari. Ili kupata kurasa zote zilizo na nambari katika safu fulani "kutoka - hadi", unahitaji kuweka nukta mbili (..) kati ya maadili haya yaliyokithiri, ambayo ni, opereta wa masafa.

Kwa mfano:
Nunua kitabu $100..$150
Idadi ya watu 1913..1935

Hawa ndio waendeshaji wote wa lugha ya swali la Google ninaowajua. Natumaini kwa namna fulani watafanya mchakato wa kupata taarifa unayohitaji kuwa rahisi. Kwa hali yoyote, mimi huzitumia mara nyingi sana na ninaweza kusema kwa ujasiri kwamba wakati wa kuzitumia mimi hutumia muda kidogo sana kutafuta kuliko bila wao.

Bahati njema! Na Nguvu iwe pamoja nawe.

Lebo: tafuta, waendeshaji, Google

Na leo nitakuambia kuhusu injini nyingine ya utafutaji ambayo hutumiwa na pentesters / hackers - Google, au kwa usahihi zaidi kuhusu uwezo wa siri wa Google.

Google Dorks ni nini?

Google Dork au Google Dork Queries (GDQ) ni seti ya maswali ya kutambua mashimo mabaya zaidi ya usalama. Kitu chochote ambacho hakijafichwa ipasavyo kutoka kwa roboti za utafutaji.

Kwa ufupi, maombi kama haya yanaitwa Google dorks au dorks tu, kama vile wasimamizi ambao rasilimali zao zilidukuliwa kwa kutumia GDQ.

Google Operators

Kuanza, ningependa kutoa orodha ndogo ya muhimu Timu za Google. Miongoni mwa amri zote za utafutaji wa juu wa Google, tunavutiwa zaidi na hizi nne:

• tovuti - tafuta kwenye tovuti maalum;
• inurl - zinaonyesha kuwa maneno yaliyotafutwa yanapaswa kuwa sehemu ya anwani ya ukurasa/tovuti;
• intitle - tafuta operator katika kichwa cha ukurasa yenyewe;
• ext au filetype - tafuta faili za aina maalum kwa kiendelezi.

Pia, wakati wa kuunda Dork, unahitaji kujua waendeshaji kadhaa muhimu, ambao wanatajwa na wahusika maalum.

• | - Opereta AU, pia inajulikana kama kufyeka wima (mantiki au), inaonyesha kuwa unahitaji kuonyesha matokeo yaliyo na angalau moja ya maneno yaliyoorodheshwa katika hoja.
• "" - Opereta wa nukuu anaonyesha inayolingana kabisa.
• — - kiendesha minus hutumika kuwatenga kutoka kwa kuonyesha matokeo na maneno yaliyobainishwa baada ya kutoa.
• * - kiashiria cha nyota au kinyota hutumika kama kinyago na humaanisha "chochote."

Mahali pa kupata Google Dorky

Dork za kuvutia zaidi ni zile safi, na zile safi zaidi ni zile ambazo pentester alijikuta. Kweli, ikiwa utachukuliwa sana na majaribio, utapigwa marufuku kutoka kwa Google ... kabla ya kuingia captcha.

Ikiwa huna mawazo ya kutosha, unaweza kujaribu kupata dorks safi kwenye mtandao. Tovuti bora ya kupata dorks ni Exploit-DB.

Huduma ya mtandaoni ya Exploit-DB ni mradi wa Usalama wa Kukera usio wa faida. Ikiwa mtu hajui, kampuni hii kushiriki katika mafunzo katika uwanja huo usalama wa habari, na pia hutoa huduma za pentesting (upimaji wa kupenya).

Hifadhidata ya Exploit-DB ina idadi kubwa ya dorks na udhaifu. Ili kutafuta dorks, nenda kwenye tovuti na uende kwenye kichupo cha "Google Hacking Database".

Hifadhidata inasasishwa kila siku. Juu unaweza kupata nyongeza za hivi karibuni. Upande wa kushoto ni tarehe ambayo dork iliongezwa, jina na kategoria.

Tovuti ya Exploit-DB

Chini utapata dorks zilizopangwa kwa kategoria.

Tovuti ya Exploit-DB
Tovuti ya Exploit-DB

Tovuti nyingine nzuri ni. Huko mara nyingi unaweza kupata dorks za kuvutia, mpya ambazo haziishii kwenye Exploit-DB.

Mifano ya kutumia Google Dorks

Hapa kuna mifano ya dorks. Unapojaribu na dorks, usisahau kuhusu kanusho!

