Google hacking

Nu confundați cu cartea Google Hacks.

„Google hacking” (numit și „Google dorking”)^[1]^[2] este o tehnică de hacking în informatică, care utilizează motorul Google Search și alte aplicații Google pentru a găsi breșe de securitate în configurația și codul sursă al unui site web.

Conceptul „Google Hacking” datează încă din anul 2002, când Johnny Long a început să colecteze interogări interesante de căutare pe Google care descopereau sisteme vulnerabile și/sau breșe de securitate (cum ar fi neprotejarea informațiilor sensibile) - și le-a numit googleDorks.^[3]

Lista acelor googleDorks a crescut treptat într-un dicționar mare de interogări, care au fost apoi organizate în baza de date originală Google Hacking Database (GHDB)^{[nefuncțională – arhivă]} în 2004.^[4] Aceste tehnici de Google hacking au făcut subiectul unei cărți publicate de Johnny Long în 2005, intitulată Google Hacking for Penetration Testers, Volume 1.^[5]

Odată cu apariția sa, conceptele explorate în Google Hacking au fost extinse și pe alte motoare de căutare, cum ar fi Bing^[6] și Shodan.^[7] Au fost dezvoltate unelte de atac de atomatizat^[8] care folosesc dicționare de expresii de căutare spcificife pentru a găsi sisteme vulnerabile și breșe de securitate în resurse publice care au fost indexate de motoarele de căutare.

O cronologie vizuală completă referitoare la evenimentele majore din Google Hacking începând cu anul 2002 până în present a fost realizată de firma de consultanță în securitate IT Bishop Fox.^[9]

Principii de bază

Google hacking implică utilizarea unor operatori avansați în motorul de căutare Google pentru a depista string-uri specifice ale unui text în rezultatele de căutare. Unele din cele mai populare exemple sunt găsirea versiunilor specifice ale unor aplicații web vulnerabile.

De exemplu, următoarea expresie va găsi toate paginile web care conțin un text anumit: "publicat la 16 ianuarie"

Următoarea interogare va găsi toate paginile web care conțin cuvintele „admbook” și „version” în titlul site-ului, dar totodată, doar paginile web cu extensia „.php” (scrise în PHP).

intitle:admbook intitle:version filetype:php

Pot fi găsite și dispozitive connectate la Internet. De exemplu, următorul string va găsi toate camerele web publice: inurl:"ViewerFrame?Mode="

Combinația intitle:index.of urmată de cuvintele cheie dorite poate returna pagini de pe unele servere web ce conțin directorii de fișiere accesibile publicului. De exemplu, intitle:index.of mp3 va oferi în rezultate legături către directorii de pe servere web ce conțin fișiere MP3 accesibile publicului.

Operatori avansați

Descriere operatori avansați:^[10]

Operator	Scop	Îmbinare cu alți operatori?	Folosit separat?	Web	Imagini	Grupuri Google Groups	Știri
intitle	Căutare în titlul paginilor	da	da	da	da	da	da
allintitle^[11]	Căutare în titlul paginilor	nu	da	da	da	da	da
inurl	Căutare în URL	da	da	da	da	nu chiar	la fel ca intitle
allinurl	Căutare în URL	nu	da	da	da	da	la fel ca intitle
filetype	Căutare de tipuri specifice de fișiere	da	nu	da	da	nu	nu chiar
allintext	Căutare doar de text în corpul paginii	nu chiar	da	da	da	da	da
site	Căutare într-un site specific	da	da	da	da	nu	nu chiar
link	Căutare linkuri către pagini	nu	da	da	nu	nu	nu chiar
inanchor	Căutare de legături-ancoră	da	da	da	da	nu chiar	da
numrange	Căutare de numere și intervale de numere	da	da	da	nu	nu	nu chiar
daterange	Căutare în intervale de date	da	nu	da	nu chiar	nu chiar	nu chiar
author	Caută rezultate pe Google Groups după autor	da	da	nu	nu	da	nu chiar
group	Caută pe Google Groups într-un grup specific	nu chiar	da	nu	nu	da	nu chiar
insubject	Caută pe Google Groups în subiecte	da	da	la fel ca intitle	la fel ca intitle	da	la fel ca intitle

Referințe

^ Term Of The Day: Google Dorking - Business Insider
^ Google dork query, techtarget.com
^ „googleDorks created by Johnny Long”. Johnny Long. Arhivat din original la 8 decembrie 2002. Accesat în 8 decembrie 2002.
^ „Google Hacking Database (GHDB) in 2004”. Johnny Long. Arhivat din original în 7 iulie 2007. Accesat în 5 octombrie 2004. Mentenanță CS1: URL impropriu (link)
^ „Google Hacking for Penetration Testers, Volume 1”. Johnny Long. Accesat în 20 februarie 2005.
^ „Bing Hacking Database (BHDB) v2”. Bishop Fox. Accesat în 27 august 2014.
^ „Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite”. Bishop Fox. Accesat în 21 iunie 2013.
^ „SearchDiggity - Search Engine Attack Tool Suite”. Bishop Fox. Accesat în 27 august 2014.
^ „Google Hacking History”. Bishop Fox. Arhivat din original la 3 iunie 2019. Accesat în 27 august 2014.
^ Search Operators, googleguide.com
^ Karch, Marziah. „Allintitle Definition”. About.com. About.com. Arhivat din original la 4 martie 2016. Accesat în 6 septembrie 2015.

Legături externe

en Google Hacking Diggity Project - Bishop Fox
en Google Hacking Database (GHDB) - REBORN - 09Nov2010 Arhivat în 3 martie 2016, la Wayback Machine.
en "Google Hacking: .pdf Document", boris-koch.de (.pdf)
en "Google Help: Cheat Sheet", Google

[1] Term Of The Day: Google Dorking - Business Insider

[2] Google dork query, techtarget.com

[googleDorks2002-3] „googleDorks created by Johnny Long”. Johnny Long. Arhivat din original la 8 decembrie 2002. Accesat în 8 decembrie 2002.

[ghdb2004-4] „Google Hacking Database (GHDB) in 2004”. Johnny Long. Arhivat din original în 7 iulie 2007. Accesat în 5 octombrie 2004. Mentenanță CS1: URL impropriu (link)

[ghbook2005-5] „Google Hacking for Penetration Testers, Volume 1”. Johnny Long. Accesat în 20 februarie 2005.

[bingHackingBF-6] „Bing Hacking Database (BHDB) v2”. Bishop Fox. Accesat în 27 august 2014.

[shodanHackingDB-7] „Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite”. Bishop Fox. Accesat în 21 iunie 2013.

[searchDiggityBF-8] „SearchDiggity - Search Engine Attack Tool Suite”. Bishop Fox. Accesat în 27 august 2014.

[ghHistoryBF-9] „Google Hacking History”. Bishop Fox. Arhivat din original la 3 iunie 2019. Accesat în 27 august 2014.

[10] Search Operators, googleguide.com

[11] Karch, Marziah. „Allintitle Definition”. About.com. About.com. Arhivat din original la 4 martie 2016. Accesat în 6 septembrie 2015.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]