گوگل هکینگ

گوگل هکینگ، که با نام Google dorking نیز شناخته می‌شود،^[۱]^[۲] یک تکنیک هکری است که از جستجوی گوگل و دیگر برنامه‌های گوگل برای یافتن حفره‌های امنیتی در پیکربندی رایانه‌ای و کدهایی که وب‌سایت‌ها از آن استفاده می‌کنند بهره می‌گیرد.

مبانی

گوگل هکینگ شامل استفاده از عملگرها در موتور جستجوی گوگل برای یافتن بخش‌های خاصی از متن در وب‌سایت‌هاست که می‌تواند نشانه‌ای از آسیب‌پذیری باشد، برای مثال نسخه‌های خاصی از برنامه‌های تحت وب آسیب‌پذیر. برای نمونه، پرس‌وجوی intitle:admbook intitle:Fversion filetype:php صفحاتی را می‌یابد که در عنوان خود عبارت‌های «admbook» و «Fversion» را دارند، که نشان می‌دهد دفتر مهمان مبتنی بر PHP به نام Admbook در حال استفاده است، برنامه‌ای که آسیب‌پذیری تزریق کد شناخته‌شده‌ای دارد. در نصب‌های پیش‌فرض برنامه‌ها معمول است که نسخهٔ اجراشده در هر صفحه‌ای که ارائه می‌دهند درج شود، مانند عبارت «Powered by XOOPS 2.2.3 Final»، که می‌توان برای یافتن نسخه‌های آسیب‌پذیر استفاده کرد.

دستگاه‌های متصل به اینترنت نیز قابل شناسایی هستند. رشتهٔ جستجویی مانند inurl:"Mode=" می‌تواند دوربین‌های وب عمومی را بیابد.

تاریخچه

مفهوم «گوگل هکینگ» به اوت ۲۰۰۲ بازمی‌گردد، زمانی که کریس سالو (Chris Sullo) افزونهٔ «nikto_google.plugin» را در نسخهٔ ۱٫۲۰ از اسکنر آسیب‌پذیری نیکتو افزود.^[۳] در دسامبر همان سال، جانی لانگ (Johnny Long) شروع به گردآوری پرس‌وجوهای جستجوی گوگل کرد که سیستم‌های آسیب‌پذیر و/یا افشای اطلاعات حساس را آشکار می‌کردند و آن‌ها را با نام «googleDorks» طبقه‌بندی کرد.^[۴]

فهرست Google Dorks به مرور به واژه‌نامه‌ای بزرگ از پرس‌وجوها تبدیل شد که سرانجام در سال ۲۰۰۴ در قالب «پایگاه‌دادهٔ گوگل هکینگ» (Google Hacking Database - GHDB) سازماندهی شد.^[۵]^[۶]

مفاهیمی که در گوگل هکینگ مطرح شد، بعدها به دیگر موتورهای جستجو مانند بینگ^[۷] و شادان نیز گسترش یافت.^[۸] ابزارهای حملهٔ خودکار^[۹] از واژه‌نامه‌های جستجوی سفارشی برای یافتن سیستم‌های آسیب‌پذیر و افشای اطلاعات حساس در سامانه‌های عمومی نمایه‌سازی‌شده توسط موتورهای جستجو استفاده می‌کنند.^[۱۰]

گوگل دورکینگ در برخی از پرونده‌های مشهور جرایم سایبری نقش داشته است، از جمله هک سد بومن اونیو (Bowman Avenue Dam)^[۱۱] و نفوذ به سازمان سیا (CIA) که حدود ۷۰٪ از شبکه‌های جهانی آن را تحت تأثیر قرار داد.^[۱۲] استار کشمن (Star Kashman)، پژوهشگر حقوقی، از نخستین کسانی بود که به بررسی قانونی بودن این تکنیک پرداخت.^[۱۳] او استدلال می‌کند که هرچند گوگل دورکینگ از نظر فنی می‌تواند قانونی باشد، در بسیاری از موارد برای ارتکاب جرایم سایبری به کار رفته و اغلب منجر به نقض قانون «تقلب و سوء‌استفاده از رایانه» (Computer Fraud and Abuse Act) شده است.^[۱۴] پژوهش او پیامدهای حقوقی و اخلاقی این روش را برجسته کرده و بر لزوم توجه و تنظیم‌گری بیشتر در استفاده از آن تأکید می‌کند.

حفاظت

استاندارد استثناء کردن ربات‌ها فایلی شناخته‌شده برای بهینه‌سازی موتور جستجو و محافظت در برابر گوگل دورکینگ است. این کار با استفاده از robots.txt برای جلوگیری از دسترسی کلی یا بخش‌های خاص (اگرچه هکرها می‌توانند خود فایل robots.txt را بررسی کنند) انجام می‌شود و از خزیدن ربات‌های گوگل به مسیرهای حساس مانند پنل‌های مدیریت جلوگیری می‌کند.

