今回はGoogle Hacking(Google Dorks)についてです。

Google Hacking(Google Dorks)とは?

Google検索を利用して機密情報が漏洩しているサイトや脆弱性があるサイトなどを
見つけるテクニック。

Google Dorksの方が知名度でいえば高いです。どちらも同じ意味なので、ちょっとインパクトのある方をタイトルにしました。

Googleの検索ワードにGoogleの検索演算子を使うことで、上記のようなことができます。

多くのハッカーはこの手法を好んで使います。ターゲットの情報を簡単に見つけることが出来るためです。偵察の初期段階で使われることが多いです。

今回は、意図的に脆弱につくられたサイトをターゲットにします。この技術を悪用しないでください。

site:特定のサイトを検索

intitle:検索ページのタイトル

inurl:検索URL

filetype:特定のファイルタイプのみで検索

intext:ページのテキストのみを検索

組み合わせ

検索演算子はこれら以外にもたくさんあります。Cheat Sheet

これらを組み合わせることによって検索結果がより強力になります。管理者のディレクトリが閲覧可能な状態です。「create.sql」というSQLファイルが確認出来ます。

その他の公開されているディレクトリを確認することが出来ます。

他にも興味深い資産を確認することが出来ます。キーワードの組み合わせ次第です。

このように検索することで、ターゲットをより深く知ることが出来ます。

Google Hacking(Google Dorks)についてもっと知りたい方は、下記のサイトを参考にしてみてください。

https://www.exploit-db.com/google-hacking-database