• صفحه اصلی
  • تامین امنیت سایت
  • آموزش جامع
    • کلوپ امنیت 1
    • کلوپ امنیت 2
    • کلوپ امنیت پیشرفته
    • دوره تست نفوذ api
    • دوره جامع osint
    • دوره متخصص pentest
    • دوره امنیت وردپرس
    • رایتاپخونه پلی برای کسب تجربه
    • دوره منتورینگ vip با بهروز منصوری
  • غیر رسمی
  • بلاگ
  • ارتباط با ما
 

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت
  • صفحه اصلی
  • تامین امنیت سایت
  • آموزش جامع
    • کلوپ امنیت 1
    • کلوپ امنیت 2
    • کلوپ امنیت پیشرفته
    • دوره تست نفوذ api
    • دوره جامع osint
    • دوره متخصص pentest
    • دوره امنیت وردپرس
    • رایتاپخونه پلی برای کسب تجربه
    • دوره منتورینگ vip با بهروز منصوری
  • غیر رسمی
  • بلاگ
  • ارتباط با ما
0

هنوز هیچ محصولی خریداری نکرده اید.

وبلاگ

مرزبان بلاگ مقالات آموزشی گوگل هکینگ (google hacking) چیست؟

گوگل هکینگ (google hacking) چیست؟

مقالات آموزشی ، وبلاگ
ارسال شده توسط بهروز منصوری
1404/02/22
34 بازدید

در این مقاله بررسی می کنیم که گوگل هکینگ (google hacking) چیست؟ . چطور می تونیم اش استفاده کنیم؟

آشنایی با روش‌های یافتن آسیب‌پذیری با استفاده از موتور جستجوی گوگل

یکی از تکنیک‌های پرکاربرد در دنیای امنیت سایبری، بهره‌گیری از قدرت جستجوی گوگل برای کشف اطلاعات حساس، فایل‌های مخفی، پیکربندی‌های ناایمن و حتی باگ‌های امنیتی است. این روش که با نام‌های Google Hacking یا Google Dorking نیز شناخته می‌شود، به مجموعه‌ای از ترفندها اطلاق می‌گردد که با استفاده از اپراتورها و فیلترهای خاص در گوگل انجام می‌شود.

گوگل؛ ابزار نفوذی که به ظاهر بی‌خطر است!

در نگاه اول، گوگل فقط یک موتور جستجوی ساده برای یافتن اطلاعات عمومی است. اما در واقع، این موتور جستجو پایگاه داده عظیمی از صفحات ایندکس‌شده وب دارد که هر روز توسط ربات‌های خزنده (Crawler) آن بررسی و بروزرسانی می‌شوند. متخصصان امنیت و حتی مهاجمان می‌توانند با استفاده از دستورات خاصی مانند intitle:, inurl:, filetype:, site: و ترکیب آن‌ها، نتایجی را پیدا کنند که به‌صورت معمول در نتایج عادی نمایش داده نمی‌شوند.

کاربردهای گوگل هکینگ در امنیت سایبری

گوگل هکینگ می‌تواند در سناریوهای مختلفی به‌کار گرفته شود. برخی از رایج‌ترین کاربردها عبارتند از:

  • شناسایی فایل‌های حساس (مانند فایل‌های پشتیبان یا لاگ‌ها) که به‌صورت اشتباه روی اینترنت قرار گرفته‌اند.

  • کشف پنل‌های مدیریتی آسیب‌پذیر

  • یافتن اطلاعات لاگین، پسوردها یا کلیدهای API

  • شناسایی دوربین‌های مداربسته متصل به اینترنت

  • بررسی تنظیمات اشتباه سرورها یا نرم‌افزارهای نصب‌شده

الگوریتم‌های مهم موتور جستجوی گوگل

برای درک بهتر نحوه عملکرد گوگل و دلیل ایندکس شدن بعضی صفحات خاص، آشنایی با برخی از الگوریتم‌های این موتور جستجو ضروری است:

  • پاندا (Panda): تمرکز بر کیفیت محتوا و حذف صفحات کم‌ارزش از نتایج جستجو.

  • پنگوئن (Penguin): شناسایی لینک‌سازی‌های غیرطبیعی و حذف وب‌سایت‌های اسپم.

  • مرغ مگس‌خوار (Hummingbird): تحلیل مفهومی پرس‌وجوهای جستجو شده.

  • رنک برین (RankBrain): استفاده از هوش مصنوعی برای درک بهتر نیت کاربران.

  • کبوتر (Pigeon): بهبود جستجوی محلی و نمایش نتایج مرتبط با موقعیت جغرافیایی.

  • گورخر (Zebra): فیلتر کردن فروشگاه‌های اینترنتی نامعتبر.

  • کافئین (Caffeine): افزایش سرعت ایندکس کردن محتوا و توجه ویژه به محتوای شبکه‌های اجتماعی.

  • Payday Loan: مقابله با سایت‌هایی که از کلمات کلیدی اسپم استفاده می‌کنند.

  • mobilegeddon: اهمیت به نمایش صحیح وب‌سایت‌ها در موبایل و تبلت.

