産品特色
內容簡介
Google是當前*流行的搜索引擎,但Google的搜索能力是如此之大,以至於有人會搜索到沒打算在網上公開的內容,包括社會保險號碼、信用卡號、商業秘密和政府機密文件。本書嚮您展示專業安全人員和係統管理員如何利用Google來查找此類敏感信息,並對自己的企業進行“自我警戒”。 本書從普通用戶上網使用*為頻繁的搜索引擎入手,嚮大傢展示如何在網絡中保護個人信息。本書包含瞭所有新的黑客攻擊方法,諸如google腳本,還有如何把google與其他搜索引擎和API一起使用進行黑客攻擊。
目錄
第1章Google搜索基礎
摘要
關鍵詞
介紹
探索Google的Web界麵
總結
要點速查
第2章高級運算符
摘要
關鍵詞
介紹
運算符語法
語法排錯
引入Google的高級運算符
INTITLE和ALLINTITLE:在頁麵標題中搜索
ALLINTEXT:在頁麵文本中查找字符串
INURL和ALLINURL: 在一個URL中查找文本
SITE: 把搜索精確到特定的網站
FILETYPE: 搜索特定類型的文件
LINK: 搜索一個網頁的鏈接
INANCHOR: 在鏈接文本中尋找文本
CACHE: 顯示頁麵緩存版本
NUMRANGE: 搜索一個數字
DATERANGE: 搜索在特定日期範圍內發布的頁麵
INFO: 顯示Google的總結信息
RELATED: 顯示相關站點
STOCKS: 搜索股票信息
DEFINE: 顯示一個術語的定義
運算符的衝突和失敗的搜索(bad search�瞗u)
總結
要點速查
網站鏈接
第3章Google Hacking基礎
摘要
關鍵詞
介紹
緩存訪問的匿名性
目錄列錶
查找目錄列錶
查找特定的目錄
查找特定的文件
服務器版本
與眾不同: 遍曆技術
總結
要點速查
第4章文檔細分和數據挖掘
摘要
關鍵詞
介紹
配置文件
查找文件
日誌文件
Office文檔
數據庫挖掘
登錄入口
支持文件
錯誤消息
數據庫轉儲
真實的數據庫文件
自動細化
總結
要點速查
第5章Google在一個信息收集框架中的身影
摘要
關鍵詞
介紹
自動化搜索的原理
原始搜索項
擴展搜索項
使用“特彆的”運算符
從數據源中獲取數據
自行挖掘: 請求和接收響應
自行挖掘: 解析結果
使用其他搜索引擎
解析數據
後期處理
收集搜索項
總結
第6章查找漏洞尋找目標
摘要
關鍵詞
介紹
查找漏洞代碼
查找公開的漏洞網站
利用常見代碼字符串查找漏洞
查找易受攻擊的目標
總結
第7章10個簡單有效的安全搜索
摘要
關鍵詞
介紹
site
intitle:index.of
error|warning
login|logon
username|userid|employee.ID "your username is"
password|passcode|"your password is"
admin|administrator
�瞖xt:html�瞖xt:htm�瞖xt:shtml�瞖xt:asp�瞖xt:php
inurl:temp inurl:tmp inurl:backup inurl:bak
intranet|help.desk
總結
第8章追蹤Web服務器、登錄入口和網絡硬件
摘要
關鍵詞
介紹
查找和分析Web服務器
查找登錄入口
使用和查找各種Web工具
定位開啓Web的網絡設備
查找網絡報告
查找網絡硬件
總結
第9章用戶名、密碼和其他秘密信息
摘要
關鍵詞
介紹
搜索用戶名
搜索密碼
搜索信用卡號碼、社會保險號碼以及更多
社會保險號碼
個人財務數據
搜索其他有用的數據
總結
第10章入侵Google服務
摘要
關鍵詞
日曆
Google快訊
Google Co�瞣p
Google自定義搜索引擎
第11章入侵Google案例
摘要
關鍵詞
介紹
極客
公開的網絡設備
公開的應用程序
攝像頭
電信設備
電源
敏感信息
總結
第12章保護自己免遭Google駭客攻擊
摘要
關鍵詞
介紹
一個優質可靠的安全策略
Web服務器安全防護
軟件默認設置和程序
入侵你自己的網站
Wikto
Advanced dork
從Google獲得幫助
總結
要點速查
網站鏈接
主題索引
精彩書摘
第3章
Google Hacking基礎
摘要
本章介紹Google hacking基礎,主題包括使用緩存的匿名特性、目錄列錶和遍曆技術。
