jSQL ইনজেকশন ব্যবহারের জন্য নির্দেশাবলী, কালি লিনাক্সে এসকিউএল ইনজেকশনগুলি খুঁজে বের করার এবং শোষণ করার জন্য একটি বহুমুখী টুল। dorks বা ব্যক্তিগত dorks সব প্রেমীদের সম্পর্কে সংস্থাগুলি inurl পর্যালোচনা php

ডাবল ক্লিক করে ডাউনলোড করা ফাইলটি চালান (আপনার একটি ভার্চুয়াল মেশিন থাকতে হবে)।

3. এসকিউএল ইনজেকশনের জন্য একটি সাইট পরীক্ষা করার সময় বেনামী

কালি লিনাক্সে টর এবং প্রিভক্সি সেট আপ করা হচ্ছে

[উন্নয়নের অধীনে বিভাগ]

উইন্ডোজে টর এবং প্রিভক্সি সেট আপ করা হচ্ছে

[উন্নয়নের অধীনে বিভাগ]

jSQL ইনজেকশনে প্রক্সি সেটিংস

[উন্নয়নের অধীনে বিভাগ]

4. jSQL ইনজেকশন দিয়ে SQL ইনজেকশনের জন্য সাইট পরীক্ষা করা হচ্ছে

প্রোগ্রামের সাথে কাজ করা অত্যন্ত সহজ। শুধু ওয়েবসাইটের ঠিকানা লিখুন এবং ENTER টিপুন।

নিম্নলিখিত স্ক্রিনশটটি দেখায় যে সাইটটি তিন ধরনের SQL ইনজেকশনের জন্য ঝুঁকিপূর্ণ (তাদের সম্পর্কে তথ্য নীচের ডানদিকে নির্দেশিত)। ইনজেকশনগুলির নামগুলিতে ক্লিক করে আপনি ব্যবহৃত পদ্ধতিটি পরিবর্তন করতে পারেন:

এছাড়াও, বিদ্যমান ডাটাবেসগুলি ইতিমধ্যে আমাদের কাছে প্রদর্শিত হয়েছে।

আপনি প্রতিটি টেবিলের বিষয়বস্তু দেখতে পারেন:

সাধারণত, টেবিল সম্পর্কে সবচেয়ে আকর্ষণীয় জিনিস হল অ্যাডমিনিস্ট্রেটর শংসাপত্র।

আপনি যদি ভাগ্যবান হন এবং আপনি প্রশাসকের ডেটা খুঁজে পান, তবে আনন্দ করা খুব তাড়াতাড়ি। আপনাকে এখনও অ্যাডমিন প্যানেলটি খুঁজে বের করতে হবে যেখানে এই ডেটা প্রবেশ করতে হবে৷

5. jSQL ইনজেকশন দিয়ে অ্যাডমিন প্যানেল খুঁজুন

এটি করতে, পরবর্তী ট্যাবে যান। এখানে আমরা সম্ভাব্য ঠিকানাগুলির একটি তালিকা দিয়ে অভ্যর্থনা জানাচ্ছি। আপনি চেক করতে এক বা একাধিক পৃষ্ঠা নির্বাচন করতে পারেন:

সুবিধাটি এই সত্যের মধ্যে রয়েছে যে আপনাকে অন্য প্রোগ্রামগুলি ব্যবহার করার দরকার নেই।

দুর্ভাগ্যবশত, খুব বেশি অসতর্ক প্রোগ্রামার নেই যারা পরিষ্কার পাঠ্যে পাসওয়ার্ড সংরক্ষণ করে। প্রায়শই পাসওয়ার্ড লাইনে আমরা এরকম কিছু দেখতে পাই

8743b52063cd84097a65d1633f5c74f5

এটি একটি হ্যাশ. আপনি পাশবিক শক্তি ব্যবহার করে এটি ডিক্রিপ্ট করতে পারেন। এবং... jSQL ইনজেকশনের একটি বিল্ট-ইন ব্রুট ফোর্স রয়েছে।

6. jSQL ইনজেকশন ব্যবহার করে ব্রুট ফোর্স হ্যাশ

নিঃসন্দেহে সুবিধা হল যে আপনাকে অন্য প্রোগ্রামগুলি সন্ধান করতে হবে না। অনেক জনপ্রিয় হ্যাশের জন্য সমর্থন আছে।

এটি সেরা বিকল্প নয়। ডিকোডিং হ্যাশগুলিতে গুরু হওয়ার জন্য, রাশিয়ান ভাষায় "" বইটি সুপারিশ করা হয়।

কিন্তু, অবশ্যই, যখন হাতে অন্য কোনও প্রোগ্রাম নেই বা অধ্যয়নের সময় নেই, তখন jSQL ইনজেকশন এর অন্তর্নির্মিত ব্রুট ফোর্স ফাংশনটি খুব কাজে আসবে।

সেটিংস আছে: আপনি সেট করতে পারেন কোন অক্ষরগুলি পাসওয়ার্ডে অন্তর্ভুক্ত করা হবে, পাসওয়ার্ডের দৈর্ঘ্যের পরিসর।

7. এসকিউএল ইনজেকশন সনাক্ত করার পরে ফাইল অপারেশন

ডাটাবেসগুলির সাথে ক্রিয়াকলাপগুলি ছাড়াও - সেগুলি পড়া এবং সংশোধন করা, যদি এসকিউএল ইনজেকশনগুলি সনাক্ত করা হয় তবে নিম্নলিখিত ফাইলগুলি সম্পাদন করা যেতে পারে:

• সার্ভারে ফাইল পড়া
• সার্ভারে নতুন ফাইল আপলোড করা হচ্ছে
• সার্ভারে শেল আপলোড করা হচ্ছে

আর এই সবই বাস্তবায়িত হয় jSQL ইনজেকশনে!

