https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/

因應QA教育訓練,我把一直想要閱讀的測試文章變成了讀書討論的作業,這樣可以不用一個人自己看,趁心得分享時,也可以注意到是不是真的了解學會了

直接開始

WSTG-INFO-01

利用搜尋引擎進行資訊收集,來檢測系統是否有漏洞,這邊提到系統管理者需要設定robot.txt來防止不應該給人看到的資訊,小心不要被爬蟲爬到了

最多人用的google search engine,google hacking or google dorking

表列比較都是有名的search engine,其中https://www.shodan.io/ 這個最近常上新聞,因為可以找到別人elasticsearch db的資料,duckduckgo強調隱私,

很多人不知道隱私為什麼重要,想說如果知道我在search什麼,有廣告也很方便購物,但是這些會造成資安的破口,駭客可以利用這些資訊,進行網釣,應該不會有人想說上成人網站被別人知道的吧?

常用關鍵字,一定要試試看

site: 將搜索限制為提供的URL。

inurl: 只會返回網址中包含關鍵字的結果。

intitle: 將僅返回頁面標題中包含關鍵字的結果。

intext:或inbody:僅在頁面正文中搜索關鍵字。

filetype: 將僅匹配特定的文件類型,即png或php。

https://www.exploit-db.com/google-hacking-database 是介紹漏洞怎麼利用google search下條件可以得到隱私資料

https://resources.bishopfox.com/resources/tools/google-hacking-diggity/attack-tools/ 是有ui工具可以進階使用

看漏洞,英文版

https://www.exploit-db.com

看漏洞,中文版

https://www.seebug.org/

最後修改日期: 30/10/2020

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。