通过一些搜索语法来进行过滤,然后获得自己想要内容。
工具/原料
搜索软件
MDB数据库搜索
1、当网站的管理员登录后台地址和管理员账号都蹲赓忧甘被黑客掌握时,就可以随意进行登录。Access数据库在谷歌中数据库是能被搜索的,因为Access数据库的默认扩展名.mdb
2、Microsoft Office Access是由微软发布的蔡龇呶挞关系数据库管理系统。它结合了MicrosoftJet Database En爿讥旌护gine 和图形用户界面两项特点,是 Microsoft Office 的系统程序之一。
3、使用filetype:mdb进行搜索
4、感觉自己英语能力不够,在搜索结果里找不到自己的目标。
管理后台搜索
1、对管理后台的搜索,原理是利用了管理后在标题中带有“后台管理”,“后台登录”,“后台”,“管理员登录”等关键字进行搜索。
2、intitle:管理员登录
3、扫描后结果
4、intitle搜索语法常与site语法结合来搜索指定的管理后台
搜索暴露的可访问文件列表
1、Intitle:操作符规定在结果页面的标题中需包含index of字段
2、last modified(最后更新)通常搜索结果拥有与普通搜索不同的标题
3、private(隐私):用来找出隐藏的信息
给管理员及安全工作者提供的安全方案
1、对搜索漏洞的防护,可以通过把禁止被搜索的敏感目录添加到robots.txt来实现。
2、robots.txt是一个文本文件,在这个文件中声明网站就可以不被搜索引擎收录。或者指定搜索引擎只收录指定的内容。
3、使用User-agentDisalllow:/可以禁止搜索引擎对网站所有目录的搜索。
4、User-agent:用于描述搜索引擎robots的名字。如参数“*”,则禁止所有搜索引擎的搜索。
5、Disa盟敢势袂llow:该值用于描述不希望被访问到的一个URL,URL可以是一条完整的路径,也可以是部分的路径,任何以Disallow开头的URL均不会被robots访问到。
6、 Allo嘛术铹砾w:该值用来描述希望被访问的一组URL,URL是一条完整的路径,也可以是路径的前缀,以Allow开头的URL是允许robots访问的。
7、副作用robot.txt文件会被利用直接访问robot.txt来获得它。