15 Kasım 2014 Cumartesi

WEB ÇÖZÜMLERİ : Google'de Hedefe Kilitlenme

 

filetype:
Dosya uzantılarına göre arama yapabileceğiniz bu komutla, arama kriterinizi içeren bilgilere ait dökümanlara ulaşabilirsiniz. Örneğin [filetype: pdf 'MacOS X'] yazdığınızda, MacOS X kelimesinin geçtiği 11.700 adet .pdf dosyasına ulaşabiliyoruz. Bulduğunuz belgeleri indirmeden önce 'HTML olarak görüntüle' linkine tıklayarak, içeriğine gözatabilirsiniz. Filetype operatörünün diğer alternatifi de ext: operatörüdür (extension) ve aynı mantıkla çalışır.

allintitle:
Bu komut, arama kriterinizde yer alan kelimelerin tamamının, internet tarayıcısının başlık çubuğunda yer almasını şart koşar. Örnek verecek olursak, [allintitle:'Flash Movies'] şeklindeki arama kriterinin sonucu olarak, web sayfasının title bilgisi üzerinde Flash Movies kelimeleri geçen sayfalar listelenecektir.

intitle:
'allintitle' komutundan farklı olarak, ilk arama kriterini başlık satırında arar, diğer kelimeleri ise metin içerisinde kontrol edilir.

allinurl:
Bu operatör, arama kriterine ait kelimeleri internet adres satırındaki (url) kelimeler içerisinde arar.

inurl:
İlk arama kriterini adres satırında arar.

cache:
Listelenen web sayfalarına ait sunuculara ulaşılamadığı durumlarda, cache operatörünü kullanarak, ilgili sayfaya Google'ın daha önce indekslediği bilgiler üzerinden ulaşabilirsiniz.

site:
Bu operatörü kullanarak, herhangi bir web sitesi içerisinde arama yapabilirsiniz. Örneğin [site:Index of / Adobe] kriterini girdiğinizde, Macline web sitesi içerisinde 'Adobe' kelimesi geçen sayfalara ulaşabilirsiniz.

Link:
Bu komutu kullanarak herhangi bir web sitesine hangi sayfalardan link verildiğini öğrenebilirsiniz.
Bu operatörler tek başlarına kullanılabildiği gibi, birarada da kullanılabilmektedir. Örnek vermek gerekirse:

[intitle:Fiyat Listesi filetype: pdf]
[intitleVD Video filetype: pdf]
[intitle:mp3 'eye of the tiger']
[site:edu intitle:science]

Google Hack
İnterneti didik didik ederek indeksleme yapan binlerce Bot'a (crawler) sahip olan Google, web sunucularında yer alan tüm verilere rahatlıkla ulaşma imkanı vermektedir. Öyle ki, web sitesi yöneticilerinin tedbirsizliğini hesaba katan kötü niyetli Hacker'lar, doğru arama komutları ve karmaşık arama kriterleri ile bu tedbirsizliği suistimal edebilmekte ve gizli saklı birçok dosyaya ulaşabilmektedir.


Şimdi en çok kullanılan yöntemleri örneklerle irdeleyelim.

Filetype opöretörünün kullanılması


Oldukça masum görünen bu arama şekli, Hacker'lar tarafından bakın nasıl suistimal ediliyor:

Şirket içerisinde kalmak şartı ile hazırlanan birçok sunum dosyası bildiğiniz gibi PowerPoint belgesi (.ppt veya .pps) olarak hazırlanır. Eğer bu dosyalar bilinçsiz ve tedbirsizce web sunucusunda tutulursa, birkaç değişik arama kriteri ile rahatlıkla arama sonuçlarında listelenebiliyor. Bu dosyaların 'gizli' (confidential) ismini taşıdığını varsayarsak, arama kriterini de [filetype: ppt confidential] olarak girdiğimizde yaklaşık 30.000 adet dosyaya ulaşabiliyoruz. Elbette bulunan tüm sayfalar gizli belgeler niteliği taşımıyor, ancak birçok şirketin sadece kurum içerisinde kalmak şartı ile hazırladığı dosyalar da arama listesinde yer alabilmektedir.

index of / :
Dosya dizinlerine ulaşmak için kullanılan bu komutu arama kriteri olarak girdiğimizde, 38 milyon'un üzerinde linkle karşılaşıyoruz. Kriteri özelleştirerek, örneğin ['index of / +mp3] olarak girdiğimizde, 800 bin'den fazla linke ulaşabiliyoruz. Web sunucuları üzerinde bilinçsizce saklanan bu mp3 dosyalarına dışarıdan ulaşmak mümkün olduğu gibi, bu dikkatsizliğin lisans ihlali gibi hukuki boyutları da gözardı edilmiş olmaktadır. Elbette Hacker'lar mp3 gibi masum bir arama kriteri ile ilgilenmiyor. Web sitelerindeki açıkları bulmayı hedefleyen Hacker'ların en çok kullandıkları komutları,

[Index of / admin]
[Index of / passwd]
[Index of / password]
[Index of / mail]
["Index of / " +passwd]
["Index of / " +password.txt]
["Index of / " +.htaccess]
["Index of /secret
["Index of /confidential
["Index of / root
["Index of / cgi-bin
["Index of / credit-card
["Index of / logs
["Index of / config
[intitle:"index of" user_carts OR user_cart]
[allintitle: sensitive filetype:doc]
[allintitle: restricted filetype :mail]
[allintitle: restricted filetype:doc site:gov]


şeklinde sıralayabiliriz.

Online Web Kameralarının tespiti
Evet yanlış okumadınız, Google ile internet üzerinden yayın yapan online web kameralarını tespit etmek de oldukça kolay. Örnek vermek gerekirse, XPWebcam yazılımı üzerinden yayın yapan web kameralarına ulaşmak için [intitle:'my webcamXP Server'] kriterinin girilmesi yeterli oluyor. Bu örnekte olduğu gibi, değişik web kamerası modellerinin kriter olarak girilmesi ile birçok online web kamerasına ulaşmak mümkün. Bu yüzden, evinizin veya ofisinizin mahremiyetini güvence altına almak için, erişimi mutlaka şifrelendirmeniz gerekmektedir.

Bunlar gibi birçok arama kriterini, değişik operatörleri birbirleriyle ilişkilendirerek karmaşık bir şekilde kullanan Hacker'lardan korunmak için, öncelikle sunucularınızda erişilmesini istemediğiniz dosyaları bulundurmamanız gerekiyor. Ancak silinmesi mümkün olmayan dizin ve dosyalara erişimi önlemek için fazladan çaba gösterilmesi gerekebilir. Arama motorları sunucuyu tararken öncelikle kök dizinini inceleyerek, indekslememesi gereken dizinler için robot.txt dosyasını arar. Robots.txt, Googlebot'un web sunucunuzdaki bigilerin bir kısmını yada tamamını indirmemesini söyleyen standart bir dökümandır. Bu dosyayı kök dizinine koyarak hangi dizinlerin taranmaması gerektiğini tanımlayabilirsiniz.

[publicize twitter]

[publicize facebook]

[category teknoloji]

[tags WEB ÇÖZÜMLERİ, Google]

Hiç yorum yok:

Yorum Gönder

Hakkımızda

Fotoğrafım
BU BLOG ÖZEL BÜRO GRUBU'NA AİTTİR. RESMİ WEB SİTEMİZ : http://www.ozelburoistihbarat.com

Follow by Email

ÖZEL BÜRO İSTİHBARAT GRUBU