বিধিনিষেধ আছে - এসকিউএল সার্ভারের অবশ্যই ফাইলের সুবিধা থাকতে হবে। স্মার্ট সিস্টেম অ্যাডমিনিস্ট্রেটররা তাদের অক্ষম করে রেখেছে এবং ফাইল সিস্টেমে অ্যাক্সেস পেতে সক্ষম হবে না।

ফাইলের সুবিধার উপস্থিতি পরীক্ষা করা বেশ সহজ। একটি ট্যাবে যান (ফাইল পড়া, একটি শেল তৈরি করা, একটি নতুন ফাইল আপলোড করা) এবং নির্দিষ্ট ক্রিয়াকলাপগুলির একটি সম্পাদন করার চেষ্টা করুন।

আরেকটি খুব গুরুত্বপূর্ণ নোট - আমরা যে ফাইলটির সাথে কাজ করব তার সঠিক পরম পথটি আমাদের জানতে হবে - অন্যথায় কিছুই কাজ করবে না।

নিম্নলিখিত স্ক্রিনশট দেখুন:

একটি ফাইলে কাজ করার যেকোনো প্রচেষ্টার জন্য, আমরা নিম্নলিখিত প্রতিক্রিয়া পাই: কোন FILE বিশেষাধিকার নেই(কোন ফাইলের সুবিধা নেই)। এবং এখানে কিছুই করা যাবে না।

পরিবর্তে যদি আপনার অন্য ত্রুটি থাকে:

[directory_name] এ লিখতে সমস্যা হচ্ছে

এর মানে হল যে আপনি ভুলভাবে পরম পথ নির্দিষ্ট করেছেন যেখানে আপনি ফাইলটি লিখতে চান।

একটি পরম পথ অনুমান করার জন্য, আপনাকে কমপক্ষে সার্ভারটি যে অপারেটিং সিস্টেমে চলছে তা জানতে হবে। এটি করতে, নেটওয়ার্ক ট্যাবে স্যুইচ করুন।

যেমন একটি রেকর্ড (লাইন Win64) আমাদের অনুমান করার কারণ দেয় যে আমরা Windows OS নিয়ে কাজ করছি:

Keep-Alive: timeout=5, max=99 সার্ভার: Apache/2.4.17 (Win64) PHP/7.0.0RC6 সংযোগ: কিপ-অ্যালাইভ পদ্ধতি: HTTP/1.1 200 ঠিক আছে বিষয়বস্তু-দৈর্ঘ্য: 353 তারিখ: শুক্র, 11 ডিসেম্বর 2015 11:48:31 GMT X-চালিত-দ্বারা: PHP/7.0.0RC6 বিষয়বস্তু-প্রকার: পাঠ্য/html; charset=UTF-8

এখানে আমাদের কিছু ইউনিক্স (*BSD, Linux):

স্থানান্তর-এনকোডিং: খণ্ডিত তারিখ: শুক্র, 11 ডিসেম্বর 2015 11:57:02 GMT পদ্ধতি: HTTP/1.1 200 ঠিক আছে কিপ-অ্যালাইভ: টাইমআউট=3, সর্বোচ্চ=100 কানেকশন: কিপ-লাইভ কন্টেন্ট-টাইপ: টেক্সট/এইচটিএমএল এক্স- দ্বারা চালিত: PHP/5.3.29 সার্ভার: Apache/2.2.31 (Unix)

এবং এখানে আমাদের CentOS আছে:

পদ্ধতি: HTTP/1.1 200 OK মেয়াদ শেষ হচ্ছে: বৃহস্পতি, 19 নভেম্বর 1981 08:52:00 GMT সেট-কুকি: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ সংযোগ: কিপ-লাইভ এক্স-ক্যাশে-লুকআপ: MISS from t1.hoster.ru:6666 সার্ভার: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS থেকে t1.hoster.ru ক্যাশে-কন্ট্রোল: নো-স্টোর, নো-ক্যাশে, অবশ্যই পুনঃপ্রমাণ করা, পোস্ট-চেক=0, প্রি-চেক=0 প্রাগমা: নো-ক্যাশে তারিখ: শুক্র, 11 ডিসেম্বর 2015 12:08:54 GMT স্থানান্তর-এনকোডিং: খণ্ডিত সামগ্রী-প্রকার: পাঠ্য/এইচটিএমএল; charset=WINDOWS-1251

উইন্ডোজে, সাইটগুলির জন্য একটি সাধারণ ফোল্ডার সি: সার্ভার \ ডেটা \ htdocs \. তবে, আসলে, যদি কেউ উইন্ডোজে একটি সার্ভার তৈরি করার "চিন্তা" করে, তবে খুব সম্ভবত, এই ব্যক্তি বিশেষাধিকার সম্পর্কে কিছুই শুনেননি। অতএব, আপনি সরাসরি C:/Windows/ ডিরেক্টরি থেকে চেষ্টা করা শুরু করুন:

আপনি দেখতে পাচ্ছেন, প্রথমবার সবকিছু ঠিকঠাক হয়ে গেছে।

কিন্তু jSQL ইনজেকশন শেল নিজেই আমার মনে সন্দেহ জাগায়। আপনার যদি ফাইলের সুবিধা থাকে, তাহলে আপনি সহজেই একটি ওয়েব ইন্টারফেস দিয়ে কিছু আপলোড করতে পারেন।

8. SQL ইনজেকশনের জন্য সাইটগুলির বাল্ক চেকিং

এমনকি এই ফাংশনটি jSQL ইনজেকশনেও পাওয়া যায়। সবকিছু অত্যন্ত সহজ - সাইটগুলির একটি তালিকা ডাউনলোড করুন (একটি ফাইল থেকে আমদানি করা যেতে পারে), আপনি যেগুলি পরীক্ষা করতে চান সেগুলি নির্বাচন করুন এবং অপারেশন শুরু করতে উপযুক্ত বোতামটি ক্লিক করুন।

jSQL ইনজেকশন থেকে উপসংহার

ওয়েবসাইটগুলিতে পাওয়া এসকিউএল ইনজেকশনগুলি অনুসন্ধান এবং তারপর ব্যবহার করার জন্য jSQL ইনজেকশন হল একটি ভাল, শক্তিশালী টুল। এর নিঃসন্দেহে সুবিধা: ব্যবহারের সহজতা, অন্তর্নির্মিত সম্পর্কিত ফাংশন। ওয়েবসাইট বিশ্লেষণ করার সময় jSQL Injection একজন শিক্ষানবিশের সেরা বন্ধু হতে পারে।

ত্রুটিগুলির মধ্যে, আমি ডেটাবেস সম্পাদনা করার অসম্ভবতা নোট করব (অন্তত আমি এই কার্যকারিতা খুঁজে পাইনি)। সমস্ত GUI সরঞ্জামগুলির মতো, এই প্রোগ্রামের অসুবিধাগুলির মধ্যে একটি হল স্ক্রিপ্টগুলিতে ব্যবহার করার অক্ষমতাকে দায়ী করা যেতে পারে। তবুও, এই প্রোগ্রামে কিছু অটোমেশনও সম্ভব - ভর সাইট স্ক্যানিংয়ের অন্তর্নির্মিত ফাংশনের জন্য ধন্যবাদ।

প্রতিষ্ঠিত নমুনা এবং সনদপত্র. যেকোন অনুষদ এবং কোর্সে বিশেষ ছাড়ের জন্য!