منابع

↑ "Term Of The Day: Google Dorking - Business Insider". بیزنس اینسایدر. Archived from the original on June 19, 2020. Retrieved January 17, 2016.
↑ Google dork query بایگانی‌شده در ژانویه ۱۶, ۲۰۲۰ توسط Wayback Machine, techtarget.com
↑ "nikto-versions/nikto-1.20.tar.bz2 at master · sullo/nikto-versions". GitHub (به انگلیسی). Archived from the original on August 30, 2023. Retrieved 2023-08-30.
↑ "googleDorks created by Johnny Long". Johnny Long. Archived from the original on December 8, 2002. Retrieved December 8, 2002.
↑ "Google Hacking Database (GHDB) in 2004". Johnny Long. Archived from the original on July 7, 2007. Retrieved October 5, 2004.
↑ Google Hacking for Penetration Testers, Volume 1. Johnny Long. 2005. ISBN 1931836361.
↑ "Bing Hacking Database (BHDB) v2". Bishop Fox. July 15, 2013. Archived from the original on June 8, 2019. Retrieved August 27, 2014.
↑ "Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite". Bishop Fox. Archived from the original on June 8, 2019. Retrieved June 21, 2013.
↑ "SearchDiggity - Search Engine Attack Tool Suite". Bishop Fox. July 15, 2013. Archived from the original on June 8, 2019. Retrieved August 27, 2014.
↑ "Google Hacking History". Bishop Fox. July 15, 2013. Archived from the original on June 3, 2019. Retrieved August 27, 2014.
↑ "Seven Iranians Working for Islamic Revolutionary Guard Corps-Affiliated Entities Charged for Conducting Coordinated Campaign of Cyber Attacks Against U.S. Financial Sector". UNITED STATES DEPARTMENT OF JUSTICE. Archived from the original on September 24, 2023. Retrieved March 27, 2023.
↑ Gallagher, Sean. "How did Iran find Cia Spies? They googled it". Ars Technica. Archived from the original on October 18, 2023. Retrieved March 27, 2023.
↑ Kashman, Star (2023). "GOOGLE DORKING OR LEGAL HACKING: FROM THE CIA COMPROMISE TO YOUR CAMERAS AT HOME, WE ARE NOT AS SAFE AS WE THINK". Wash. J. L. Tech. & Arts. 18 (2).
↑ Kashman, Star (2023). "GOOGLE DORKING OR LEGAL HACKING: FROM THE CIA COMPROMISE TO YOUR CAMERAS AT HOME, WE ARE NOT AS SAFE AS WE THINK". Washington Journal of Law, Technology & Arts. 18 (2): 1. Archived from the original on October 23, 2023. Retrieved March 27, 2023.

پیوند به بیرون

"Google Hacking: .pdf Document", boris-koch.de (قابل چاپ، .pdf)
"Google Help: Cheat Sheet", Google (قابل چاپ)
Google Hacking for Penetration - استفاده از گوگل به‌عنوان ابزار آزمون امنیت، مقدمه‌ای از جانی لانگ
Search Engine - موتور جستجوی گوگل دورکینگ، برای تازه‌کارها.

[1] "Term Of The Day: Google Dorking - Business Insider". بیزنس اینسایدر. Archived from the original on June 19, 2020. Retrieved January 17, 2016.

[2] Google dork query بایگانی‌شده در ژانویه ۱۶, ۲۰۲۰ توسط Wayback Machine, techtarget.com

[3] "nikto-versions/nikto-1.20.tar.bz2 at master · sullo/nikto-versions". GitHub (به انگلیسی). Archived from the original on August 30, 2023. Retrieved 2023-08-30.

[googleDorks2002-4] "googleDorks created by Johnny Long". Johnny Long. Archived from the original on December 8, 2002. Retrieved December 8, 2002.

[ghdb2004-5] "Google Hacking Database (GHDB) in 2004". Johnny Long. Archived from the original on July 7, 2007. Retrieved October 5, 2004.

[ghbook2005-6] Google Hacking for Penetration Testers, Volume 1. Johnny Long. 2005. ISBN 1931836361.

[bingHackingBF-7] "Bing Hacking Database (BHDB) v2". Bishop Fox. July 15, 2013. Archived from the original on June 8, 2019. Retrieved August 27, 2014.

[shodanHackingDB-8] "Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite". Bishop Fox. Archived from the original on June 8, 2019. Retrieved June 21, 2013.

[searchDiggityBF-9] "SearchDiggity - Search Engine Attack Tool Suite". Bishop Fox. July 15, 2013. Archived from the original on June 8, 2019. Retrieved August 27, 2014.

[ghHistoryBF-10] "Google Hacking History". Bishop Fox. July 15, 2013. Archived from the original on June 3, 2019. Retrieved August 27, 2014.

[11] "Seven Iranians Working for Islamic Revolutionary Guard Corps-Affiliated Entities Charged for Conducting Coordinated Campaign of Cyber Attacks Against U.S. Financial Sector". UNITED STATES DEPARTMENT OF JUSTICE. Archived from the original on September 24, 2023. Retrieved March 27, 2023.

[12] Gallagher, Sean. "How did Iran find Cia Spies? They googled it". Ars Technica. Archived from the original on October 18, 2023. Retrieved March 27, 2023.

[13] Kashman, Star (2023). "GOOGLE DORKING OR LEGAL HACKING: FROM THE CIA COMPROMISE TO YOUR CAMERAS AT HOME, WE ARE NOT AS SAFE AS WE THINK". Wash. J. L. Tech. & Arts. 18 (2).

[14] Kashman, Star (2023). "GOOGLE DORKING OR LEGAL HACKING: FROM THE CIA COMPROMISE TO YOUR CAMERAS AT HOME, WE ARE NOT AS SAFE AS WE THINK". Washington Journal of Law, Technology & Arts. 18 (2): 1. Archived from the original on October 23, 2023. Retrieved March 27, 2023.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]

[۸]

[۹]

[۱۰]

[۱۱]

[۱۲]

[۱۳]

[۱۴]

PROFILPELAJAR.COM