Jump to content
zbeng

Cautare avansata pe Internet folosind motorul de cautare Goo

Recommended Posts

Posted

n ultimii ani au aparut pe Internet articole despre hackeri care s-au folosit de motorul de cautare Google.com pentru a avea acces la fisiere in retea la care nu aveau acces si pe care nu trebuiau sa le vada.

Astfel de cunostiinte nu sunt ceva nou in domeniu, dar de multe ori m-am gandit chiar, cum merge un lucru ca asta.

Prin 2001 un editor de pe VNUnet, James Middleton a scris un articol in care vorbea despre hackeri care au folosit o fraza de cautare specifica pentru a gasi si mai apoi avea acces la baze de date apartinand unor banci franceze, care contineau informatii confidentiale.

Un alt articol din revista Wired.com spunea despre un hacker, care a reusit prin google.com sa aiba acces la bazele de date de pe multe site-uri ale unor corporatii importante.

Astfel de articole au continuat sa apara tot timpul in buletinele de stiri. Site-uri apartinand armatei SUA si guvernului SUA erau vulnerabile pentru ca scripturi ale adminilor puteau fi "gasite" prin Google; fisiere medicale, fisiere personale confidentiale, etc. au devenit imediat accesibile doar la un search cu Google.

Totusi majoritatea articolelor gasite pe Internet despre astfel de incidente nu prezentau informatii detaliate si exemple comcrete de fraze de cautare sau alte informatii de acest fel.

Asa ca m-am gandit sa incerc sa gasesc chiar eu astfel de referinte si sa dau exemple.

[Teoria]

Conceptul acesta este defapt destul de simplu. Un utilizator se gandeste la ce fel de date vrea sa acceseze, apoi la locuri unde acestea ar putea fi continute si dupa aceea el doar cauta locurile respective.

Cel mai usor este daca vrei sa cauti ceva anume care este continut intr-un pachet software. Ai putea sa iei pachetul software respectiv, sa vezi ce tipuri de fisiere foloseste si cu acestea sunt accesate si mai apoi sa cauti cuvinte cheie care descriu optiunile din pachetul software. Astfel ai putea gasi de ex. referinte la o baza de date printr-o simpla cautare a unui string de genul "viewdbase" care ar putea fi continut de un software care administreaza baze de date. Dupa o astfel de cautare, daca ai noroc, poti gasi referinte exacte prin Google spre astfel de baze de date care pot fi accesate online.

Totul este sa stii ce vrei sa cauti exact ! Si apoi sa cauti exact dupa acel lucru sau legaturi cel putin direct cu acel lucru.

[Optiuni Google search]

-1. Comanda "Filetype": *.xls (Excel), *.doc (Word), *.pdf (PDF), *.txt (text) etc.

Google ne da voie sa cautam direct fisiere de un anumit fel, nu numai pagini html cu referinte la nume de astfel de fisiere.

Optiunea de cautare doar pentru un tip anume de fisier este:

Cautare: Filetype:@ls -(pentru fisiere Excel);

Cautare: Filetype:Doc -(pentru fisiere Word);

-2. Comanda "inURL" care ofera optiunea de a cauta dupa un anumit cuvant continut intr-un URL:

Cautare: inurl:mp3

referinte: www.mp3.com | www.mp3network.com |www.mp3world.com etc.

Dupa cum vedem Google ne va gasi referinte care contin cuvantul "mp3" in numele adresei site-ului respectiv (URL).

-3. Optiunea "Index of"

Aceasta optiune ofera referinte cu listinguri de directoare pe diverse site-uri web:

Cautare: Index of /cgi-bin

referinte: www.site1.com/cgi-bin/

Index of cgi-bin

*fisier_1

*fisier_hhdakaka

*fisier_4422

.........

De obicei pentru a gasi rezultate cat mai bune se cauta acesta comanda intre ghilimele:

Cautare: "Index of /cgi-bin"

Vor aparea mult mai multe referinte directe la listinguri de directoare, in cazul nostru directorul "cgi-bin" de pe orice server care permite accesul.