ব্যক্তিগত ডেটা পাওয়ার মানে সবসময় হ্যাকিং নয় - কখনও কখনও এটি সর্বজনীনভাবে প্রকাশিত হয়। Google সেটিংসের জ্ঞান এবং সামান্য বুদ্ধিমত্তা আপনাকে অনেক আকর্ষণীয় জিনিস খুঁজে পেতে অনুমতি দেবে - ক্রেডিট কার্ড নম্বর থেকে FBI নথি।

সতর্কতা

সমস্ত তথ্য শুধুমাত্র তথ্যগত উদ্দেশ্যে প্রদান করা হয়. এই নিবন্ধের উপকরণগুলির দ্বারা সৃষ্ট সম্ভাব্য ক্ষতির জন্য সম্পাদক বা লেখক উভয়ই দায়ী নন।

আজ, সবকিছুই ইন্টারনেটের সাথে সংযুক্ত, অ্যাক্সেস সীমাবদ্ধ করার জন্য সামান্য উদ্বেগের সাথে। অতএব, অনেক ব্যক্তিগত তথ্য সার্চ ইঞ্জিনের শিকার হয়ে ওঠে। স্পাইডার রোবট আর ওয়েব পৃষ্ঠাগুলিতে সীমাবদ্ধ নয়, তবে ইন্টারনেটে উপলব্ধ সমস্ত সামগ্রীকে সূচী করে এবং তাদের ডেটাবেসে অবিরত অ-পাবলিক তথ্য যুক্ত করে। এই গোপন বিষয়গুলি খুঁজে বের করা সহজ - আপনাকে তাদের সম্পর্কে কীভাবে জিজ্ঞাসা করতে হবে তা জানতে হবে।

ফাইল খুঁজছেন

সক্ষম হাতে, গুগল দ্রুত সবকিছু খুঁজে পাবে যা ইন্টারনেটে পাওয়া যায় না, উদাহরণস্বরূপ, ব্যক্তিগত তথ্য এবং অফিসিয়াল ব্যবহারের জন্য ফাইল। এগুলি প্রায়শই একটি পাটির নীচে চাবির মতো লুকিয়ে থাকে: কোনও বাস্তব অ্যাক্সেসের বিধিনিষেধ নেই, ডেটা কেবল সাইটের পিছনে থাকে, যেখানে কোনও লিঙ্ক লিড করে না। স্ট্যান্ডার্ড Google ওয়েব ইন্টারফেস শুধুমাত্র মৌলিক উন্নত অনুসন্ধান সেটিংস প্রদান করে, কিন্তু এমনকি এইগুলি যথেষ্ট হবে।

আপনি দুটি অপারেটর ব্যবহার করে আপনার Google অনুসন্ধানকে একটি নির্দিষ্ট ধরণের ফাইলের মধ্যে সীমাবদ্ধ করতে পারেন: filetype এবং ext। প্রথমটি ফাইলের শিরোনাম থেকে সার্চ ইঞ্জিন দ্বারা নির্ধারিত বিন্যাসটি নির্দিষ্ট করে, দ্বিতীয়টি ফাইল এক্সটেনশনটি নির্দিষ্ট করে, তার অভ্যন্তরীণ বিষয়বস্তু নির্বিশেষে। উভয় ক্ষেত্রে অনুসন্ধান করার সময়, আপনাকে শুধুমাত্র এক্সটেনশনটি নির্দিষ্ট করতে হবে। প্রাথমিকভাবে, ext অপারেটরটি এমন ক্ষেত্রে ব্যবহার করা সুবিধাজনক ছিল যেখানে ফাইলের নির্দিষ্ট বিন্যাসের বৈশিষ্ট্য ছিল না (উদাহরণস্বরূপ, ini এবং cfg কনফিগারেশন ফাইলগুলি অনুসন্ধান করা, যা কিছু থাকতে পারে)। এখন Google এর অ্যালগরিদম পরিবর্তিত হয়েছে, এবং অপারেটরদের মধ্যে কোন দৃশ্যমান পার্থক্য নেই - বেশিরভাগ ক্ষেত্রে ফলাফল একই।

ফলাফল ফিল্টারিং

ডিফল্টরূপে, Google শব্দগুলির জন্য অনুসন্ধান করে এবং, সাধারণভাবে, সূচীকৃত পৃষ্ঠাগুলিতে সমস্ত ফাইলে প্রবেশ করা কোনো অক্ষর। আপনি শীর্ষ-স্তরের ডোমেন, একটি নির্দিষ্ট সাইট বা ফাইলগুলিতে অনুসন্ধানের ক্রমটির অবস্থান দ্বারা অনুসন্ধান এলাকা সীমাবদ্ধ করতে পারেন। প্রথম দুটি বিকল্পের জন্য, সাইট অপারেটর ব্যবহার করুন, ডোমেন বা নির্বাচিত সাইটের নাম অনুসরণ করুন৷ তৃতীয় ক্ষেত্রে, অপারেটরগুলির একটি সম্পূর্ণ সেট আপনাকে পরিষেবা ক্ষেত্র এবং মেটাডেটাতে তথ্য অনুসন্ধান করতে দেয়। উদাহরণস্বরূপ, allinurl প্রদত্তটিকে লিঙ্কের মূল অংশে খুঁজে পাবে, allinachor - ট্যাগ দিয়ে সজ্জিত পাঠ্যে , allintitle - পৃষ্ঠার শিরোনামে, allintext - পৃষ্ঠাগুলির মূল অংশে।

