作为seo,我们工作的很大一部分是创建引人注目的内容,被谷歌索引,便于搜索者找到。这很简单,但是web服务器上还有很多东西是您不希望谷歌找到的。日志文件、配置文件、个人数据、客户数据库和管理文档只是不应该被搜索引擎抓取的文件的几个例子。
如果谷歌或其他引擎抓取和索引敏感数据,您的网站将变得容易受到各种攻击。这是如何工作的呢?黑客或好奇的搜索者可以在搜索引擎中使用高级查询操作符来指定他们要查找的文件和数据的类型。
通常,它们依赖于将出现在大量站点上的某种足迹。这种占用可能来自页面上的文本或URL/站点结构。要理解这一点,最好的方法是自己执行一些谷歌hacks。
下面是五个高级查询示例,它们利用了人们通常不希望公开使用的文件和文件夹留下的足迹。这些都不是特别邪恶的,而且几年来都广为人知。仅用于研究目的,请自行承担使用风险
1.查看“机密”政府文件
谷歌的搜索操作符允许您指定一系列不同的操作符,包括TLD和文件类型。这个查询返回政府网站上的PDF文件列表,这些文件对除了谷歌之外的所有人都是“机密”的。
2.控制松下网络摄像头
这个查询利用了松下网络摄像头留下的足迹,仍然使用他们的默认设置。通常情况下,不需要密码,你可以平移、缩放和倾斜相机。你也可以用这个查询找到并控制许多Axis网络摄像头:inurl: indexFrame。shtml轴.
有趣的东西。
3.查找纯文本密码
这些日志文件包含纯文本密码。大多数情况下,密码会被修改,但如果没有…
4.获得打印服务器的管理员访问权限
intitle: " Network Print Server "文件类型:shtm
墨粉并不便宜…如果你的打印网络不安全,远方的人可能会在打印测试页上疯狂…这可能是他们能做的“最好”的事情。
5.查看大学成绩和个人信息
inurl: final_grades.html网站:edu
教授们经常在网上公布期末成绩,这样所有学生都能很容易地看到。不幸的是,谷歌也是。教授们经常使用学生证等个人信息来区分学生。
这些只是搜索引擎可以找到的数千个漏洞中的几个例子。
还有更高级的查询,可以用来入侵网站,窃取信用卡信息,获得MySQL访问权限以及各种各样的讨厌的事情。
这里有一些小技巧,教你如何在自己的网站上防止类似的信息泄露。
- 一定要雇佣熟悉安全知识的IT人员。没有从一开始就把安全作为优先事项,可能会导致今后出现重大问题。
- 要求谷歌从它们的索引中删除一个URL。
- 使用Robots.txt.这个配置文件告诉搜索引擎机器人不允许抓取你网站上的哪些页面和文件夹。
- 密码保护敏感信息。
咄。
- 设置谷歌警报在可能发生资料外泄时向你发出信号。
阅读更多:
WebFX职业
加入我们的使命,为全球各地的企业提供行业领先的数字营销服务-同时建立您的个人知识和个人成长。