關鍵詞
Google緩存
匿名性
目錄
遍曆
intitle:index.of
介紹
本書相當大的篇幅都集中於介紹“壞小子”使用的尋找敏感信息的技術。我們展示這樣的信息是來幫助你更好地理解他們的動機,以此讓你能保護自己或者是你的客戶。我們已經瞭解一些入門的基礎搜索技術,這是任何想打破基礎知識藩籬,進階到下一階段——Google駭客之路——的Google用戶的基礎技能。接下來我們就將開始看到駭客們更多惡意使用Google的例子。
首先,我們將談談Google的緩存。如果你還沒有試驗過緩存,你就太落伍瞭。我建議你在進一步閱讀之前,在Google搜索結果頁麵至少試試點擊各種不同的緩存鏈接。就像任何一個正派的Google駭客將要告訴你的那樣,瀏覽一個頁麵的緩存版本會伴隨著某種匿名特性,這種匿名性隻存在於當前條件之下,而且這種匿名性對於它所覆蓋的內容是有局限性的。然而,Google能夠巧妙地掩蓋你的網絡抓取行為,這就像當你瀏覽目標網站時,它可能甚至都沒有從你那裏得到一個數據包。我們將讓你看到這是怎麼做到的。
其次,我們將談一下目錄列錶。這些“醜陋”的網頁充斥著各種信息,它們的存在僅僅是一些更高級攻擊搜索的基礎,這將在稍後的章節裏討論。
為瞭使內容更加全麵,我們將會看一下遍曆(Traversing)技術,這是
一種搜索擴展技術,為瞭嘗試收集更多信息。我們將會瞭解目錄遍曆、數字範圍(Numrange)的擴展和擴展名搜索,所有這些技術都應該成為正派駭客(包括防範這類技術的白帽子們)的第二天性。
緩存訪問的匿名性
Google的緩存功能確實是件令人驚奇的事。簡單的事實就是,如果Google抓取一個頁麵或者文檔,你總是能指望得到它的一個拷貝,即使原來的信源已經完全失效瞭或已無更新。當然該功能的另一麵是駭客能得到一份你的敏感信息拷貝,即使你已經拔掉瞭惱人Web服務器的插頭。緩存功能的再一個方麵就是,壞小子們抓取你整個網站(也包括你已“遺忘”的區域)的同時甚至無須嚮你的服務器發送一個數據包。如果在日誌文件裏沒有任何信息,你可能都沒有意識到你的敏感信息已經被拿走瞭。(你每天都在保存你的網絡鏈接,對不對?)每天想著不計其數的敏感信息從Web服務器上泄露就是件讓人很鬱悶的事。所以理解駭客們如何通過Google緩存對你敏感信息發起攻擊是極其重要的。
Google會把抓取到的絕大部分Web數據保存一份拷貝。例外也是有的,而且這種行為是可預防的,就像我們一會兒要討論的那樣,但大多數被Google抓取的數據還是被復製和歸檔瞭,這些都可以通過搜索頁麵的緩存鏈接來訪問。我們需要仔細觀察一下Google緩存文檔標題的某些微妙之處。圖3.1中的標題顯示這是從www.phrack.org搜集而來的網頁。
……
前言/序言
譯者序
若乾年前,我第一次利用裝有Codenomicon Defensics的Kali Linux測試平颱對公司的産品進行滲透性測試,從此開啓瞭我職業信息安全從業者的生涯。當我第一次發現瞭産品漏洞並提交給係統工程師後,齣於好奇心,我多問瞭自己一個“為什麼?”。通過學習相關IP協議以及産品架構,我先於産品開發的碼農兄弟們發現瞭係統漏洞的位置以及成因,這讓我獲得瞭自信,也體會到瞭這項工作的樂趣。特彆是當我發現,作為各安全論壇中小白進階必備技能的WiFi密碼破解法也能讓我來點澎湃,要是能重來,我會早選網安。
初入信息安全領域你會發現有大量的工具可以擴充你的軍械庫,特彆是當你裝完Kali Linux,發現係統已經很貼心地預裝瞭很多駭客軟件,讓你瞬間感覺屠龍寶刀如此易得,在江湖上一番血雨腥風之後,武林盟主的位子也近在咫尺,從此將走上迎娶白富美的人生之巔。但IT領域通常有個定律,免費的東西既是誘惑也是陷阱。所謂誘惑,你會成為一個發現滿地是玩具的小男孩,玩具琳琅滿目,各有精巧之處,總能發現更好的,卻總也找不到一件最趁手的。所謂陷阱,你會陷於各種奇技淫巧,會用各種工具去實現一些零碎的小功能而忽略瞭對知識體係本身的理解和鑽研,炫技多於實乾,浮誇多於務實。
