本空间内容都是自己的随记,转载请注明出处!
安全测试---- Google Hacking
上一篇 /
下一篇 2013-05-28 08:41:15
/ 个人分类:安全类
Google是一款功能强大的搜索引擎,能够根据robots协议抓取互联网上几乎所有页面,其中包括大量账号密码等敏感信息。google
hacking其实就是利用google搜索的语法,做一些精准的搜索
1、搜索错误的文件后缀
搜索内容 | 说明 |
site:域名 inurl:jsp.bak/php.bak | 搜索站点中是否存在后缀为jsp.bak或php.bak的文件,即,某些jsp和php的备份文件。 |
site:域名 filetype:sql | 搜索站点中是否存在SQL脚本文件 |
site:域名 inurl:log | 搜索站点中是否存在应用程序日志文件,如ftp日志、oracle日志等 |
site:域名 filetype:txt | 查找站点中是否有包含敏感信息的txt文件 |
site:域名 filetype:conf | 查找站点中是否有包含敏感信息的conf文件 |
2、查找第三方组件或者程序
搜索内容 | 说明 |
site:域名 inurl:/fckeditor/ | 搜索站点是否使用了fckeditor |
site:域名 inurl:ewebeditor | 搜索站点是否使用了eWebEditor |
3、搜索错误的配置
搜索内容 | 说明 |
site:域名 intitle:”index of /” | 搜索站点是否使用了列目录功能 |
site:域名 inurl:"examples" | 搜索站点中是否存在测试代码 |
4、搜索管理后台
搜索内容 | 说明 |
site:域名 inurl:admin site:域名 inurl:login site:域名 inurl:manage site:域名 inurl:system site:域名 inurl:console | 搜索站点是否对外开放了管理后台 |
google搜索语法说明:
语法 | 说明 |
+ | 搜索结果要求包含两个或者两个以上的关键字 |
- | 逻辑非,减号后是要排除的关键字 |
“”() | 可用来搜索完整的句子,可包括空格 |
OR(要大写)与| | 搜索结果至少包含关键字中的任意一个 |
intitle与allintitle: | 对网页标题栏的关键字查询 |
inurl与allinurl: | 查找网址链接的关键字 |
site: | 搜索结果局限于某个域名下 |
intext与allintext: | 只搜索网页body部分中包含的文字 |
filetype与ext: | 搜索某类文件 |
link: | 搜索所有链接到某个url地址的网页 |
related: | 用来搜索结构内容方面相似的网页 |
cache: | 从google缓存中搜索 |
info: | 显示与某链接相关的一系列搜索 |
相关阅读:
- 安全测试需要关注那些要点 (xin_晴, 2012-11-12)
- 漏洞检测的几种方法 (xin_晴, 2013-1-25)
- Android客户端捕获http请求包的方法 (xin_晴, 2013-1-30)
- 你没有准备好成为一个安全测试人员的前10个迹象 (xin_晴, 2013-2-07)
- 使用tamper工具进行水平权限安全漏洞测试 (xin_晴, 2013-4-16)
- 安全公开讲座渗透测试之SQL注入攻击 (xin_晴, 2013-4-18)
- 51Testing第七十一期软件测试沙龙(上海站)圆满落幕 (xin_晴, 2013-5-28)
- 安全测试概念整合 (zhuhuan2157914, 2013-5-07)
- WEB安全测试 (xin_晴, 2013-5-14)
- 浅谈反射型跨站脚本攻击的利用(转自IT专家网) (josiexue, 2013-5-15)
收藏
举报
TAG:
Google
google
安全测试
hacking