-4. Comanda "Site"

Acesta comanda cauta referinte numai intr-un anumit domeniu specificat ca argument la cautare.

Cautare: Site:ro -va afisa foarte multe referinte la site-uri apartinand domeniului .ro

Cautare: Site:1337.ro "FORUM" -va gasi in domeniul specificat "1337.ro" cuvantul "FORUM"

-5. Comanda "Intitle"

Aceasta comanda este asemanatoare cu "inurl" dar spre deosebire de aceasta, nu cauta in URL-ul unei anumite pagini si in titlul paginii un anumit cuvant cautat:

Cautare: intitle:forum -va afisa referinte care contin in titlul unei pagini cuvantul "forum".

-6. Comanda "Link"

O astfel de comanda este una dintre cele mai bune. Ea da voie unui utilizator sa caute ce alte site-uri au link-uri pe un anumit domeniu cautat. Poate oferi de exemplu referinte la pagini de logare pentru webmail, pagini de administrare remote si alte astfel de link-uri care la prima vedere nu sunt afisate pe site-ul cautat.

[Combinarea optiunilor de cautare]

Poate comenzile de mai sus, folosite separat nu vor returna referinte foarte precise. Dar dupa ce le vom combina in timpul unei cautari, atunci vom gasi rezultate mult mai bune si mai clare despre ceea ce avem de cautat.

Spre exemplu daca combinam urmatoarele comenzi in felul urmator:

Cautare: inurl:gov filetype:@ls "password"

Cautare: inurl:com "Index of" admin

vom gasi referinte la site-uri guvernamentale care ofera fisiere de tip .xls (Excel) care contin o baza de date cu parole sau in cazul 2 vom gasi referinte din domeniul .com site-uri care listeaza folderul "Admin" online.

Dupa ce combinam mai multe comenzi de mai sus in diverse moduri si cautam cuvinte de genul "passwords", "admin", "userid", "login", "secret", "private", "clients", "accounts" s.a. vom gasi destule referinte importante care duc la rezultate cel putin "interesante".

Alte idei ar fi sa folositi diverse astfel de cuvinte traduse si in alte limbi. Pe Internet sunt destule site-uri care nu folosesc numai limba engleza. Astfel se pot gasi referinte de pe tot globul la cuvantul cautat de noi.

Experimentati cat mai mult cu diverse cuvinte cheie folosite des atat de useri cat si de programe care ruleaza online. Numai astfel veti gasi rezultate dintre cele mai bune.

[Concluzie]

Internetul este o retea imensa care leaga milioane de computere si alte retele, deci am putea avea acces la o mare de servere web, ftp si alte resurse online, in cazul in care nu sunt protejate. Cel mai adesea prada ne cad serverele care au instalari de baza (default instalations) sau care nu sunt bine configurate de catre administratori. Tot timpul vor fi oameni care vor vrea sa caute lucruri interesante pe Internet si de multe ori aceste persoane chiar vor gasi ce cauta.

Ca masuri de siguranta impotriva unor astfel de cautari ar fi:

Pentru comanda "index of" se poate folosi .htacces sau mai simplu se pune o pagina de index in folderul respectiv, astfel impiedicandu-se listarea directa.

Pentru comanda "Filetype" care gaseste un anumit tip de fisiere pe o multime de site-uri web, ar trebui folosita o sesiune de autentificare pentru toate fisierele puse online, inainte de acestea sa fie accesate remote de un utilizator.

Si in general administratorii ar trebuie sa fie atenti la instalerile de baza si la configurarea optiunilor oricarui pachet software cu acces online.

In final tot timpul se vor gasi oameni curiosi sa gaseasca orice pe Internet si Google poate ajuta astfel de persoane foarte mult.

Ca sfaturi personale, atunci cand cautati pe Google.com informatii confidentiale folositi un proxy server, folositi-va imaginatia cat mai mult si sigur veti gasi ceea ce cautati.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...