每個行走江湖的大俠都有自己的獨門兵器,於楊過就是玄鐵重劍,於李尋歡就是小李飛刀,所謂一招鮮吃遍天。在信息安全領域也有這麼一柄使用門檻極低卻又威力無窮的“倚天劍”——Google。它那簡潔的搜索入口,會讓你深刻體會到,大道應該至簡,知易行也不難。如果你是小白,可以搜索“信息安全從入門到精通”; 如果你是電商係統管理員,可以搜索“如何從數據庫轉儲中找到用戶名和密碼”; 如果你是信息安全愛好者,可以搜索“如何使用Google創建超級蠕蟲”。林林總總隻有你想不到沒有你找不到,總有一款適閤你。當然這些都隻是Google的初級玩法,為瞭發揮這柄利劍在情報搜集領域中的真正威力和潛能,作者在書中介紹瞭Google專用的搜索語言及其語法。使用瞭這門專用語言,你的思想會與Google開發者更加契閤,你的搜索會更加高效與精準。比如,用Goolge搜索book,你會得到數以億計的結果。麵對如此浩如煙海的網絡世界,一種無力感頓時湧上心頭。但如果你這樣搜: intitle:book,inurl:book,allintext:book,site:book,link:book,inanchor:book,cache:book,info:book,related:book,stocks:book,define:book (具體含義詳見本書,哈哈!)Google就會更懂你,能給齣更精確的結果。如果還不過癮,利用腳本實現的自動化搜索,信息分類、檢索,網絡抓取等更勁爆的功能還在等著你。除瞭搜集信息,Google還能為你提供開源工具的絕大多數功能。當然還有數不清的解決方案,在綫討論、代碼模塊、漏洞報告,它簡直就是你居傢生活、養生保健的必備良藥。如果你剛開始對使用Google搜索語言還不自信,或者還無法準確地用它錶達齣自己的搜索意圖,沒關係,廣大熱情的網友還自發地維護著一個叫GHDB的數據庫,你可以從中“藉鑒”到很多有效的已被優化的最新的搜索語句。原來一個搜索引擎在信息安全領域也能如此高端!
為瞭讓本書更接地氣,譯者把絕大多數搜索都在“僅限搜索簡體中文結果”的條件下重新執行,並且用新結果截圖替換瞭書中原圖。也改正瞭書中一些明顯的錯誤,對不符閤中文語言習慣的案例也進行瞭重新“演繹”。力求使各位讀者不會因為文化差異而對書中內容産生誤解。
在此特彆感謝Elsevier的中方版本經理孫偲小姐的推薦和溝通協調。特彆感謝清華大學齣版社電子信息事業部梁穎主任的熱心幫助和專業指導。一嚮自詡為半個文青的我,在本書責任編輯梁主任的專業水準麵前,自信心瞬間被碾壓成一地玻璃渣。也要感謝柴文強和徐俊偉兩位編輯的中肯建議和細心校對。最後要感謝我的愛人楊芳女士。她是本書的首位讀者,也是我的首席錯彆字校準官,可以想見讓整天沉浸在與《琅琊榜》宗主愛恨情仇糾纏中的她,來看這本書會讓她多麼的無助與無奈。有很多次,她正一邊聽著網絡主播們喊麥,一邊享受著清空網絡購物車的快感,卻會被我強行要求檢查幾段譯文。
這是一個讓我充滿激情與快樂的領域,我想我應該會一直走下去。除瞭本書,本人還有幾本關於大數據、無綫、終端、雲計算等方嚮的信息安全譯著將陸續齣版。隨著接觸到的信息安全理論和案例越來越多,我的腦海中不斷浮現齣留學時曾做過的一個小項目。當年ABB為瞭提高流水綫上機械臂的響應速度,根據那些機器人特定的計算方式,讓我們在FPGA上為其定製瞭一個硬件加速器。在即將到來的IOT社會,在各種移動設備已逐漸衍化成人類體外器官的時代,
使用現場可編程硬件,在不斷變化的應用場景中、在網絡的邊緣對數據進行快速加解密或對其他重度計算進行加速,然後通過SDN 快速給數據在局域網、公網、公有雲和私有雲中建立設備間、組織間、區域間、大洲間的路由轉發通道,去嫁接各種服務並對其進行測試和應用,同時利用SDN的便利以及FPGA的特性對數據流進行識彆、監測、篩選、分發來實現更高效更精準的入侵檢測和安全防禦,等等,這些都應該是未來萬物互聯世界中很有趣的事情吧。
此書譯完的時候,正值媒體爆料“有關部門破獲50億條公民信息泄露大案”。見此標題,不齣意外你我都該是本案的受害者吧……
瀋盧斌
2017年7月
於上海
Google Hacking 滲透性測試者的利劍(原書第3版)/網絡空間安全前沿技術叢書 下載 mobi epub pdf txt 電子書 格式
Google Hacking 滲透性測試者的利劍(原書第3版)/網絡空間安全前沿技術叢書 下載 mobi pdf epub txt 電子書 格式 2024
Google Hacking 滲透性測試者的利劍(原書第3版)/網絡空間安全前沿技術叢書 mobi epub pdf txt 電子書 格式下載 2024