  • Page Layout و Page Authority: ارزیابی چیدمان و اعتبار صفحات برای رتبه‌بندی بهتر.

جمع‌بندی

اگرچه گوگل هیچ‌گونه ابزار ویژه‌ای برای نفوذ در اختیار کاربران قرار نمی‌دهد، اما اطلاعات نمایه‌شده توسط آن می‌تواند به یک معدن طلا برای تحلیلگران امنیتی تبدیل شود. در واقع، گوگل هکینگ بیشتر شبیه یک هنر است تا یک ابزار، و استفاده صحیح از آن می‌تواند در شناسایی آسیب‌پذیری‌ها و تقویت امنیت وب‌سایت‌ها نقش کلیدی ایفا کند.

گوگل هکینگ چیست؟

گوگل هکینگ یا Dorking چیست؟

هنر جستجوی پیشرفته برای کشف اطلاعات پنهان در اینترنت

در دنیای امنیت اطلاعات، ابزارهای ساده‌ای وجود دارند که با استفاده هوشمندانه، می‌توان از آن‌ها برای کشف اطلاعات ارزشمند استفاده کرد. یکی از این ابزارها، موتور جستجوی گوگل است که با تکنیکی به نام Google Hacking یا Google Dorking به یک ابزار قدرتمند برای جمع‌آوری اطلاعات تبدیل می‌شود.

گوگل هکینگ؛ جستجویی فراتر از معمول

گوگل هکینگ در اصل نوعی اطلاعات‌جمع‌آوری (Information Gathering) پیشرفته محسوب می‌شود که به‌جای ابزارهای پیچیده، تنها با نوشتن چند عبارت خاص در گوگل انجام می‌شود. این روش عمدتاً توسط هکرهای کلاه سفید، تحلیلگران امنیت و تست‌کنندگان نفوذ برای دستیابی به موارد زیر مورد استفاده قرار می‌گیرد:

  • شناسایی آسیب‌پذیری‌های وب‌اپلیکیشن‌ها

  • یافتن پایگاه‌های داده یا سرویس‌های آنلاین در معرض خطر

  • مشاهده صفحات خاصی از یک وب‌سایت که به‌صورت عمومی در دسترس نیستند

  • جستجوی محتواهایی با فرمت خاص مانند PDF، SQL، LOG و غیره

  • بررسی فایل‌ها یا دایرکتوری‌های ایندکس‌شده توسط گوگل

  • جمع‌آوری هدفمند اطلاعات برای اجرای فازهای بعدی تست نفوذ

نمونه‌ای از استفاده واقعی از Google Dork

فرض کنید می‌خواهیم تمام فایل‌های پایگاه داده با پسوند .sql که توسط گوگل ایندکس شده‌اند و در دایرکتوری‌های باز قرار دارند را بیابیم. تنها کافیست از دستور زیر در جستجوی گوگل استفاده کنیم:

intitle:”index of” filetype:sql

گوگل هکینگ

استفاده از اپراتورهای منطقی و پیشرفته در جستجوی گوگل برای هکرها و پژوهشگران امنیتی

جستجو در گوگل تنها به تایپ یک کلمه کلیدی ختم نمی‌شود؛ بلکه با کمک اپراتورهای منطقی می‌توان جستجوی هدفمند، دقیق و حرفه‌ای انجام داد. اپراتورهایی مانند AND، NOT و OR (که به حروف بزرگ حساس هستند) و همچنین علائمی مانند ~، - و *، به کاربران اجازه می‌دهند نتایج خود را فیلتر کرده و به اطلاعات مورد نظر سریع‌تر دست پیدا کنند.

اپراتورهای منطقی در گوگل

اپراتور کاربرد نمونه استفاده
AND یا + نمایش نتایجی که شامل تمام کلمات کلیدی باشند web AND application AND security یا web +application +security
NOT یا – حذف نتایجی که شامل یک کلمه خاص هستند web application –security
OR یا ` ` نمایش نتایجی که حداقل شامل یکی از کلمات باشند
~ یافتن مترادف‌های یک کلمه web application ~security
" جستجوی دقیق یک عبارت "web application security"
. جایگزین برای یک کاراکتر خاص .eb application security
* نماینده‌ای برای هر کلمه web * security
() گروه‌بندی اپراتورها و عبارات `(“web security”

اپراتورهای پیشرفته برای جستجوی دقیق‌تر

گوگل همچنین اپراتورهایی ارائه کرده است که امکان محدودسازی و فیلتر پیشرفته نتایج را فراهم می‌کنند. این اپراتورها برای تحلیل‌گران امنیت، باگ‌بانترها و توسعه‌دهندگان بسیار مفید هستند.

