Google как средство взлома вебсайтов

25.12.2017
Статься написана в ознакомительных целях и не призывает Вас к действиям!

  • Получение личной и конфиденциальной документацииРезюме 
  • С помощью Google можно заполучить доступ к хранилищу е-майлов, содержащего резюме из сотен людей, которые были созданы при подаче заявки на прием на работу. Документы, содержащие их основную информацию: контактный телефон, адрес проживания, образование и т.д. можно быстро найти.
  • Код:

intitle:”curriculum vitae” “phone * * *” “address *” “e-mail”

  • Адреса электронной почты
  • Вы также можете получить доступ к списку Excel-файлов, которые содержат контактную информацию, включая емайлы большой группы людей. Для этого введите следующую поисковый запрос и нажмите ввод:
  • Код:

filetype:xls inurl:”email.xls”

  • Финансовая информация
  • Кроме того, можно получить доступ к документам, потенциально содержащих сведения о банковских счетах, финансовых сводок и номера кредитных карт, используя следующую поисковый запрос:
  • Код:

intitle:index.of finances.x

  • Уязвимости
  • Вы заходите в HackNews и видите надпись, что уязвимость найдена в таком-то общедоступном скрипте, например CMS или форуме. И указана пошаговая последовательность действий, которые приведут к полному контролю сайта. Теперь осталось найти все сайты, на которых стоит эта версия движка. Это можно сделать простым запросом: например, если была найдена уявзимость на форуме, использующим движок vBulletin 3.7.3, вбиваем в поисковый запрос
  • Код:

Powered by vBulletin 3.7.3

  • Также гугл может выдавать в ответ на запрос файлы конкретного типа. Например, вы, найдя уязвимость в популярном движке для интернет-магазинов, а именно в скрипте для покупки товара (пусть это будет getitem.php), где не происходит фильтрация по какому-либо параметру, допустим id выбранного товара (itemid), можете составить запрос типа:
  • Код:

filetype:php inurl:itemid

  • И найти все интернет-магазины, использующее данный скрипт. Или, зная, что некая программа (например, ПО интернет-банка) хранит зашифрованные или незашифрованные пароли в файле pswd.xdh. Если к такому файлу кто-то по неосторожности открыл доступ, то запросом:
  • Код:

filetype:xdh inurl:pswd