Google Dork: intitle:“index of” “cron.sh”
包含有价值信息的文件
日期:2022年7月25日
漏洞作者:Yashwant Shastri
Google Dork描述
intitle:"index of" "cron.sh"
这是一个特定的Google搜索查询(也称为Google Dork),旨在查找网页标题(title)中包含“index of”并且页面中包含“cron.sh”字样的网页目录列表。这种搜索通常用于发现因服务器配置不当而被公开暴露的敏感文件或目录。
搜索详情
- GHDB-ID: 8008
- 作者: Yashwant Shastri
- 发布日期: 2022年7月25日
推荐的Google搜索
直接在Google搜索引擎中使用以下查询:
|
|
背景与关联资源
关于漏洞数据库 漏洞数据库由OffSec(一家提供信息安全认证和高阶渗透测试服务的信息安全培训公司)维护。它是一个非营利性项目,作为一项公共服务向公众开放。该数据库是一个符合CVE标准的公开漏洞利用代码及对应易受攻击软件的存档,供渗透测试人员和漏洞研究人员使用。其目标是收集最全面的漏洞利用代码,包括直接提交、邮件列表和其他公开来源的资料,并以免费、易于浏览的数据库形式呈现。漏洞数据库是漏洞利用代码和概念验证的存储库,而非安全公告,这使其成为需要立即采取行动数据的人员的宝贵资源。
关于谷歌黑客数据库 谷歌黑客数据库是一个分类索引,包含旨在发现互联网搜索引擎查询所揭示的有趣且通常是敏感信息的查询语句。在大多数情况下,这些信息本不应公开,但由于各种因素,这些信息被链接到网络文档中,随后被搜索引擎抓取并索引了这些敏感信息。
“谷歌黑客”这一过程由专业黑客Johnny Long在2000年推广普及。他开始在一个被称为谷歌黑客数据库的数据库中编录这些查询。他的初步努力通过社区成员无数小时的贡献得以加强,相关内容记录在《Google Hacking For Penetration Testers》一书中,并通过大量媒体关注以及Johnny关于该主题的演讲(例如在DEFCON 13上记录的早期演讲)而广为人知。Johnny创造了“Googledork”一词,指的是“通过Google揭露的愚蠢或无能的人”。这是为了强调这并非“Google的问题”,而是用户或用户安装的程序经常无意中错误配置的结果。随着时间的推移,“dork”一词成为定位敏感信息的搜索查询的简写,并且“dorks”被包含在许多Web应用程序漏洞发布中,以展示易受攻击网站的示例。
经过社区近十年的努力,Johnny于2010年11月将GHDB移交给了OffSec,现在它作为漏洞数据库的扩展部分进行维护。如今,GHDB包含了对其他在线搜索引擎(如Bing)和在线代码仓库(如GitHub)的搜索,这些搜索会产生不同但同等有价值的结果。
重要提示
此技术旨在用于合法的安全评估、渗透测试和研究目的。未经授权访问或探测他人系统是非法的。安全专业人员应始终在获得明确授权的情况下,在可控环境中使用这些方法,以帮助组织识别和修复安全漏洞,提升整体安全态势。