প্রতিটি অপারেটরের জন্য একটি ছোট নাম সহ একটি হালকা সংস্করণ রয়েছে (সব উপসর্গ ছাড়া)। পার্থক্য হল allinurl সমস্ত শব্দের সাথে লিঙ্ক খুঁজে পাবে, এবং inurl শুধুমাত্র প্রথমটির সাথে লিঙ্ক খুঁজে পাবে। কোয়েরি থেকে দ্বিতীয় এবং পরবর্তী শব্দগুলি ওয়েব পৃষ্ঠাগুলিতে যে কোনও জায়গায় উপস্থিত হতে পারে৷ inurl অপারেটর একই অর্থ সহ অন্য অপারেটর থেকে পৃথক - সাইট। প্রথমটি আপনাকে অনুসন্ধান করা নথিতে (উদাহরণস্বরূপ, /cgi-bin/) একটি লিঙ্কে অক্ষরের যেকোনো ক্রম খুঁজে পেতে দেয়, যা পরিচিত দুর্বলতা সহ উপাদানগুলি খুঁজে পেতে ব্যাপকভাবে ব্যবহৃত হয়।

এর অনুশীলনে এটি চেষ্টা করা যাক। আমরা অ্যালিনটেক্সট ফিল্টারটি গ্রহণ করি এবং অনুরোধটি ক্রেডিট কার্ডের নম্বর এবং যাচাইকরণ কোডগুলির একটি তালিকা তৈরি করি যা শুধুমাত্র দুই বছরের মধ্যে শেষ হবে (বা যখন তাদের মালিকরা সবাইকে খাওয়াতে ক্লান্ত হয়ে পড়ে)।

Allintext: কার্ড নম্বর মেয়াদ শেষ হওয়ার তারিখ /2017 cvv

আপনি যখন খবরে পড়েন যে একজন তরুণ হ্যাকার পেন্টাগন বা নাসার "সার্ভারে হ্যাক করেছে", শ্রেণীবদ্ধ তথ্য চুরি করেছে, বেশিরভাগ ক্ষেত্রে আমরা গুগল ব্যবহার করার এমন একটি প্রাথমিক কৌশল সম্পর্কে কথা বলছি। ধরুন আমরা নাসার কর্মীদের একটি তালিকা এবং তাদের যোগাযোগের তথ্যে আগ্রহী। নিশ্চয় এই ধরনের একটি তালিকা ইলেকট্রনিক আকারে পাওয়া যায়। সুবিধার জন্য বা তদারকির কারণে, এটি প্রতিষ্ঠানের ওয়েবসাইটেও থাকতে পারে। এটি যৌক্তিক যে এই ক্ষেত্রে এটির সাথে কোনও লিঙ্ক থাকবে না, যেহেতু এটি অভ্যন্তরীণ ব্যবহারের উদ্দেশ্যে। কি শব্দ এই ধরনের একটি ফাইল হতে পারে? সর্বনিম্ন - "ঠিকানা" ক্ষেত্র। এই সমস্ত অনুমান পরীক্ষা করা সহজ।

Inurl:nasa.gov ফাইলের ধরন:xlsx "ঠিকানা"

আমরা আমলাতন্ত্র ব্যবহার করি

এই মত খুঁজে একটি চমৎকার স্পর্শ. ওয়েবমাস্টারদের জন্য Google-এর অপারেটরদের আরও বিশদ জ্ঞান, নেটওয়ার্ক নিজেই, এবং যা চাওয়া হচ্ছে তার কাঠামোর অদ্ভুততা দ্বারা একটি সত্যিকারের কঠিন ক্যাচ প্রদান করা হয়। বিশদটি জেনে, আপনি সহজেই ফলাফলগুলি ফিল্টার করতে পারেন এবং বাকিগুলিতে সত্যই মূল্যবান ডেটা পেতে প্রয়োজনীয় ফাইলগুলির বৈশিষ্ট্যগুলিকে পরিমার্জন করতে পারেন৷ এটা মজার যে আমলাতন্ত্র এখানে উদ্ধারে আসে। এটি স্ট্যান্ডার্ড ফর্মুলেশন তৈরি করে যা দুর্ঘটনাক্রমে ইন্টারনেটে ফাঁস হওয়া গোপন তথ্য অনুসন্ধানের জন্য সুবিধাজনক।

উদাহরণস্বরূপ, ডিস্ট্রিবিউশন স্টেটমেন্ট স্ট্যাম্প, ইউএস ডিপার্টমেন্ট অফ ডিফেন্সের দ্বারা প্রয়োজনীয়, মানে একটি নথির বিতরণের উপর প্রমিত বিধিনিষেধ। A চিঠিটি প্রকাশ্য প্রকাশকে বোঝায় যেখানে গোপন কিছু নেই; B - শুধুমাত্র অভ্যন্তরীণ ব্যবহারের জন্য উদ্দিষ্ট, C - কঠোরভাবে গোপনীয়, এবং F যতক্ষণ পর্যন্ত না। X অক্ষরটি আলাদাভাবে দাঁড়িয়েছে, যা বিশেষভাবে মূল্যবান তথ্যকে চিহ্নিত করে যা সর্বোচ্চ স্তরের রাষ্ট্রীয় গোপনীয়তার প্রতিনিধিত্ব করে। যাদের ডিউটিতে এটি করার কথা তাদের এই ধরনের নথিগুলি অনুসন্ধান করতে দিন, এবং আমরা নিজেদেরকে সি অক্ষরের ফাইলগুলিতে সীমাবদ্ধ রাখব। DoDI নির্দেশিকা 5230.24 অনুসারে, এই মার্কিংটি রপ্তানি নিয়ন্ত্রণের আওতায় পড়ে এমন গুরুত্বপূর্ণ প্রযুক্তিগুলির বিবরণ সম্বলিত নথিতে বরাদ্দ করা হয়েছে। . আপনি মার্কিন সেনাবাহিনীর জন্য বরাদ্দ শীর্ষ-স্তরের domain.mil-এ সাইটগুলিতে এই ধরনের সাবধানে সুরক্ষিত তথ্য পেতে পারেন।

"ডিস্ট্রিবিউশন স্টেটমেন্ট সি" inurl:navy.mil

এটা খুবই সুবিধাজনক যে .mil ডোমেনে শুধুমাত্র মার্কিন প্রতিরক্ষা বিভাগ এবং এর চুক্তি সংস্থাগুলির সাইট রয়েছে৷ একটি ডোমেন সীমাবদ্ধতা সহ অনুসন্ধান ফলাফলগুলি ব্যতিক্রমীভাবে পরিষ্কার এবং শিরোনামগুলি নিজেদের জন্য কথা বলে৷ এইভাবে রাশিয়ান গোপনীয়তাগুলি অনুসন্ধান করা কার্যত অকেজো: domains.ru এবং.rf-এ বিশৃঙ্খলা রাজত্ব করছে এবং অনেক অস্ত্র সিস্টেমের নাম বোটানিকালের মতো শোনাচ্ছে (পিপি "কিপারিস", স্ব-চালিত বন্দুক "আকাতসিয়া") বা এমনকি কল্পিত ( TOS "বুরাটিনো")।

