譯者 | 陳峻

審校 | 孫淑娟

Google可謂互聯網的百科全書，它能夠為您提供幾乎所有問題和好奇心的答案。如果您到現在還認為它只是一個用于查找圖像、文章和視頻的Web索引的話，那您就真的忽略了這個龐大的搜索引擎在爬網和開發領域的潛在實力。Google在此方面的能力雖然對于普通用戶而言往往是鮮為人知的，但是能夠被惡意行為者有效地利用起來，達到劫持目標網站，并從目標公司處竊取敏感數據等目的。Google可謂互聯網的百科全書，它能夠為您提供幾乎所有問題和好奇心的答案。如果您到現在還認為它只是一個用于查找圖像、文章和視頻的Web索引的話，那您就真的忽略了這個龐大的搜索引擎在爬網和開發領域的潛在實力。Google在此方面的能力雖然對于普通用戶而言往往是鮮為人知的，但是能夠被惡意行為者有效地利用起來，達到劫持目標網站，并從目標公司處竊取敏感數據等目的。

下面，我們將和您討論網絡安全專業人員與黑客如何使用Google Dorking，作為一種有效的偵察工具，來達到訪問敏感數據、以及劫持網站等目的。下面，我們將和您討論網絡安全專業人員與黑客如何使用Google Dorking，作為一種有效的偵察工具，來達到訪問敏感數據、以及劫持網站等目的。下面，我們將和您討論網絡安全專業人員與黑客如何使用Google Dorking，作為一種有效的偵察工具，來達到訪問敏感數據、以及劫持網站等目的。下面，我們將和您討論網絡安全專業人員與黑客如何使用Google Dorking，作為一種有效的偵察工具，來達到訪問敏感數據、以及劫持網站等目的。

1.什么是Google Dorking?

Google Dorking（或稱Google Hacking）是一種將高級搜索與查詢需求，輸入到Google搜索引擎的技術。它可以尋找由于站點的配置錯誤，而被Google編入索引的諸如：用戶名、密碼、以及日志文件等網站敏感數據。由于這些數據在技術上是公開可見的，因此它們在某些情況下也可以被下載。

2.黑客如何使用Google Dorking入侵網站

Google Dorking使用被稱為“dorks”的特殊參數和搜索運算符，來縮小搜索結果的范圍，并尋找網站中暴露的敏感數據、以及安全漏洞。這些參數和運算符會指示爬蟲在任何指定的URL中查找特定的文件類型。它們能夠查詢到的搜索結果包括但不限于如下方面：

• ?打開FTP服務器。
• 公司內部文件。
• 可訪問的IP網絡攝像頭。
• 內部管理類文件。
• 服務器的日志文件，其中包含著可用于滲透或破壞目標組織的密碼和其他敏感數據。?

3.最常用的Google Dorking運算符

盡管我們可以將大量不同的運算符和參數應用于搜索查詢，但是對于安全專業人員而言，他們往往只需要其中的一小部分，即可滿足特定的技術需求。以下便是一些常用的查詢參數：

• inurl：指示爬蟲搜索包含指定有關鍵字的URL。
• inurl：指示爬蟲搜索包含指定有關鍵字的URL。
• allintext：此參數可在網頁中搜索用戶指定的文本。
• filetype：此參數可告訴網絡爬蟲查找并顯示特定的文件類型。
• intitle：在標題中爬取包含有指定關鍵字的網站。
• site：列出指定站點的所有索引URL。
• cache：與站點的參數配對時，該參數可以顯示網站的緩存或舊的版本。
• 管道運算符 (|)：該邏輯運算符將列出包含兩個指定搜索關鍵詞中任意一個的所有結果。
• 通配符運算符 (*)：該通配符運算符可用于搜索包含了與您的搜索關鍵詞相關的任意內容的頁面。
• 減運算符 (-)：它會從您的搜索中去除那些不需要的結果。

4.Google Dorking是非法的嗎?

雖然看似復雜，但是Google Dorking并不會讓您覺得無從入手，畢竟您通常只會用它來優化搜索結果，而不是真正用來深度滲透到某個組織中。事實上，對于高級用戶而言，此類使用Google Dorking的做法是受鼓勵的。當然，值得注意的是，Google會一直跟蹤您的搜索，如果您持續訪問敏感數據、或進行惡意搜索的話，Google會將您標記為威脅的參與者。因此，如果您正在進行滲透測試、或在尋找漏洞賞金的話，請確保您已獲得了相應組織的完全授權與支持。否則，您可能由此被抓，甚至為此吃官司。

5.如何保護您的網站免受Google Hacking的攻擊

robots.txt示例

由上述介紹可知，作為網站管理員，您必須設置特定的防御措施，來應對Google Dorking。其中，最直接的一種方法便是添加robots.txt文件，以禁止訪問所有敏感的目錄。此舉將能夠讓搜索引擎爬蟲無法將您羅列的敏感文件、目錄和URL編入索引。將robots.txt文件添加到根目錄，既是一種比較普遍的良好實踐，也是對目標網站的整體安全態勢至關重要的。您可以通過鏈接：https://www.makeuseof.com/tag/website-security-business-success/來進一步了解robots.txt的添加和網站安全的重要性。除了上述方法，我們還可以通過加密諸如：用戶名、密碼、以及支付信息等敏感數據，減少由Google Dorking引發的威脅，并可以使用Google Search Console，從搜索結果中剔除敏感頁面。

6.通過Google Dorking成為Google高級用戶

如前所述，雖然我們大多數人每天都在使用Google之類的搜索引擎，但我們幾乎沒能充分利用其真正的潛力。通過上述介紹，您可以試著使用適當的參數和關鍵字，謹慎地利用Google Dorking，來完善自己的Google-fu(是指使用Google進行快速、簡便、精確的搜索，此處“fu”取自于“Kong- fu”) ，并在互聯網上爬取所需的信息。

原文鏈接：https://www.makeuseof.com/google-dorking-how-hackers-use-it/

譯者介紹

陳峻 (Julian Chen)，51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗;持續以博文、專題和譯文等形式，分享前沿技術與新知;經常以線上、線下等方式，開展信息安全類培訓與授課。