Nyenzo hii ni kwa madhumuni ya habari tu. Inashughulikiwa kwa wataalamu wa usalama wa habari na wale wanaopanga kuwa moja. Taarifa iliyotolewa katika makala hii imetolewa kwa madhumuni ya habari tu. Wahariri wa tovuti www.site wala mwandishi wa chapisho hawawajibiki kwa madhara yoyote yanayosababishwa na nyenzo katika makala hii.

Milango ya kupata shida za wavuti

Wakati mwingine ni muhimu kusoma muundo wa tovuti kwa kupata orodha ya faili juu yake. Ikiwa tovuti inafanywa kwenye injini ya WordPress, basi faili ya repair.php huhifadhi majina ya maandiko mengine ya PHP.

Lebo ya inurl inaiambia Google itafute neno la kwanza kwenye mwili wa kiungo. Ikiwa tungeandika allinurl, utafutaji ungetokea katika sehemu nzima ya kiungo, na matokeo ya utafutaji yangekuwa na vitu vingi zaidi. Kwa hivyo, inatosha kufanya ombi kama hili:

inurl:/maint/repair.php?repair=1

Kwa matokeo, utapokea orodha ya tovuti za WP ambazo muundo wake unaweza kutazamwa kupitia repair.php.

Kusoma muundo wa tovuti kwenye WP

WordPress husababisha shida nyingi kwa wasimamizi walio na makosa ya usanidi ambayo hayajagunduliwa. Kutoka kwa logi iliyo wazi unaweza kujua angalau majina ya maandishi na faili zilizopakuliwa.

inurl:"wp-content/uploads/file-manager/log.txt"

Katika majaribio yetu ombi rahisi iliniruhusu kupata kiunga cha moja kwa moja cha chelezo kwenye logi na kuipakua.

Kupata habari muhimu katika kumbukumbu za WP

Mengi ya habari muhimu inaweza kutolewa kutoka kwa magogo. Inatosha kujua jinsi wanavyoonekana na jinsi wanavyotofautiana na wingi wa faili nyingine. Kwa mfano, kiolesura cha hifadhidata huria kinachoitwa pgAdmin huunda faili ya huduma pgadmin.log. Mara nyingi huwa na majina ya watumiaji, majina ya safu ya hifadhidata, anwani za ndani, na kadhalika.

Logi hupatikana na swali rahisi:

ext:logi inurl:"/pgadmin"

Kuna maoni kwamba chanzo wazi- hii ni kanuni salama. Walakini, uwazi wa nambari za chanzo yenyewe inamaanisha fursa ya kuzichunguza, na malengo ya utafiti kama huo sio nzuri kila wakati.

Kwa mfano, Toleo la Kawaida la Symfony ni maarufu miongoni mwa mifumo ya kutengeneza programu za wavuti. Inapotumwa, hutengeneza kiotomatiki faili ya parameters.yml kwenye saraka /app/config/, ambapo huhifadhi jina la hifadhidata, pamoja na kuingia na nenosiri.

Unaweza kupata faili hii kwa kutumia swali lifuatalo:

inurl:app/config/ intext:parameters.yml intitle:index.of

f Faili nyingine iliyo na nywila

Kwa kweli, nenosiri linaweza kubadilishwa, lakini mara nyingi linabaki sawa na lilivyowekwa katika hatua ya kupelekwa.

Zana ya kivinjari ya UniFi API ya chanzo huria inazidi kutumika katika mazingira ya shirika. Inatumika kusimamia sehemu mitandao isiyo na waya, iliyoundwa kwa kanuni ya "Wi-Fi imefumwa". Hiyo ni, katika mpango wa kupeleka mtandao wa biashara ambayo pointi nyingi za kufikia zinadhibitiwa kutoka kwa mtawala mmoja.

Huduma imeundwa ili kuonyesha data iliyoombwa kupitia API ya UniFi Controller ya Ubiquiti. Kwa msaada wake, ni rahisi kuona takwimu, taarifa kuhusu wateja waliounganishwa, na taarifa nyingine kuhusu uendeshaji wa seva kupitia UniFi API.

Msanidi programu anaonya kwa uaminifu: “Tafadhali kumbuka zana hii inafichua MENGI YA habari inayopatikana katika kidhibiti chako, kwa hivyo unapaswa kuzuia ufikiaji wake kwa njia fulani! Hakuna vidhibiti vya usalama vilivyojengwa ndani ya zana ... ". Lakini watu wengi hawaonekani kuchukua maonyo haya kwa uzito.

