Nun der erste Beitrag zum Google hacking war wohl etwas zu oberflächlich gehalten. Dieser Beitrag ist für Administratoren und Netzwerkverantwortliche gedacht damit man seine Netzwerke absichern und aber auch sein eigenes Netzwerk testen kann.
Google Hacking ist recht simpel. Man muss sich nur die erweiterten
Suchbegriffe anschauen:
link google erweiterte Suchbefehle
. = jeder Buchstabe
* = jedes Wort
.. = Numerische Suche 5..8 findet alle Zahlen zwischen 5 und 8 sinnvoll bei Versionssuche macht aber in der Praxis noch Probleme.
Suchoperatoren mit grundlegendem aufbau: operator:suchstring
site:google.de = findet alles auf der Seite google.de
filetype:vbs = findet nur *.vbs dateien
link:cgi = findet alles mit cgi im link
cache:site = findet alles im googlecache von einer bestimmten Seite
intitle:string = findet alles mit string im Titel
inurl:string = findet alles mit string in der url
Was kann man mit google hacking alles finden und was muss ich eingeben um blabla zu finde. Eine liste mit sogenannten googledorks gibts hier: http://johnny.ihackstuff.com/
Dort ist eine Tabelle mit vielen Suchbegriffen. Lustig ist zum Beispiel folgender Aufbau:
inurl:"index.of" site:domainname.com
Mit diesem konstrukt kann man überprüfen ob und welche Verzeichnisse von einem bei google im index liegen. Sollte hier ein Verzeichniss auftauchen welches hier nicht hineingehört dann am besten die Zugriffsrechte neu setzen.
Hier noch ein Beispiel was man mit google alles finden kann:
intitle:"index.of.plugins"
Findet ein paar Ordner mit plugins von wordpress installationen. Da akismet doch sehr verbreitet ist ;)
intitle:"index.of.plugins" intext:akismet
Oder ein paar webcams??? Kein Problem
allintitle: "live view - AXIS Network Camera"
Und so kann man es mit jedem Netzwerkfähigen gerät suchen welches ein Graphical Interfaces übers www anbietet. Oder einen mini Webserver besitzt *fg*
Von Drucker usw. Und es ist erstaunlich einfach. Einfach die Handbücher von Druckstrassen *fg* oder ähnlichem lesen und schon weiß man wonach man suchen muss.
Aber vorsicht solle man es übertreiben oder sogar anonym bleiben bei der Suche dann bringt google das hier:
(google Fehlermeldung)
Aber sind wir mal ganz ehrlich. Schuld daran dass ich diese dinge finden kann bin ja nicht ich der die das Programm bedient sonder der der das Programm bereitstellt :D
Wie schütze ich mich???
Den stecker ziehen, off gehen und Webspace löschen *fg*
Naja so schlimm ist es nicht, aber grundsätzlich keine sensiblen und privaten Daten auf dem Webserver rumliegen lassen. Egal für wie sicher man die Sache hält am sichersten ist es an vielen Stellen aber am wenigsten auf dem Webserver.
Netzwerkgeräte, Drucker etc. die Konfiguration der Geräte so vornehmen dass diese nicht über das Internet erreicht werden können. Entweder Zugriff nur auf bestimmte Ip Ranges beschränken, wenn es möglich ist am Router, Firewall nur die Ports geöffnet lassen welche auch wirklich benötigt werden!
Also viel Spass beim googeln und vor allem beim absichern der Netzwerke !
Google Hacking ist recht simpel. Man muss sich nur die erweiterten
Suchbegriffe anschauen:
link google erweiterte Suchbefehle
. = jeder Buchstabe
* = jedes Wort
.. = Numerische Suche 5..8 findet alle Zahlen zwischen 5 und 8 sinnvoll bei Versionssuche macht aber in der Praxis noch Probleme.
Suchoperatoren mit grundlegendem aufbau: operator:suchstring
site:google.de = findet alles auf der Seite google.de
filetype:vbs = findet nur *.vbs dateien
link:cgi = findet alles mit cgi im link
cache:site = findet alles im googlecache von einer bestimmten Seite
intitle:string = findet alles mit string im Titel
inurl:string = findet alles mit string in der url
Was kann man mit google hacking alles finden und was muss ich eingeben um blabla zu finde. Eine liste mit sogenannten googledorks gibts hier: http://johnny.ihackstuff.com/
Dort ist eine Tabelle mit vielen Suchbegriffen. Lustig ist zum Beispiel folgender Aufbau:
inurl:"index.of" site:domainname.com
Mit diesem konstrukt kann man überprüfen ob und welche Verzeichnisse von einem bei google im index liegen. Sollte hier ein Verzeichniss auftauchen welches hier nicht hineingehört dann am besten die Zugriffsrechte neu setzen.
Hier noch ein Beispiel was man mit google alles finden kann:
intitle:"index.of.plugins"
Findet ein paar Ordner mit plugins von wordpress installationen. Da akismet doch sehr verbreitet ist ;)
intitle:"index.of.plugins" intext:akismet
Oder ein paar webcams??? Kein Problem
allintitle: "live view - AXIS Network Camera"
Und so kann man es mit jedem Netzwerkfähigen gerät suchen welches ein Graphical Interfaces übers www anbietet. Oder einen mini Webserver besitzt *fg*
Von Drucker usw. Und es ist erstaunlich einfach. Einfach die Handbücher von Druckstrassen *fg* oder ähnlichem lesen und schon weiß man wonach man suchen muss.
Aber vorsicht solle man es übertreiben oder sogar anonym bleiben bei der Suche dann bringt google das hier:
(google Fehlermeldung)
Aber sind wir mal ganz ehrlich. Schuld daran dass ich diese dinge finden kann bin ja nicht ich der die das Programm bedient sonder der der das Programm bereitstellt :D
Wie schütze ich mich???
Den stecker ziehen, off gehen und Webspace löschen *fg*
Naja so schlimm ist es nicht, aber grundsätzlich keine sensiblen und privaten Daten auf dem Webserver rumliegen lassen. Egal für wie sicher man die Sache hält am sichersten ist es an vielen Stellen aber am wenigsten auf dem Webserver.
Netzwerkgeräte, Drucker etc. die Konfiguration der Geräte so vornehmen dass diese nicht über das Internet erreicht werden können. Entweder Zugriff nur auf bestimmte Ip Ranges beschränken, wenn es möglich ist am Router, Firewall nur die Ports geöffnet lassen welche auch wirklich benötigt werden!
Also viel Spass beim googeln und vor allem beim absichern der Netzwerke !
Kommentare