搜索引擎语法
搜索引擎大家都用過,在搜索框中輸入關(guān)鍵詞,一鍵回車,結(jié)果就展示在我們面前。但實(shí)際上,這個(gè)搜索框內(nèi)藏玄機(jī),除了關(guān)鍵詞,還有別的用法
搜索引擎對于搜索的內(nèi)容提供了多種語法,通過構(gòu)造特定的搜索語句,能夠快速全面的讓攻擊者挖掘到有價(jià)值的信息。
本文列舉一些常用的例子,如果沒有特別說明,本文列出的搜索語法在Google和百度中都能適用,本文內(nèi)容以百度為例展示。
site
語法:site
作用:限定在特定的網(wǎng)址中搜索
有時(shí)候全網(wǎng)搜索有點(diǎn)像大海撈針,而如果我們有特別關(guān)心的網(wǎng)站,想只顯示這個(gè)網(wǎng)站的搜索結(jié)果,就可以用到site語法
可以看到,顯示的結(jié)果都是在指定網(wǎng)站中的,大大減少了我們在海量信息中的篩選成本。
實(shí)際上,不少網(wǎng)站為了省事,這些網(wǎng)站的站內(nèi)搜索功能就是利用搜索引擎的site語法來實(shí)現(xiàn)的。
另外上邊的相關(guān)結(jié)果數(shù),也反應(yīng)了該網(wǎng)站的推廣度,結(jié)果數(shù)越大越好。代表客戶可以從更多的方式找到你
filetype
語法:filetype
作用:搜索特定的文件類型
有時(shí)候我們想找特定類型的文檔,比如PPT、PDF等,但默認(rèn)情況下出來的都是網(wǎng)頁,很難找到我們想要的內(nèi)容,這個(gè)時(shí)候就可以用上filetype語法。比如我想搜索web安全相關(guān)的PDF電子書:
inurl
語法:inurl
作用:在URL中搜索出現(xiàn)指定內(nèi)容的鏈接
這一個(gè)語法有什么用?普通人很少直接關(guān)心鏈接本身的內(nèi)容,但是對于咱們hacker來說,URL就重要了,比如我們可以用來搜索可能存在SQL注入的鏈接,
inurl:.php?id=
inurl:.jsp?id=
inurl:.asp?id=除了SQL注入,還可以搜索可能存在的網(wǎng)站后臺管理入口:
inurl:login.php
inurl:login.jsp
inurl:login.asp如果我們再加上前面的site語法組合使用,就可以找出指定網(wǎng)站的這種鏈接了,定向?qū)ふ夜酎c(diǎn)。
intitle
語法:intitle
作用:在網(wǎng)頁title中搜索出現(xiàn)指定內(nèi)容的網(wǎng)頁
除了在URL中搜索,咱們還能在標(biāo)題中搜索。一般網(wǎng)站后臺管理頁面都會帶有“后臺”、“管理”、“登錄”等字眼,我們可以通過在HTML的title字段位置搜索這些關(guān)鍵詞,尋找可疑的后臺登錄頁面。
intext
語法:intext
作用:除了URL和title,剩下的就是正文位置搜索了
比如我們搜索使用discuz搭建的論壇網(wǎng)站:
看了這么多,不知道你學(xué)廢了嗎?
如果沒有也沒有關(guān)系,這里有個(gè)神器:Google Hacking數(shù)據(jù)庫,匯集了非常多的有價(jià)值的搜索語句,你可以用這些來搜搜看,看看能不能發(fā)現(xiàn)些什么信息。
網(wǎng)址:https://www.exploit-db.com/google-hacking-database
學(xué)會使用搜索引擎,是每一個(gè)hacker必備的技能之一,看完這篇趕緊操練起來,動動手試一試。不過以學(xué)習(xí)為主,切莫拿去做違法事情哦,現(xiàn)在的網(wǎng)絡(luò)安全法那可不是鬧著玩的!
轉(zhuǎn)載于https://mp.weixin.qq.com/s/fcP4lnnLTd8q4jgUfOZIDA
總結(jié)
- 上一篇: MySQL时间函数 date_sub()
- 下一篇: 商人过河问题(一)