Kujua kuhusu kipengele hiki na kuuliza swali lingine maalum, utaona data nyingi za huduma, ikiwa ni pamoja na funguo za programu na manenosiri.

inurl:"/api/index.php" mada:UniFi

Sheria ya jumla ya utafutaji: kwanza tunaamua maneno maalum zaidi ambayo yanabainisha lengo lililochaguliwa. Ikiwa hii ni faili ya logi, basi ni nini kinachoitofautisha na magogo mengine? Ikiwa hii ni faili iliyo na nywila, basi inaweza kuhifadhiwa wapi na kwa fomu gani? Maneno ya alama hupatikana kila mara katika sehemu fulani maalum - kwa mfano, katika kichwa cha ukurasa wa wavuti au anwani yake. Kwa kupunguza eneo la utafutaji na kubainisha alama sahihi, utapata mbichi matokeo ya utafutaji. Kisha uitakase kwa uchafu, ukifafanua ombi.

Milango ya kutafuta NAS iliyofunguliwa

Nyumbani na ofisini hifadhi ya mtandao ni maarufu sasa. Kazi ya NAS inaungwa mkono na wengi anatoa za nje na ruta. Wamiliki wao wengi hawajishughulishi na usalama na hata hawabadilishi nenosiri chaguo-msingi kama vile admin/admin. Unaweza kupata NAS maarufu kwa majina ya kawaida ya kurasa zao za wavuti. Kwa mfano, ombi:

kichwa:"Karibu QNAP Turbo NAS"

itaonyesha orodha ya IP za NAS zilizotengenezwa na QNAP. Kilichobaki ni kumpata aliye dhaifu miongoni mwao.

Huduma ya wingu ya QNAP (kama wengine wengi) ina kazi ya kutoa kushiriki faili kupitia kiungo cha faragha. Tatizo ni kwamba si kwamba imefungwa.

inurl:share.cgi?ssid=

Inatafuta faili zilizoshirikiwa

Hoja hii rahisi inaonyesha faili zilizoshirikiwa kupitia wingu la QNAP. Wanaweza kutazamwa moja kwa moja kutoka kwa kivinjari au kupakuliwa kwa maelezo zaidi.

Milango ya kutafuta kamera za IP, seva za media na paneli za msimamizi wa wavuti

Mbali na NAS, ukiwa na hoja za kina za Google unaweza kupata nyingine nyingi vifaa vya mtandao na udhibiti kupitia kiolesura cha wavuti.

Njia ya kawaida ya kufanya hivi ni hati za CGI, kwa hivyo faili kuu ya cgi ni lengo linaloahidi. Hata hivyo, anaweza kukutana popote, hivyo ni bora kufafanua ombi.

Kwa mfano, kwa kuongeza simu ya kawaida kwake?next_file. Kama matokeo, tunapata dork kama:

inurl:"img/main.cgi?next_file"

Mbali na kamera, kuna seva za midia vile vile ambazo ziko wazi kwa mtu yeyote na kila mtu. Hii ni kweli hasa kwa seva za Twonky zinazotengenezwa na Lynx Technology. Wana jina linalotambulika sana na bandari chaguo-msingi 9000.

Kwa matokeo safi ya utaftaji, ni bora kuashiria nambari ya bandari kwenye URL na kuitenga kutoka kwa sehemu ya maandishi ya kurasa za wavuti. Ombi huchukua fomu

intitle:"twonky server" inurl:"9000" -intext:"9000"

Maktaba ya video kwa mwaka

Kwa kawaida, seva ya Twonky ni maktaba kubwa ya midia inayoshiriki maudhui kupitia UPnP. Uidhinishaji kwao mara nyingi huzimwa "kwa urahisi."

Milango ya kutafuta udhaifu

Data kubwa ni neno gumzo sasa: inaaminika kuwa ikiwa utaongeza Data Kubwa kwa chochote, itaanza kufanya kazi vizuri zaidi. Kwa kweli, kuna wataalam wachache sana juu ya mada hii, na kwa usanidi chaguo-msingi, data kubwa husababisha udhaifu mkubwa.

Hadoop ni mojawapo ya njia rahisi zaidi za kuhatarisha tera- na hata petabytes za data. Jukwaa hili la chanzo-wazi lina vichwa vinavyojulikana, nambari za mlango na kurasa za huduma ambazo hurahisisha kupata nodi zinazodhibiti.

kichwa:"Maelezo ya namenode" NA inurl:":50070/dfshealth.html"

Data Kubwa? Udhaifu mkubwa!