.mil ডোমেনের একটি সাইট থেকে যেকোন নথি সাবধানে অধ্যয়ন করে, আপনি আপনার অনুসন্ধানকে পরিমার্জিত করতে অন্যান্য চিহ্নিতকারী দেখতে পারেন। উদাহরণস্বরূপ, রপ্তানি বিধিনিষেধের একটি রেফারেন্স "Sec 2751", যা আকর্ষণীয় প্রযুক্তিগত তথ্য অনুসন্ধানের জন্যও সুবিধাজনক। সময়ে সময়ে এটি অফিসিয়াল সাইটগুলি থেকে সরানো হয় যেখানে এটি একবার উপস্থিত হয়েছিল, তাই আপনি যদি অনুসন্ধান ফলাফলে একটি আকর্ষণীয় লিঙ্ক অনুসরণ করতে না পারেন তবে Google এর ক্যাশে (ক্যাশে অপারেটর) বা ইন্টারনেট সংরক্ষণাগার সাইট ব্যবহার করুন।

মেঘের মধ্যে আরোহণ

দুর্ঘটনাক্রমে ডিক্লাসিফায়েড সরকারি নথি ছাড়াও, ড্রপবক্স থেকে ব্যক্তিগত ফাইলের লিঙ্ক এবং অন্যান্য ডেটা স্টোরেজ পরিষেবা যা সর্বজনীনভাবে প্রকাশিত ডেটার "ব্যক্তিগত" লিঙ্ক তৈরি করে মাঝে মাঝে Google এর ক্যাশে পপ আপ করে। এটি বিকল্প এবং বাড়িতে তৈরি পরিষেবাগুলির সাথে আরও খারাপ। উদাহরণস্বরূপ, নিম্নলিখিত ক্যোয়ারীটি সমস্ত Verizon গ্রাহকদের জন্য ডেটা খুঁজে পায় যাদের একটি FTP সার্ভার ইনস্টল করা আছে এবং সক্রিয়ভাবে তাদের রাউটার ব্যবহার করে৷

Allinurl:ftp:// verizon.net

এখন এমন চল্লিশ হাজারেরও বেশি স্মার্ট মানুষ রয়েছে এবং 2015 সালের বসন্তে তাদের মধ্যে আরও অনেক ছিল। Verizon.net-এর পরিবর্তে, আপনি যে কোনও সুপরিচিত প্রদানকারীর নাম প্রতিস্থাপন করতে পারেন এবং এটি যত বেশি বিখ্যাত, ক্যাচটি তত বড় হতে পারে। অন্তর্নির্মিত FTP সার্ভারের মাধ্যমে, আপনি রাউটারের সাথে সংযুক্ত একটি বহিরাগত স্টোরেজ ডিভাইসে ফাইলগুলি দেখতে পারেন। সাধারণত এটি দূরবর্তী কাজ, একটি ব্যক্তিগত ক্লাউড বা পিয়ার-টু-পিয়ার ফাইল ডাউনলোড করার জন্য একটি NAS। এই ধরনের মিডিয়ার সমস্ত বিষয়বস্তু Google এবং অন্যান্য সার্চ ইঞ্জিন দ্বারা সূচিত করা হয়, তাই আপনি সরাসরি লিঙ্কের মাধ্যমে বহিরাগত ড্রাইভে সঞ্চিত ফাইলগুলি অ্যাক্সেস করতে পারেন।

কনফিগারেশন দেখছি

ক্লাউডে ব্যাপকভাবে স্থানান্তরিত হওয়ার আগে, সাধারণ FTP সার্ভারগুলি দূরবর্তী সঞ্চয়স্থান হিসাবে শাসন করত, যার অনেক দুর্বলতাও ছিল। তাদের মধ্যে অনেক আজও প্রাসঙ্গিক। উদাহরণস্বরূপ, জনপ্রিয় WS_FTP প্রফেশনাল প্রোগ্রাম ws_ftp.ini ফাইলে কনফিগারেশন ডেটা, ব্যবহারকারীর অ্যাকাউন্ট এবং পাসওয়ার্ড সংরক্ষণ করে। এটি খুঁজে পাওয়া এবং পড়া সহজ, যেহেতু সমস্ত রেকর্ড টেক্সট ফর্ম্যাটে সংরক্ষিত হয় এবং পাসওয়ার্ডগুলি ন্যূনতম অস্পষ্টতার পরে ট্রিপল ডিইএস অ্যালগরিদম দিয়ে এনক্রিপ্ট করা হয়। বেশিরভাগ সংস্করণে, প্রথম বাইটটি বাতিল করাই যথেষ্ট।

WS_FTP পাসওয়ার্ড ডিক্রিপ্টর ইউটিলিটি বা একটি বিনামূল্যের ওয়েব পরিষেবা ব্যবহার করে এই জাতীয় পাসওয়ার্ডগুলি ডিক্রিপ্ট করা সহজ।

একটি নির্বিচারে ওয়েবসাইট হ্যাক করার বিষয়ে কথা বলার সময়, তারা সাধারণত সিএমএস বা ই-কমার্স অ্যাপ্লিকেশনের কনফিগারেশন ফাইলগুলির লগ এবং ব্যাকআপ থেকে একটি পাসওয়ার্ড প্রাপ্ত করার অর্থ বোঝায়। আপনি যদি তাদের সাধারণ গঠন জানেন তবে আপনি সহজেই কীওয়ার্ডগুলি নির্দেশ করতে পারেন। ws_ftp.ini তে পাওয়া লাইনগুলির মতো লাইনগুলি অত্যন্ত সাধারণ। উদাহরণস্বরূপ, Drupal এবং PrestaShop-এ সর্বদা একটি ব্যবহারকারী সনাক্তকারী (UID) এবং একটি সংশ্লিষ্ট পাসওয়ার্ড (pwd) থাকে এবং সমস্ত তথ্য .inc এক্সটেনশন সহ ফাইলগুলিতে সংরক্ষণ করা হয়। আপনি নিম্নলিখিত হিসাবে তাদের জন্য অনুসন্ধান করতে পারেন:

"pwd=" "UID=" ext:inc

DBMS পাসওয়ার্ড প্রকাশ করা হচ্ছে

SQL সার্ভারের কনফিগারেশন ফাইলগুলিতে, ব্যবহারকারীর নাম এবং ইমেল ঠিকানাগুলি পরিষ্কার পাঠ্যে সংরক্ষণ করা হয় এবং তাদের MD5 হ্যাশগুলি পাসওয়ার্ডের পরিবর্তে লেখা হয়। কঠোরভাবে বলতে গেলে, তাদের ডিক্রিপ্ট করা অসম্ভব, তবে আপনি পরিচিত হ্যাশ-পাসওয়ার্ড জোড়ার মধ্যে একটি মিল খুঁজে পেতে পারেন।

এখনও এমন ডিবিএমএস রয়েছে যেগুলি এমনকি পাসওয়ার্ড হ্যাশিং ব্যবহার করে না। তাদের যে কোনোটির কনফিগারেশন ফাইল ব্রাউজারে সহজভাবে দেখা যায়।

Intext:DB_PASSWORD ফাইলের ধরন:env

উইন্ডোজ সার্ভারের আবির্ভাবের সাথে, কনফিগারেশন ফাইলগুলির স্থানটি আংশিকভাবে রেজিস্ট্রি দ্বারা নেওয়া হয়েছিল। আপনি ফাইলের ধরন হিসাবে reg ব্যবহার করে ঠিক একইভাবে এর শাখাগুলির মাধ্যমে অনুসন্ধান করতে পারেন। উদাহরণস্বরূপ, এই মত:

ফাইলের ধরন:reg HKEY_CURRENT_USER "পাসওয়ার্ড"=

এর সুস্পষ্ট ভুলবেন না

কখনও কখনও দুর্ঘটনাক্রমে খোলা এবং Google এর নজরে আসা ডেটা ব্যবহার করে শ্রেণীবদ্ধ তথ্য পাওয়া সম্ভব। আদর্শ বিকল্প হল কিছু সাধারণ বিন্যাসে পাসওয়ার্ডের একটি তালিকা খুঁজে বের করা। শুধুমাত্র বেপরোয়া লোকেরাই একটি টেক্সট ফাইল, ওয়ার্ড ডকুমেন্ট বা এক্সেল স্প্রেডশীটে অ্যাকাউন্টের তথ্য সংরক্ষণ করতে পারে, তবে সেগুলি সবসময় যথেষ্ট থাকে।

ফাইলের ধরন: xls inurl: পাসওয়ার্ড

একদিকে, এই ধরনের ঘটনা প্রতিরোধের অনেক উপায় রয়েছে। htaccess-এ পর্যাপ্ত অ্যাক্সেসের অধিকার উল্লেখ করা, CMS প্যাচ করা, বাম-হাতের স্ক্রিপ্ট ব্যবহার না করা এবং অন্যান্য ছিদ্র বন্ধ করা প্রয়োজন। এছাড়াও robots.txt ব্যতিক্রমগুলির একটি তালিকা সহ একটি ফাইল রয়েছে যা সার্চ ইঞ্জিনগুলিকে এটিতে নির্দিষ্ট করা ফাইল এবং ডিরেক্টরিগুলিকে সূচীকরণ থেকে নিষিদ্ধ করে৷ অন্যদিকে, যদি কিছু সার্ভারে robots.txt-এর গঠন স্ট্যান্ডার্ডের থেকে আলাদা হয়, তাহলে তা অবিলম্বে স্পষ্ট হয়ে যায় যে তারা এতে কী লুকানোর চেষ্টা করছে।

যে কোনো সাইটের ডিরেক্টরি এবং ফাইলের তালিকার পূর্বে স্ট্যান্ডার্ড ইনডেক্স থাকে। যেহেতু পরিষেবার উদ্দেশ্যে এটি শিরোনামে উপস্থিত হওয়া আবশ্যক, তাই এটির অনুসন্ধানটি ইনটাইটেল অপারেটরের মধ্যে সীমাবদ্ধ করা বোধগম্য। আকর্ষণীয় জিনিসগুলি /admin/, /personal/, /etc/ এবং এমনকি /secret/ ডিরেক্টরিতে রয়েছে।

আপডেটের জন্য সাথে থাকুন

প্রাসঙ্গিকতা এখানে অত্যন্ত গুরুত্বপূর্ণ: পুরানো দুর্বলতাগুলি খুব ধীরে ধীরে বন্ধ হয়ে গেছে, কিন্তু Google এবং এর অনুসন্ধান ফলাফল ক্রমাগত পরিবর্তিত হচ্ছে। এমনকি একটি "শেষ সেকেন্ড" ফিল্টার (&tbs=qdr:s অনুরোধের URL-এর শেষে) এবং একটি "রিয়েল টাইম" ফিল্টার (&tbs=qdr:1) এর মধ্যে পার্থক্য রয়েছে।

ফাইলের শেষ আপডেটের তারিখের সময়ের ব্যবধানও Google দ্বারা নিহিতভাবে নির্দেশ করা হয়েছে। গ্রাফিকাল ওয়েব ইন্টারফেসের মাধ্যমে, আপনি স্ট্যান্ডার্ড পিরিয়ডগুলির মধ্যে একটি নির্বাচন করতে পারেন (ঘন্টা, দিন, সপ্তাহ, ইত্যাদি) বা একটি তারিখ পরিসীমা সেট করতে পারেন, তবে এই পদ্ধতিটি অটোমেশনের জন্য উপযুক্ত নয়৷

ঠিকানা বারের চেহারা থেকে, আপনি শুধুমাত্র &tbs=qdr: নির্মাণ ব্যবহার করে ফলাফলের আউটপুট সীমিত করার উপায় সম্পর্কে অনুমান করতে পারেন। y অক্ষর এটি এক বছরের (&tbs=qdr:y) সীমা নির্ধারণ করার পরে, m গত মাসের ফলাফল দেখায়, w - সপ্তাহের জন্য, d - গত দিনের জন্য, h - শেষ ঘন্টার জন্য, n - মিনিটের জন্য, এবং s - আমাকে এক সেকেন্ডের জন্য। Google সবেমাত্র যে সব সাম্প্রতিক ফলাফল প্রকাশ করেছে তা &tbs=qdr:1 ফিল্টার ব্যবহার করে পাওয়া যায়।