اپراتور توضیح مثال
site: جستجو در یک دامنه یا سایت خاص site:kaliboys.com
filetype: محدودسازی به نوع خاصی از فایل‌ها mysqldump filetype:sql
link: پیدا کردن صفحاتی که به یک سایت لینک داده‌اند link:www.kaliboys.com
cache: نمایش نسخه کش‌شده یک صفحه توسط گوگل cache:kaliboys.com
intitle: نمایش صفحاتی که عبارت مورد نظر در عنوان آن‌ها آمده است intitle:"index of"
inurl: نمایش نتایجی که عبارت مورد نظر در URL آن‌ها قرار دارد inurl:passwords.txt

مثال کاربردی از دورک‌نویسی برای یافتن فایل‌های حساس

با ترکیب اپراتورهای بالا، می‌توان دورک‌های سفارشی و خاصی ایجاد کرد تا محتوای حساس یا فاش‌شده در وب را کشف کرد. به عنوان نمونه:

“PHP Credits” “Configuration” “PHP Core” filetype:php inurl:info

این کوئری صفحات phpinfo را که توسط گوگل ایندکس شده‌اند، پیدا می‌کند؛ اطلاعاتی که گاهی شامل نسخه PHP، تنظیمات سرور و ماژول‌های فعال است و برای یک هکر می‌تواند بسیار ارزشمند باشد.

نمونه‌هایی از دورک‌های پیشرفته برای Google Hacking

در دنیای تست نفوذ و باگ‌بانتی، استفاده از گوگل به‌عنوان یک ابزار اطلاعاتی قدرتمند شناخته می‌شود. با کمک دورک‌ها (Google Dorks)، می‌توان اطلاعات حساسی را که به‌صورت ناخواسته در وب در دسترس قرار گرفته‌اند، شناسایی کرد. در جدول زیر برخی از دورک‌های کاربردی و پیشرفته برای جستجوی امنیتی در گوگل آورده شده‌اند:

اپراتور پیشرفته توضیح نمونه جستجو
intitle: شناسایی دایرکتوری‌هایی که فایل .htaccess در آن‌ها ایندکس شده است intitle:"Index of /" +.htaccess
inurl: یافتن داشبوردهای نمایشی Kibana که به صورت عمومی در دسترس هستند inurl:/app/kibana "Kibana" -discuss -ipaddress -git
intitle: نمایش دایرکتوری‌هایی که فایل httpd.pid در آن‌ها وجود دارد intitle:"index of" "httpd.pid"
intitle: کشف فایل‌هایی حاوی اطلاعات کاربران مانند /ftpusers intitle:"index of" "/ftpusers"
inurl: دسترسی به اطلاعات مربوط به پروفایل کاربران در صفحات PHP inurl:/profile.php?lookup=1
index of مشاهده ساختار مسیرهایی که شامل فایل‌منیجر FCKeditor هستند index of admin/fckeditor/editor/filemanager/

 

اگر به هک و امنیت علاقه داری همین الان صفحه کلوپ امنیت ۱ و پیشرفته رو ببین.

برچسب ها: Google Dorkgoogle hackingآموزش امنیتآموزش هکابزارهای ریکانامنیتامنیت وبباگ بانتیتست نفوذدورک امنیتیکشف اطلاعات حساسگوگل هکینگهکهوش مصنوعی

قدیمی تر شماره 26 غیر رسمی

محصولات فروش ویژه
  • چطور با گزارش خوب در سایت‌های داخلی کسب درآمد کنیم؟
    کسب درآمد از طریق گزارش باگ در سایت‌های داخلی
  • دوره درک عمیق آسیب‌پذیری
    درک عمیق آسیب‌پذیری
  • مینی دوره مهندسی اجتماعی
    مینی دوره مهندسی اجتماعی
  • گزارش نویسی حرفه ای در باگ هانتینگ
    گزارش نویسی حرفه‌ای در Bug Hunting
دسته‌ها
  • رایتاپ
  • غیر رسمی
  • مقالات آموزشی
  • وبلاگ
  • ویدیوهای آموزشی
درباره ما

هدف از راه‌اندازی این سایت تلاش در جهت ورود شما به بازار کار است.افراد زیادی را میشناسیم که مشغول کارهای کارمندی هستند، شاید حتی پول نسبتا خوبی هم به دست میاورند ولی از کارشان لذت نمیبرند.

هدف ما اینجا این است که شما از کاری که علاقه‌ دارید و از انجام دادنش لذت می‌برید به صورت قانونی پول در بیاورید و نکته مهم اینجاست که حوزه هک و امنیت یک حوزه پولساز است به شرط این که راه درست را انتخاب کنید و از مسیر درست به دنبال نتیجه گرفتن باشید.

دسترسی سریع
  • دوره منتورینگ vip بهروز منصوری
  • کلوپ امنیت 1
  • کلوپ امنیت 2
  • کلوپ امنیت پیشرفته
  • دوره تست نفوذ api
  • دوره جامع اوسینت
  • دوره امنیت وردپرس
  • دوره متخصص pentest
  • رایتاپخونه
  • ارتباط با ما
  • تماس: 09126216410
  • ایمیل: mr.mansoori@yahoo.com

تمامی حقوق برای مرزبان محفوظ می باشد.

طراحی توسط مرزبان

در صورت نیاز به مشاوره می توانید فرم را تکمیل نمایید و یا با ما در ارتباط باشید.

جستجو

جستجو با زدن Enter و بستن با زدن ESC