Kwa swali hili la muunganisho tunapata matokeo ya utafutaji na orodha ya mifumo hatarishi inayotegemea Hadoop. Unaweza kutembea moja kwa moja kutoka kwa kivinjari chako mfumo wa faili HDFS na kupakua faili yoyote.

Google Dorks ni zana yenye nguvu kwa kijaribu chochote cha kupenya, ambacho sio tu mtaalamu wa usalama wa habari, lakini pia mtumiaji wa kawaida wa mtandao anapaswa kujua.

Ni muhimu kwa kampuni yoyote kulinda data za siri. Kuvuja kwa logi za mteja na nywila au kupoteza faili za mfumo, iliyopangishwa kwenye seva, haiwezi tu kujumuisha hasara za kifedha, lakini pia kuharibu sifa ya shirika linaloonekana kutegemewa zaidi. Mwandishi wa makala - Vadim Kulish.

Kuzingatia kila kitu hatari zinazowezekana, makampuni yanatekeleza teknolojia za hivi karibuni na kutumia kiasi kikubwa cha pesa kujaribu kuzuia ufikiaji usioidhinishwa wa data muhimu.
Hata hivyo, umewahi kufikiri kwamba pamoja na ngumu na iliyoundwa vizuri mashambulizi ya hacker, zipo njia rahisi gundua faili ambazo hazijalindwa kwa uhakika. Ni kuhusu kuhusu waendeshaji utafutaji-maneno yaliyoongezwa kwa hoja za utafutaji ili kutoa matokeo sahihi zaidi. Lakini mambo ya kwanza kwanza.

Kuvinjari mtandao haiwezekani kufikiria bila injini za utaftaji kama vile Google, Yandex, Bing na huduma zingine za aina hii. Injini ya utafutaji inaashiria tovuti nyingi kwenye mtandao. Wanafanya hivyo kwa usaidizi wa roboti za utaftaji ambazo huchakata idadi kubwa ya data na kuifanya kutafutwa.

Waendeshaji Watafutaji Maarufu wa Google

Kutumia waendeshaji wafuatao hukuruhusu kufanya mchakato wa kutafuta habari muhimu kuwa sahihi zaidi:

* tovuti: inaweka kikomo utafutaji kwa rasilimali mahususi

Mfano: ombi tovuti:mfano.com utapata taarifa zote Google inayo kwa mfano.com.

* filetype: hukuruhusu kutafuta habari katika aina fulani ya faili

Mfano: ombi itaonyesha orodha nzima ya faili kwenye tovuti ambazo zipo kwenye injini ya utafutaji ya Google.

* inurl: - tafuta katika rasilimali URL

Mfano: ombi tovuti:example.com inurl:admin- hutafuta jopo la utawala kwenye tovuti.

* kichwa: - tafuta katika kichwa cha ukurasa

Mfano: ombi tovuti: mfano.com mada: "Index of"- hutafuta kurasa kwenye example.com na orodha ya faili ndani

* kache: - tafuta kwenye kache ya Google

Mfano: ombi cache:example.com itarudisha kurasa zote za rasilimali ya example.com iliyohifadhiwa kwenye mfumo

Kwa bahati mbaya, tafuta roboti hawajui jinsi ya kuamua aina na kiwango cha usiri wa habari. Kwa hivyo, wanashughulikia kwa usawa nakala ya blogi, ambayo imekusudiwa wasomaji anuwai, na hifadhidata ya hifadhidata, ambayo imehifadhiwa kwenye saraka ya mizizi ya seva ya wavuti na haiwezi kutumiwa na watu wasioidhinishwa.

Shukrani kwa kipengele hiki, pamoja na kutumia waendeshaji wa utafutaji, washambuliaji wanaweza kugundua udhaifu wa rasilimali za wavuti, uvujaji wa taarifa mbalimbali (chelezo na ujumbe wa hitilafu ya programu ya wavuti), rasilimali zilizofichwa, kama vile paneli za usimamizi wazi, bila uthibitishaji na taratibu za uidhinishaji.

Ni data gani nyeti inayoweza kupatikana mtandaoni?

Tafadhali fahamu kuwa maelezo ambayo yanaweza kugunduliwa na injini tafuti na yanaweza kuwa ya manufaa kwa wadukuzi ni pamoja na:

* Vikoa vya kiwango cha tatu cha rasilimali iliyotafitiwa

Vikoa vya kiwango cha tatu vinaweza kugunduliwa kwa kutumia neno "tovuti:". Kwa mfano, ombi kama tovuti:*.example.com itaorodhesha vikoa vyote vya kiwango cha 3 kwa mfano.com. Maswali kama haya hukuruhusu kugundua rasilimali zilizofichwa za usimamizi, udhibiti wa toleo na mifumo ya kusanyiko, pamoja na programu zingine ambazo zina kiolesura cha wavuti.