আপনার যদি একটি চতুর স্ক্রিপ্ট লেখার প্রয়োজন হয়, তবে তারিখ পরিসীমা তারিখের অপারেটর ব্যবহার করে জুলিয়ান বিন্যাসে Google-এ সেট করা আছে তা জেনে রাখা কার্যকর হবে। উদাহরণস্বরূপ, এইভাবে আপনি গোপনীয় শব্দটি সহ PDF নথিগুলির একটি তালিকা খুঁজে পেতে পারেন, যা 1 জানুয়ারি থেকে 1 জুলাই, 2015 পর্যন্ত ডাউনলোড করা হয়েছে৷

গোপনীয় ফাইলের ধরন:pdf daterange:2457024-2457205

ভগ্নাংশ বিবেচনা না করেই পরিসরটি জুলিয়ান তারিখ বিন্যাসে নির্দেশিত হয়। গ্রেগরিয়ান ক্যালেন্ডার থেকে তাদের ম্যানুয়ালি অনুবাদ করা অসুবিধাজনক। একটি তারিখ রূপান্তরকারী ব্যবহার করা সহজ।

আবার টার্গেটিং এবং ফিল্টারিং

অনুসন্ধান ক্যোয়ারীতে অতিরিক্ত অপারেটরগুলি নির্দিষ্ট করার পাশাপাশি, সেগুলি সরাসরি লিঙ্কের মূল অংশে পাঠানো যেতে পারে। উদাহরণস্বরূপ, filetype:pdf স্পেসিফিকেশন নির্মাণের সাথে মিলে যায় as_filetype=pdf। এটি কোন স্পষ্টীকরণ জিজ্ঞাসা করা সুবিধাজনক করে তোলে। ধরা যাক যে শুধুমাত্র হন্ডুরাস প্রজাতন্ত্রের ফলাফলের আউটপুট সার্চ URL-এ নির্মাণ cr=countryHN যোগ করে নির্দিষ্ট করা হয়েছে এবং শুধুমাত্র Bobruisk - gcs=Bobruisk শহর থেকে। আপনি বিকাশকারী বিভাগে একটি সম্পূর্ণ তালিকা খুঁজে পেতে পারেন।

Google-এর অটোমেশন টুলগুলি জীবনকে সহজ করার জন্য ডিজাইন করা হয়েছে, কিন্তু তারা প্রায়ই সমস্যা যোগ করে। উদাহরণস্বরূপ, ব্যবহারকারীর শহর WHOIS এর মাধ্যমে ব্যবহারকারীর IP দ্বারা নির্ধারিত হয়। এই তথ্যের উপর ভিত্তি করে, Google শুধুমাত্র সার্ভারের মধ্যে ভারসাম্য বজায় রাখে না, কিন্তু অনুসন্ধান ফলাফলও পরিবর্তন করে। অঞ্চলের উপর নির্ভর করে, একই অনুরোধের জন্য, প্রথম পৃষ্ঠায় বিভিন্ন ফলাফল প্রদর্শিত হবে এবং তাদের মধ্যে কিছু সম্পূর্ণরূপে লুকানো থাকতে পারে। gl=country নির্দেশের পরে দুই-অক্ষরের কোড আপনাকে একটি মহাজাগতিক মনে করতে এবং যেকোনো দেশের তথ্য অনুসন্ধান করতে সাহায্য করবে। উদাহরণস্বরূপ, নেদারল্যান্ডের কোড হল NL, কিন্তু ভ্যাটিকান এবং উত্তর কোরিয়ার Google-এ তাদের নিজস্ব কোড নেই।

প্রায়শই, বেশ কয়েকটি উন্নত ফিল্টার ব্যবহার করার পরেও অনুসন্ধানের ফলাফলগুলি বিশৃঙ্খল থাকে। এই ক্ষেত্রে, এটিতে বেশ কয়েকটি ব্যতিক্রম শব্দ যোগ করে অনুরোধটি স্পষ্ট করা সহজ (এগুলির প্রত্যেকটির সামনে একটি বিয়োগ চিহ্ন স্থাপন করা হয়েছে)। উদাহরণস্বরূপ, ব্যাঙ্কিং, নাম এবং টিউটোরিয়াল প্রায়ই ব্যক্তিগত শব্দের সাথে ব্যবহার করা হয়। অতএব, ক্লিনার অনুসন্ধান ফলাফলগুলি একটি প্রশ্নের পাঠ্যপুস্তকের উদাহরণ দ্বারা নয়, একটি পরিমার্জিত দ্বারা দেখানো হবে:

শিরোনাম: "/ব্যক্তিগত/ এর সূচক" -নাম -টিউটোরিয়াল -ব্যাংকিং

একটি শেষ উদাহরণ

একজন অত্যাধুনিক হ্যাকারকে এই সত্যের দ্বারা আলাদা করা হয় যে সে নিজে থেকে তার প্রয়োজনীয় সমস্ত কিছু সরবরাহ করে। উদাহরণস্বরূপ, ভিপিএন একটি সুবিধাজনক জিনিস, তবে হয় ব্যয়বহুল, বা অস্থায়ী এবং বিধিনিষেধ সহ। নিজের জন্য একটি সাবস্ক্রিপশনের জন্য সাইন আপ করা খুব ব্যয়বহুল। এটা ভাল যে গ্রুপ সাবস্ক্রিপশন আছে, এবং Google এর সাহায্যে একটি গ্রুপের অংশ হওয়া সহজ। এটি করার জন্য, শুধু Cisco VPN কনফিগারেশন ফাইলটি খুঁজুন, যার একটি বরং অ-মানক PCF এক্সটেনশন এবং একটি স্বীকৃত পাথ রয়েছে: Program Files\Cisco Systems\VPN Client\Profiles। একটি অনুরোধ এবং আপনি যোগদান করুন, উদাহরণস্বরূপ, বন বিশ্ববিদ্যালয়ের বন্ধুত্বপূর্ণ দল।

