Milan Kryl

Kryl Blog - RSS

Návod jak hackovat pomocí google

15. 05. 2004 - 23:49

Na webu jsem narazil na pdf příručku honosně nazvanou The Google Hackers Guide. Příručku ve formě pdf dokumentu, který napsal člověk nazývaný Johnny Long nabízí volně ke stažení na svém webu.

Samozřejmě, že se nejedná o nějakou velice převratnou novinku, která by od data zveřejnění musela změnit chování všech správců internetových stránek na celém světě. Je ale dobré si ji aspoň zběžně prohlédnout a zjistit, co vše Google může umožňovat.

Podstata je úplně prostá. Google se při indexaci celého internetu může dostat k jakýmkoliv stránkám na webu zveřejněným. Díky tomu, že si je ukládá do zálohy pro pozdější zobrazení, je možné se k nim i později bez větších problémů dostat. A to je možné pro libovolné stránky, na které vede jeden jediný odkaz.

V dokumentu The Hackers Guide jsou uváděny nejdříve základy ovládání vyhledávání. To není nic převratného a lze je zjistit i z webu vyhledávače. Ale další informace, s tím související, dávají vyhledávání nový rozměr.

Pomocí kombinace klíčových slov pro hledání v určité doméně (site), pouze v titulku stránky (intitle), nebo v adrese stránky (inurl) a kombinací s běžnými vyhledávacími technikami (hledání frází, přidávání nebo odebírání slov pomocí operátorů + a - lze najít například servery, které nemají žádný index a zobrazují celou adresářovou strukturu webu. To ale není zdaleka vše. Autor dál pokračuje hledáním výchozích instalací webových serverů (i podle vybrané verze - jak Apache tak i IIS server, ale i mnoho dalších), které se již dají docela dobře zneužít (za předpokladu, že když administrátor neměl sílu nastavit defaultní instalaci, tak asi nebude ani pravidelně aktualizovat bezpečnostní záplaty a nebo na server úplně zapomněl a může se tam najít něco zneužitelného).

Nejen webové servery se dají pomocí googlu hledat, ale i děravé cgi skripty na serverech běžící a nebo jakékoliv jiné potencionálně děravé soubory, které vás napadnou (je to jen otázka vaší fantazie:-))

Další zajímavostí, kterou autor zmiňuje je Google Appliances. Řešení pro intranety přímo od google.com. Objednáte si počítač, který bude vytvářet takový malý google přímo u vás ve firmě. Bude vám prohledávat, indexovat a následně i vyhledávat v obrovském množství dokumentů stejně jako to dělá na internetu.

Googledorks aneb seznam všech věcí, které lze za pomoci googlu najít na internetu. Jak by člověk čekal tak na prvním místě v oblíbenosti je hledání hesel.

Takže si dávejte pozor. Citlivá data nepatří na web i když si myslíte, že na ně nevede žádný odkaz. Pokud máte někde něco důvěrnějšího, tak důsledně používejte aspoň soubor robots.txt, aby tuto část webu nezaindexoval žádný vyhledávač. A ještě lépe přímo .htaccess pro povolení přístupu jen těch strojů, které danou část mají vidět. Dávejte si pozor big brother google is watching you! 8-)

 

Tip: Krátké zprávy a zajímavosti (rychlý přístup https://kryl.info/kratce)

Související