گوگل هکینگ (Google Dorking ) چیست !؟
- کورش سنایی
- ۸ شهریور ۱۴۰۲
- 5 دقیقه
Google Dorking یا Google Hacking به تکنیکی اشاره دارد که از موتور جستجوی گوگل برای پیدا کردن اطلاعات حساس و آسیبپذیر در وب استفاده میکند. در واقع، این تکنیکها معمولاً از کلمات کلیدی و عبارات خاصی استفاده میکنند تا به اطلاعات غیرعمومی و مخفی در وب دسترسی پیدا کنند. این اطلاعات ممکن است شامل اطلاعات مرتبط با امنیت سایتها، فایلهای حساس، دسترسی به دستگاهها و موارد مشابه باشد. رفقا در واقع این اطلاعات با سرچ عادی به شما نمیاد داده نمیشه !
هک ناسا با Google Dorks
شوخی که نمیکنم, واقعا از ناسا با Google Dork آسیب پذیری زدن XD جدی میگم, این بحثو باز کردم که بهتون بگم Google Dorking خیلی مبحث مهمه بزارید دورکی که باهاش از ناسا آسیب پذیری زدن رو بهتون نشون بدم :
به متنی که در تصویر بالاست میگن یک دورک, با هدف پیدا کردن فایل هایی با پسوند .log در ساب دامنه های nasa.gov و دارای متن Server Status. بله به همین سادگی یک شخصی اومده و این دورک رو سرچ زده و یک فایلی رو پیدا کرده که لاگ های سیستم داخلش بوده و گزارش داده و خلاصه رفت توی HOF ناسا. پس دست کمش نگیرید این که HOF هم چی هست حالاا بعدا میگم ولی یجورایی مثل تالار هکر ها.
مفاهیم اصلی Google Dorking | گوگل دورکینگ چیست ؟!
- Google Dorks : عبارات جستجوی خاصی هستند که به کمک آنها میتوان به اطلاعات خاصی دسترسی یافت. برای مثال، “site:example.com password” به دنبال فایلهای حاوی رمزعبور در دامنه example.com میگردد. کلمه کلیدی این مثال “site:” هست .
- Footprinting: این فرآیند شامل جستجوی اطلاعات مرتبط با یک هدف یا سازمان میشود. با جستجوی اطلاعات مانند اسامی کارمندان، آدرسها، شمارههای تلفن، ایمیلها و غیره، اطلاعات بیشتری درباره هدف جمعآوری میشود.
- برای پیدا کردن فایلها: با استفاده از Google Dorks میتوان فایلهای حساس و آسیبپذیر مانند فایلهای پشتیبان (backup files)، فایلهای کانفیگ (configuration files) و غیره را در وب پیدا کرد. به عنوان مثال، “filetype:sql site:example.com” ممکن است به دنبال فایلهای پایگاه داده در دامنه example.com بگردد.
- برای پیدا کردن دستگاهها: این تکنیک میتواند به دستگاههای آنلاین متصل به اینترنت که دارای آسیبپذیریهای امنیتی هستند، دسترسی پیدا کند. به عنوان مثال، “inurl:/view.shtml” ممکن است به دنبال دوربینهای آنلاین با ضعف امنیتی بگردد. البته بچها یدونه intitle”Live view” هم بهش اضافه کنید نتایجتون دقیق تر میشه 🙂
- برای اطلاعات سایتها: با استفاده از این تکنیکها، میتوان به اطلاعاتی از جمله نسخههای نرمافزاری، پلاگینها، نامهای مستعار کاربران، اطلاعات مدیریت سایت و غیره نیز دسترسی پیدا کرد.
خلاصه که خیلی احتیاط کنید, چرا !؟ چون این تکنیکو افراد حرفه ای بلدن و به راحتی میتونن مواردی که شما نمیخواین دیده بشه رو پیدا کنن این میتونه یک فایل pdf حاوی لیست برای مثال دانشجویان یک دانشگاه باشه و داخل این فایل pdf نام نام خانوادگی شماره دانشجویی و کد ملی و … وجود داشته باشه که میشه استفاده های نادرست هم از این اطلاعات کرد و خوب در کل مراقب باشید. با ما در ادامه مقاله google dorking همراه باشید تا کار با این مهارت رو هم باهم دیگه یاد بگیریم .
جگونه گوگل دورک بسازیم برای کشف آسیب پذیری ؟
خوب خوب, بحث شیرین قضیه نمیدونم چقدر با من آشنا هستید ولی همیشه گفتم بهترین منبع برای یادیگری این هست که شما از Documentهای یک محصول یا راهنما های نوشته شده در مورد یک محصول استفاده کنید و خوب برای یادیگری گوگل هکینگ هم; باید این مورد رو رعایت کنیم. در واقع بهترین راه یادگیری مطالعه هست.برای شروع بهتون پیشنهاد میکنم از این وبسایت استفاده کنید.
از این شلوغیش نترسید و خیلی کامل همه چیز رو ارائه داده و هرچیزی که لازم هست بدونید رو همینجا میتونید پیدا کنید. تو همین جدول وسط دسته بندی خیلی قشنگی رو انجام داده کافیه که از ستون اول با عنوان “Search Serveice ” دسته بندی خودتون رو مشخص کنید و از Search Operators هایی که وجود داره استفاده کنید تا به اصطلاح یک جستجوی پیشرفته یا همون گوگل هکینگ رو پیاده سازی کرده باشید.
برخی از مهم ترین دورک هارو من در تصویر پایین مشخص کردم با یک خط قرمز که با کلیک بر روی هرکدوم طریقه استفاده اش رو میتونید ببینید .برای مثال site: رو انتخاب میکنیم .
در بخش اول تصویر پایین میبینید که توضیح داده اصلا این Search Operator چیکار میکنه و چطوری میتونید استفاده کنید و خوب حالا دیگه خیلی بازش نمیکنم و اگر طبق مراحل بالا عمل کنید و به این صفحه برید, تمرین های متعددی هم بهتون میده که قشنگ روی این مطالب کاملا مسلط بشید.
دورک های مخصوص تست نفوذ | search operators مخصوص تست نفوذ
در ادامه مقاله گوگل هکینگ (Google Dorking ) چیست !؟ یک PDF رو در باکس دانلود براتون قرار میدمم که توی این PDF خیلی تمیز تر از وبسایت بالا مهم ترین دورک هایی که باید بدونید رو براتون قرار داده که کلا 1 صفحه هست و خیلی ساده چیده شده. میتونید ازش برای یادگیری و مسلط شدن دورک ها استفاده کنید و از وبسایت بالا تمرین هاشو بردارد و انجام بدید حله ؟ اما فکر نکنید که گوگل دورکینگ به همینجا خطم میشه شما باید موارد دیگه ای رو هم برای اینکه بفهمید چه دورکی بسازید و … هم انجام بدید باید بلد بشید که ایشالا در مقالات بعدی اینهارو هم بهتون یاد میدیم .
آموزش ۰ تا ۱۰۰ گوگل دورکینگ / هکینگ | ویدیویی
آموزش دیویی این مطلب رو هم داخل یوتیوب و هم داخل آپارات گذاشتم که میتونید تماشا کنید . بزودی در وبسایت هم قرار خواهد گرفت.
مثل همیشه عالی از این مقاله ها بیشتر بزار
ممنون از شما حتتما
حلالت کورش جان
خیلی مخلصم 🙂