[TC] Поиск в Google
Здравствуйте.
Весьма полезный материалец по поиску в Google и защите от некоторых
его возможностей.
Поиск в Google
На сайте SecurityFocus опубликованы полезные советы (или, если
хотите, предостережения) по использованию Google от Скотта Греннимена
(Scott Granneman):
Возможно, Google - наилучшая поисковая система в Интернете, хотя это наше личное
мнение, которое мы не собираемся навязывать всем остальным. Однако работа с Google
требует некоторых навыков и знаний, чтобы получить разумное количество наиболее
релевантных результатов, либо чтобы блокировать доступ к конфиденциальным данным.
Большая часть пользователей просто вводит нужное слово (ключевую
фразу) на главной странице Google (www.google.com/), более продвинутые
личности заключают фразу в кавычки и добавляют символ плюс (+) перед
обязательными словами и символ минус (-) перед ненужными словами, либо
используют логические (булевы) операторы AND, OR или NOT. Другие знатоки
Google сразу идут на страницу расширенного поиска Advanced Search
(www.google.com/advanced_search), чтобы составить правильный запрос.
Однако для настоящих знатоков - операторов поиска (точнее людей,
использующих операторы поиска) - предназначена страница Advanced Search
Operators (www.google.com/help/operators.html), где приведены советы о
использовании системы Google.
Например, введем слово "budget" на обычной странице Google
(www.google.com/search?q=budget) - будет получено 11 млн. попаданий (hit),
т.е. ссылок на страницы с этим словом. Добавим оператор поиска filetype
(тип файла), чтобы определить тип нужных нам документов. Страница
Advanced Search позволяет указать разные форматы, включая Microsoft Word,
Microsoft Excel и Adobe Acrobat PDF, но на самом деле поддерживается
гораздо больше вариантов. Скажем, нам нужны файлы XLS, тогда запрос
должен выглядеть так:
www.google.com/search?q=budget+filetype:xls
В этом случае выводится только 63 тыс. ссылок, что конечно меньше
11 млн., но все же слишком много для просмотра вручную.
Оператор site позволит ограничить поиск определенными поддоменами,
т.е. доменами второго уровня, либо высокоуровневыми доменами. Например,
чтобы узнать об индексировании в системе Google публикаций на сайте
SecurityFocus о взломах паролей (password cracking), можно ввести
запрос:
www.google.com/search?q=site:www.securityfocus.com password cracking
Запрос "site:www.securityfocus.com password cracking" дает разумные
449 результата. Это хороший способ поиска в пределах определенного сайта
или группы сайтов.
Второй пример: проведем поиск "budget filetype:xls site:edu" в
университетских публикациях:
www.google.com/search?q=budget+filetype:xls+site:edu
Получим 15 200 ссылок.
Для поиска только в заголовках страниц служит оператор intitle. Для
примера с поиском на SecurityFocus запрос:
www.google.com/search?q=site:www.securityfocus.com+intitle:password+cracking
дает только 5 ссылок, причем в заголовке ищется слово password (перед ним стоит
оператор "intitle:", а слово cracking должно располагаться на странице, но не
в заголовке, поскольку перед ним не поставлен оператор "intitle:").
Об операторе intitle знают "плохие ребята", но многие из них знают
и более эффективное индексные средство Index of - страницы, на которых
владельцы сайтов размещают служебную информацию, не всегда открытую для
обычных посетителей сайта. Найти такие страницы на университетских
сайтах поможет запрос "intitle:"index of" site:edu password":
www.google.com/search?hl=en&lr=&ie=ISO-8859-1&q=password+site:edu+intitle:%22index+of%22&btnG=Google+Search
Полученные 2940 ссылок по большей части бесполезны, но среди них
можно найти пароли доступа открытым текстом, либо получить их
общеизвестными программами Crack
(www.crypticide.org/users/alecm/security/c50-faq.html) или John the
Ripper (www.openwall.com/john/). Поэтому владельцам сайтов следует
избегать попадания в индексацию Google слов passwd, htpasswd, accounts,
users.pwd, web_store.cgi, finances, admin, secret, fpadmin.htm, credit
card, ssn, а также запретить просмотр файла robots.txt (см.
www.robotstxt.org/wc/exclusion.html).
На нескольких сайтах можно найти подробные списки слов и фраз,
открывающие доступ к конфиденциальной информации. Например: Googledorks
(johnny.ihackstuff.com/index.php?module=prodreviews), ведь веб-интерфейс
Google Web API (www.google.com/apis/) позволяет автоматизировать процесс
поиска.
Проблема получения конфиденциальных данных в обычных поисковых
системах связана с простотой, а значит уязвимостью публикаций в
Интернете.
Например, вполне законными методами можно получить базы данных с
медицинскими записями (www.wired.com/news/print/0,1294,57897,00.html),
причем такие запросы были весьма популярны в прошлом году
(www.google.com/search?q=%22select%20a%20database%20to%20view%22).
Microsoft позиционирует FrontPage как простое средство переноса
локальных файлов в Веб (см.
www.microsoft.com/office/frontpage/prodinfo/overview.mspx), но это ведет
к уязвимости паролей и важных данных, скажем запрос:
www.google.com/search?q=_vti_pvt+password+intitle:index.of
дает огромный список.
Конечно можно блокировать индексацию поисковыми системами отдельных
частей веб-содержимого. См. на O'Reilly's "Removing Your Materials From
Google" (hacks.oreilly.com/pub/h/220).
Доброго времени суток!
Кто пользуется мирандой, помогите пожалуйста с настройками.
Хочу отладить приём и общение месенгеровских контактов.
У меня, почему-то, msn вообще не хочет коннектица.
С уважением,
Матроскин
mailto:matroskin_mosc***@m*****.ru