Google Hacking技巧

简介

Google Hacking是一种利用Google搜索引擎的高级搜索操作符来发现敏感信息和安全漏洞的技术。通过巧妙地组合各种搜索语法，安全研究人员可以找到配置错误的服务器、暴露的文件、敏感信息等。本文将介绍利用Google搜索引擎进行信息收集的高级技巧。

Google搜索操作符

• site:
  • 限制搜索结果在特定域名内
  • 例如: site:example.com
  • 可以发现子域名和特定站点信息
• inurl:
  • 搜索URL中包含特定字符串的结果
  • 例如: inurl:login
  • 可以找到登录页面和管理后台
• intitle:
  • 搜索页面标题中包含特定字符串的结果
  • 例如: intitle:"index of"
  • 可以发现目录列表和未授权访问
• intext:
  • 搜索页面内容中包含特定字符串的结果
  • 例如: intext:"password"
  • 可以找到包含敏感词汇的页面
• filetype:
  • 搜索特定文件类型的结果
  • 例如: filetype:pdf
  • 可以发现配置文件、文档等
• cache:
  • 查看Google缓存的网页版本
  • 例如: cache:example.com
  • 可以查看已删除或更改的页面

常用搜索组合

• 敏感文件搜索
  • filetype:pdf "confidential"
  • filetype:xls "password"
  • filetype:sql site:example.com
  • filetype:log inurl:logs
• 管理页面搜索
  • inurl:admin site:example.com
  • intitle:"login" site:example.com
  • inurl:manager site:example.com
  • intitle:"index of" "admin"
• 漏洞页面搜索
  • intitle:"error" site:example.com
  • intext:"sql syntax" site:example.com
  • intitle:"test page" site:example.com
  • inurl:test site:example.com

防护建议

• 使用robots.txt文件限制敏感目录的索引
• 配置Web服务器禁止访问敏感文件
• 定期检查网站是否暴露敏感信息
• 使用适当的访问控制和身份验证
• 监控和审计搜索引擎的爬虫行为