Google Hacking女神搜寻技法

看到心仪的目标想要更近一步了解对方
这时候我们可以善用Google
来搜寻心中殷切盼望的女神
了解对方後才能具体策划进攻的方式
抢得先机早日渗透入侵对方的心

Google搜寻引擎会利用网路蜘蛛来游走网页
为了能增加平时查询及检阅速度
会下载页面到资料库中存放
可以用简单的方法查找到机敏资料甚至是原始码

可预期搜寻的网页名称与路径

• 首页名称：index、default….
• 管理名称：admin 、login 、manage 、edit 、adminuser 、main…..
• 目录及资料夹名称：photo 、image 、admin、user 、script、db 、user….
• 预设路径：
  • IIS：c:\inetpub\wwwroot
  • Apache： /usr/local/apache

基本语法与关键字

• site:搜寻特定网址
• inurl:搜寻特定连结
• intext:搜寻网页内文字
• intitle:搜寻网页标题
• filetype:搜寻特定档案格式
• link:搜寻互相连结的网页

利用Index of /backup 在google上搜寻到的内容
可查看该组织的备份页面

预防方法：网站应设定攀爬管制

1. 可变更采用不易识别的名称或路径

2. 於网页的HEAD区段中，添加下列标签：

   • <META NAME=“ROBOTS” CONTENT=“NOINDEX”>
     搜寻引擎不处理、不储存这个网页。
   • <META NAME=“ROBOTS” CONTENT=“NOARCHIVE”>
     搜寻引擎处理这个网页，但是不储存网页，也就是说，不会有库存页。
   • <META NAME=“ROBOTS” CONTENT=“NOFOLLOW”>
     搜寻引擎处理这个网页，但是不继续处理这个网页中另外连结的网页。
   • <META NAME=“ROBOTS”CONTENT=“NOINDEX,NOFOLLOW”>
     搜寻引擎处理、储存这个网页，以及这个网页中另外连结的所有资讯。

3. 建立纯文字档robots.txt存放於网站的根目录，声明该网站中不愿被robot攀爬的范围。

   • User-agent：填入搜寻引擎蜘蛛的值（* 号代表全部）
   • Disallow：填入你希望搜寻引擎别检索的页面路径
   • Allow：若你禁止检索的页面路径里面又有特定路径你希望搜寻引擎检索

• 可以使用 robots.txt 测试工具检测
  透过工具可以确认所配置的robots.txt档案是否封锁了Google的网路检索器，使其无法检索网站上的特定网址。