Google hacking

Google dorkinqveb-saytların istifadə etdiyi konfiqurasiya və kompüter kodunda təhlükəsizlik boşluqlarını tapmaq üçün Google Axtarış və digər Google proqramlarından istifadə edən haker texnikası.[1][2]

Google dorkinq, boşluqları olan veb-saytlarda mətnin xüsusi bölmələrinin, məsələn, həssas Veb proqramlarının xüsusi versiyalarının tapılması üçün Google axtarış sistemindəki operatorlardan istifadə etməyi nəzərdə tutur. intitle:admbook intitle:Fversion filetype:php kimi axtarış sorğuları başlıqlarında "admbook" və "Fversion" sətirləri olan PHP veb səhifələrini tapacaq ki, bu da o səhifələrdə kod inyeksiyası boşluğu olan PHP əsaslı guestbook olan Admbook-dan istifadə edildiyini göstərir. Tətbiqlərin defolt quraşdırmalarının yaratdığı hər bir səhifədə versiya nömrəsini göstərməsi normaldır, məsələn, həssas versiyaları işləyən veb-saytları axtarmaq üçün "Powered by XOOPS 2.2.3 Final" sözü istifadə edilə bilər.

İnternetə qoşulmuş cihazları da tapmaq mümkündür. Məsələn inurl:"ViewerFrame?Mode=" axtarmaq açıq olan veb-kamera interfeyslərini tapacaq.

"Google Hacking" anlayışı 2002-ci ilin avqustunda Kris Sullonun Nikto boşluq skanerinin 1.20 buraxılışına "nikto_google.plugin" əlavə etdiyi vaxta təsadüf edir.[3] 2002-ci ilin dekabrında Coni Lonq həssas sistemləri və/yaxud həssas məlumatların açıqlanmasını aşkar edən Google axtarış sorğularını toplamağa başladı və onları googleDorks adlandırmağa başladı.[4]

Google Dorks siyahısı 2004-cü ildə orijinal Google Hacking Database (GHDB) şəklində təşkil edilmiş böyük sorğu lüğətinə çevrildi.[5][6]

Google hacking-də aşkar olunmuş bu anlayışlar Bing[7]Shodan[8] kimi digər axtarış sistemlərinə də şamil edilib. Avtomatlaşdırılmış hücum alətləri[9] axtarış motorları tərəfindən indeksləşdirilmiş ictimai sistemlərdə həssas sistemləri və həssas məlumat açıqlamalarını tapmaq üçün xüsusi axtarış lüğətlərindən istifadə edir.[10]

Google dorkinq bəzi məşhur kibercinayətkarlıq işlərində, məsələn, Bouman Prospekti Bəndinin ələ keçirilməsində[11]MKİ-nin dünya miqyasındakı şəbəkələrinin təxminən 70%-nin ələ keçirildiyi hücumda istifadə edilib.[12] Hüquqşünas alim Star Keşmen bu texnikanın qanuniliyini araşdıran ilk şəxslərdən biridir.[13] Keşmen iddia edir ki, Google dorkinq texniki cəhətdən qanuni olsa da, o, tez-tez kibercinayətkarlıq etmək üçün istifadə olunur və Kompüter Fırıldaqçılığı və Sui-istifadə Aktının pozulmasına səbəb olur.[14] Onun araşdırması bu texnikanın hüquqi və etik nəticələrini vurğulayaraq, onun istifadəsinə daha çox diqqət və tənzimləmənin tətbiq edilməsinin zəruriliyini vurğulayıb.

Robots.txt axtarış sisteminin optimallaşdırılması və Google dorkinqdən qorunmaq üçün istifadə oluna biləcək fayldır. Bu, hər şeyə və ya xüsusi uc nöqtələrə icazə verməmək üçün robots.txt istifadəsini nəzərdə tutur (ancaq hakerlər hələ də uc nöqtələr üçün robots.txt-də axtarış apara bilər). Robots.txt Google botlarının admin panelləri kimi həssas son nöqtələri indeksləməsinin qarşısını alır.

  1. Bort, Julie. "Term Of The Day: 'Google Dorking'". Business Insider. 2020-06-19 tarixində arxivləşdirilib. İstifadə tarixi: 2024-01-07.
  2. "What is a Google dork query and how to protect yourself?". Tech Target (ingilis). 2020-01-16 tarixində arxivləşdirilib. İstifadə tarixi: 2024-01-07.
  3. "nikto-versions/nikto-1.20.tar.bz2 at master · sullo/nikto-versions". GitHub (ingilis). 2023-08-30 tarixində arxivləşdirilib. İstifadə tarixi: 2023-08-30.
  4. "googleDorks created by Johnny Long". Johnny Long. December 8, 2002 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: December 8, 2002.
  5. "Google Hacking Database (GHDB) in 2004". Johnny Long. July 7, 2007 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: October 5, 2004.
  6. Google Hacking for Penetration Testers, Volume 1. Johnny Long. 2005. ISBN 1931836361.
  7. "Bing Hacking Database (BHDB) v2". Bishop Fox. July 15, 2013. June 8, 2019 tarixində arxivləşdirilib. İstifadə tarixi: August 27, 2014.
  8. "Shodan Hacking Database (SHDB) - Part of SearchDiggity tool suite". Bishop Fox. June 8, 2019 tarixində arxivləşdirilib. İstifadə tarixi: June 21, 2013.
  9. "SearchDiggity - Search Engine Attack Tool Suite". Bishop Fox. July 15, 2013. June 8, 2019 tarixində arxivləşdirilib. İstifadə tarixi: August 27, 2014.
  10. "Google Hacking History". Bishop Fox. July 15, 2013. June 3, 2019 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: August 27, 2014.
  11. "Seven Iranians Working for Islamic Revolutionary Guard Corps-Affiliated Entities Charged for Conducting Coordinated Campaign of Cyber Attacks Against U.S. Financial Sector". UNITED STATES DEPARTMENT OF JUSTICE. 2023-09-24 tarixində arxivləşdirilib. İstifadə tarixi: 2024-01-07.
  12. Gallagher, Sean. "How did Iran find Cia Spies? They googled it". Ars Technica. 2023-10-18 tarixində arxivləşdirilib. İstifadə tarixi: 2024-01-07.
  13. Kashman, Star. "GOOGLE DORKING OR LEGAL HACKING: FROM THE CIA COMPROMISE TO YOUR CAMERAS AT HOME, WE ARE NOT AS SAFE AS WE THINK". Wash. J. L. Tech. & Arts. 18 (2). 2023.
  14. Kashman, Star. "GOOGLE DORKING OR LEGAL HACKING: FROM THE CIA COMPROMISE TO YOUR CAMERAS AT HOME, WE ARE NOT AS SAFE AS WE THINK". Washington Journal of Law, Technology & Arts. 18 (2). 2023: 1. 2023-10-23 tarixində arxivləşdirilib. İstifadə tarixi: 2024-01-07.

Xarici keçidlər

[redaktə | mənbəni redaktə et]