泄漏在搜索引擎中的敏感資訊
- 2019 年 12 月 12 日
- 筆記
前言
很多個人、公司和機構把一些敏感資訊暴露在了互聯網上而不自知。一些Hacker就利用搜索引擎來獲取這些敏感資訊,從而進行一些攻擊。其中最流行的方式是使用Google Dorks,從Google搜索引擎來搜索網站資訊、漏洞,甚至是已被掛馬的後台Webshell。
Github搜索
郵箱資訊
搜索關鍵字:
@gmail.com Python recently indexed
搜索關鍵字:
@163.com smtp
關注的商品降價後給自己發郵件,還東哥的兄弟。。。
這裡引用了配置文件(config.ini),再打開config.ini,就看到帳號密碼了。
資料庫資訊
搜索關鍵字:
mysql pass
雖然很多都是本地資料庫,也有部分是網路資料庫。
其中使用php和python作為程式語言的用戶,暴露的用戶名和密碼比較多。
Google搜索
|
名稱 |
說明 |
例子 |
|---|---|---|
|
intitle |
標題中的關鍵字 |
intile:」Baidu」 |
|
intext |
正文中的關鍵字 |
intext:」web-shell」 |
|
inurl |
域名 |
inurl:」/gallery.html」 |
|
filetype |
文件類型 |
filetype:pdf |
影片類
搜索關鍵字:
intitle:"VB Viewer" intitle:"webcam 5" intitle:"webcam 7" inurl:'/gallery.html' intitle:"Yawcam" inurl:8081 inurl:embed.html inurl:dvr inurl:"/view/view.shtml?id=" inurl:guestimage.html
從後綴的jp可以看出是日本某地。
瑞典已經下雪了。
許多暴露在互聯網上的影片監控網站,甚至都不需要密碼就可以進行訪問。部分攝影機還可以控制朝向,如果你家的IP攝影機那天自己動了起來,那麼有可能壞了,還有可能是被攻破了。
文檔類
搜索關鍵字:
"Scanned by Camscanner" filetype:pdf
一些掃描件。
其他數據
搜索關鍵字:
intitle:"netdata dashboard" AND intext:"Costa Tsaousis"
後台監控數據面板
搜索關鍵字:
inurl:7474/browser intitle:Neo4j
Neo4j資料庫
搜索關鍵字:
intitle:"Namenode information" AND inurl:":50070/dfshealth.html"
hadoop HDFS分散式文件存儲資料庫。由一台外網NameNode節點和多台內網DataNode節點組成。
總結
很多人在把Github當做自己的私人移動程式碼存儲庫(因為沒有人關注你的項目,你的程式碼被淹沒在茫茫之中),但請不要忘了,你的庫仍然是公開的,把資料庫地址、帳號密碼都寫進去很容易被一些自動化工具抓取到。最後導致資料庫頻頻出現問題,還以為是程式碼的問題,瘋狂地修改加固,其實不是程式碼的漏洞,而是自己的疏忽。 許多物聯網設備。如IP攝影機等確實很方便,但它如果暴露在了互聯網中,別人就會偷窺你的隱私。使用掃描工具可以發現你的設備,恰好後台又是弱密碼或是默認密碼,那你的隱私就蕩然無存。 還有一些軟體默認就會啟動Web服務,雖然方便了管理和操作,也增加了風險。
參考
https://www.exploit-db.com/google-hacking-database/
*本文原創作者:晴雯晴雯晴雯,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載
