martes, 19 de mayo de 2015

Hacking Google

 

Hacking Google
Parámetros de búsqueda


Google Hacking implica el uso de operadores avanzados de Google en su motor de búsqueda para localizar cadenas específicas de texto dentro de los resultados de búsqueda. Algunos de los ejemplos más populares están encontrando versiones específicas de vulnerabilidad de aplicaciones web. Las consultas de búsqueda localizarían todas las páginas web que tiene diferentes tipos de filtros; ya sea por el título (intitle), por texto principal (intext), por url (inurl) o por otros filtros más.
Google puede encontrar cosas como: archivos confidenciales, vulnerabilidades web, contraseñas...Para llegar a ese punto, previamente debemos conocer y entender los operadores que nos ofrece Google para afinar las búsquedas.

site:dominio.com
Filtra la búsqueda dentro de un dominio
Ejemplo:
site:wikipedia.org

Filetype:extensión
Filtra la búsqueda para un tipo de archivo
Ejemplo:
filetype:pdf

Allintext:texto Este operador busca una
cadena de texto dentro de una página web y
no dentro de una URL. (No se puede utilizar
junto a otros)

Allintitle:texto Busca una cadena de texto
solo dentro del título de una web. (No se
puede utilizar junto a otros)

Intitle:texto Busca una cadena de texto
dentro del titulo de una web. (Se puede
utilizar junto a otros)

Allinurl:texto Busca una cadena de texto
solo en la url. (No se puede utilizar junto a
otros)

Inurl:texto Busca una cadena de texto en
la url. (Se puede utilizar junto a otros)

Author:texto Busca artículos o noticias
escritos por el nombre o la dirección de
correo indicada. (Se puede utilizar junto a
otros)

Cache:dominio.com Con este operador
accedemos a la web que Google tiene en su
caché. Útil para cuando borraron un tema y
no ha pasado mucho tiempo (No se puede
utilizar junto a otros)

Link:dominio.com Este operador se utiliza
para buscar enlaces que apunten a un
determinado sitio web. (No se puede utilizar
junto a otros)

Related:dominio.com Busca páginas
relacionadas. (No se puede utilizar junto a
otros)

Ejemplos: Si quieres un fichero de log con la ubicación de un fichero de contraseñas en texto plano publicadas en la web, pues nada filetype:log (o ext:log) y luego passwd.txt. Con eso te salen todos los sitios que han logeado la ruta donde guardan su fichero de claves.

 


Google indexa los zips, así que es probable que cuando hagas Google Hacking, si no miras en los ficheros zip no encuentres todo lo que hay, así que ya sabes: filetype:zip