* Faili zilizofichwa kwenye seva

Sehemu mbalimbali za programu ya wavuti zinaweza kuonekana katika matokeo ya utafutaji. Ili kupata yao, unaweza kutumia swala filetype:php site:example.com. Hii hukuruhusu kugundua utendakazi ambao haukupatikana hapo awali katika programu, pamoja na habari mbalimbali kuhusu utendakazi wa programu.

* Hifadhi rudufu

Ili kutafuta nakala rudufu, tumia aina ya faili: neno kuu. Viendelezi mbalimbali vya faili hutumiwa kuhifadhi nakala, lakini viendelezi vinavyotumika sana ni bak, tar.gz, na sql. Ombi la mfano: tovuti:*.example.com filetype:sql. Hifadhi rudufu mara nyingi huwa na kumbukumbu na nywila za violesura vya kiutawala, pamoja na data ya mtumiaji na msimbo wa chanzo cha tovuti.

* Hitilafu za programu ya wavuti

Maandishi ya makosa yanaweza kujumuisha taarifa mbalimbali kuhusu vipengele vya mfumo maombi (seva ya wavuti, hifadhidata, jukwaa la programu ya wavuti). Habari kama hiyo huwa ya kuvutia sana wadukuzi, kwani inawaruhusu kupata taarifa zaidi kuhusu mfumo unaoshambuliwa na kuboresha mashambulizi yao kwenye rasilimali. Ombi la mfano: site:example.com "onyo" "kosa".

* Ingia na nywila

Kama matokeo ya kudukua programu ya wavuti, data ya mtumiaji wa huduma hii inaweza kuonekana kwenye mtandao. Ombi filetype:txt "ingia" "nenosiri" hukuruhusu kupata faili zilizo na kumbukumbu na nywila. Kwa njia hiyo hiyo, unaweza kuangalia ikiwa barua pepe yako au akaunti yoyote imedukuliwa. Fanya ombi tu filetype:txtmtumiaji_jina_au_barua pepe_".

Mchanganyiko wa maneno muhimu na kamba za utafutaji zinazotumiwa kutambua taarifa nyeti huitwa Google Dorks.

Wataalamu wa Google wamezikusanya katika hifadhidata yao ya umma ya Hifadhidata ya Udukuzi wa Google. Hii inaruhusu mwakilishi wa kampuni, awe Mkurugenzi Mtendaji, msanidi programu au msimamizi wa tovuti, kutekeleza hoja katika injini ya utafutaji na kubainisha jinsi data muhimu inalindwa. Dorks zote zimegawanywa katika makundi ili kurahisisha utafutaji.

Msaada unahitajika? Agiza mashauriano na wataalamu wa upimaji usalama wa a1qa.

Jinsi Google Dorks walivyoingiza historia ya udukuzi

Hatimaye, hii ni mifano michache ya jinsi Google Dorks ilivyosaidia washambuliaji kupata taarifa muhimu lakini zisizotegemewa:

Uchunguzi kifani #1. Uvujaji wa nyaraka za siri kwenye tovuti ya benki

Kama sehemu ya uchambuzi wa usalama wa tovuti rasmi ya benki, idadi kubwa ya hati za PDF ziligunduliwa. Hati zote zilipatikana kwa kutumia hoja "site:site:bank-site filetype:pdf". Yaliyomo kwenye hati yaligeuka kuwa ya kupendeza, kwani yalikuwa na mipango ya majengo ambayo matawi ya benki yalikuwako nchini kote. Habari hii itakuwa ya manufaa makubwa kwa wezi wa benki.

Uchunguzi kifani #2. Tafuta data ya kadi ya malipo

Mara nyingi sana, maduka ya mtandaoni yanapodukuliwa, wavamizi hupata ufikiaji wa data ya kadi ya malipo ya mtumiaji. Ili kupanga ufikiaji wa pamoja wa data hii, wavamizi hutumia huduma za umma ambazo zimeorodheshwa na Google. Ombi la mfano: "Nambari ya Kadi" "Tarehe ya Mwisho wa Muda" "Aina ya Kadi" filetype:txt.

Walakini, haupaswi kujizuia kwa ukaguzi wa kimsingi. Amini a1qa kwa tathmini ya kina ya bidhaa yako. Baada ya yote, wizi wa data ni nafuu kuzuia kuliko kuondoa matokeo.