ফাইলের ধরন: পিসিএফ ভিপিএন বা গ্রুপ

তথ্য

Google পাসওয়ার্ড কনফিগারেশন ফাইল খুঁজে পায়, কিন্তু তাদের অনেকগুলি এনক্রিপ্ট করা বা হ্যাশ দিয়ে প্রতিস্থাপিত হয়। আপনি যদি একটি নির্দিষ্ট দৈর্ঘ্যের স্ট্রিংগুলি দেখতে পান, তাহলে অবিলম্বে একটি ডিক্রিপশন পরিষেবা সন্ধান করুন৷

পাসওয়ার্ডগুলি এনক্রিপ্ট করে সংরক্ষণ করা হয়, তবে মরিস ম্যাসার্ড ইতিমধ্যেই সেগুলিকে ডিক্রিপ্ট করার জন্য একটি প্রোগ্রাম লিখেছে এবং তা thecampusgeeks.com এর মাধ্যমে বিনামূল্যে প্রদান করে৷

Google শত শত বিভিন্ন ধরনের আক্রমণ এবং অনুপ্রবেশ পরীক্ষা চালায়। জনপ্রিয় প্রোগ্রাম, প্রধান ডাটাবেস ফরম্যাট, পিএইচপি, ক্লাউড ইত্যাদির অসংখ্য দুর্বলতাকে প্রভাবিত করে এমন অনেক বিকল্প রয়েছে। আপনি যা খুঁজছেন তা সঠিকভাবে জানার ফলে আপনার প্রয়োজনীয় তথ্যগুলি খুঁজে পাওয়া আরও সহজ হবে (বিশেষ করে এমন তথ্য যা আপনি সর্বজনীন করতে চাননি)। Shodan আকর্ষণীয় ধারণা সঙ্গে ফিড যে শুধুমাত্র এক নয়, কিন্তু সূচীকৃত নেটওয়ার্ক সম্পদের প্রতিটি ডাটাবেস!

যখন লোকেরা ব্যক্তিগত ডর্ক সম্পর্কে কথা বলতে শুরু করে তখনই এটি মজার হয়ে ওঠে।
একটি ডর্ক কি এবং একটি ব্যক্তিগত কি তা সংজ্ঞায়িত করে শুরু করা যাক:

DORK (ডোরকা)- এটি একটি মুখোশ, অন্য কথায়, একটি সার্চ ইঞ্জিনের কাছে একটি অনুরোধ, যার প্রতিক্রিয়ায় সিস্টেমটি ওয়েবসাইট পৃষ্ঠাগুলির একটি তালিকা তৈরি করবে যার ঠিকানাগুলিতে এই একই DORK রয়েছে৷

ব্যক্তিগত- যে তথ্যে শুধুমাত্র একজন ব্যক্তি বা একটি প্রকল্পে কাজ করা মানুষের একটি ছোট গোষ্ঠীর অ্যাক্সেস আছে।

এখন আসুন "বাক্যটি দেখি" ব্যক্তিগত যৌনতা ".
যদি আমরা একটি প্রদত্ত ডোমেনের জন্য সাইটগুলি খুঁজে বের করার জন্য একটি অনুরোধ পাঠাই এবং এটি আমাদের কিছু ধরণের ফলাফল দেয়, তাহলে যে কেউ এটি করতে পারে, এবং তাই প্রদত্ত তথ্য ব্যক্তিগত নয়।

এবং গেম/টাকা/দোকান বিক্রেতাদের সম্পর্কে একটু।
অনেক লোক এই ধরণের ডর্ক তৈরি করতে পছন্দ করে:

Steam.php?q= bitcoin.php?id= minecraft.php?id=

আসুন কল্পনা করি যে আমরা ডর্কস সম্পর্কে কিছুই বুঝতে পারি না এবং Google আমাদের কতগুলি লিঙ্ক দেয় তা দেখার চেষ্টা করুন:

আপনি সম্ভবত অবিলম্বে আপনার মাথায় এই জাতীয় চিন্তাভাবনা করেছিলেন: "খ্রেনোভিচ, আপনি কি জানেন না, দেখুন কতগুলি লিঙ্ক রয়েছে, লোকেরা কার্যত অর্থ বিক্রি করছে!"
কিন্তু আমি আপনাকে বলব না, কারণ এখন দেখা যাক এই ধরনের অনুরোধ আমাদের কী লিঙ্ক দেবে:

আমি মনে করি আপনি পয়েন্ট পেতে, এখন গুগল অপারেটর ব্যবহার করা যাক inurl:একটি সঠিক অনুসন্ধানের জন্য এবং আসুন দেখি কি আসে:

হ্যাঁ, সংখ্যাটি তীব্রভাবে কমেছে, তারপর একই জিনিস। এবং যদি আমরা বিবেচনা করি যে ***.info/vaernamo-nyheter/dennis-steam.php প্ল্যানের ডুপ্লিকেট ডোমেইন + লিঙ্ক থাকবে, তাহলে নিচের লাইনটি হল আমরা 5-10 টুকরো পাব।

কতজন লোক তাদের ওয়েবসাইটে এই ধরনের লিঙ্ক যুক্ত করবে বলে আপনি মনে করেন?

লিঙ্কগুলি দেখতে আপনাকে অবশ্যই নিবন্ধিত হতে হবে।

", ইত্যাদি, হ্যাঁ অবশ্যই মাত্র কয়েকটি।

যার মানে ডর্কস লাইক লেখা steam.php?id=কোন লাভ নেই, তাহলে প্রশ্ন হল, আমাদের কি ধরনের ডোরকি রান্না করা উচিত?
এবং সবকিছু বেশ সহজ, আমাদের দরজায় যতটা সম্ভব লিঙ্ক সংগ্রহ করতে হবে। ফর্মের সবচেয়ে আদিম লিঙ্ক থেকে সবচেয়ে বেশি সংখ্যক লিঙ্ক আসবে index.php?id=

উফ, যতটা 538 মিলিয়ন, একটি ভাল ফলাফল, তাই না?
আরো যোগ করা যাক inurl:

ঠিক আছে, তাদের অর্ধেক অদৃশ্য হয়ে গেছে, কিন্তু এখন প্রায় সব লিঙ্কেই index.php?id= থাকবে

উপরের থেকে আমরা উপসংহারে আসতে পারি: আমাদের সবচেয়ে ঘন ঘন ব্যবহৃত ডিরেক্টরি প্রয়োজন, এটি তাদের থেকে আমাদের ফলাফল সর্বোচ্চ হবে।

আমি মনে করি অনেকেরই এই মত চিন্তা ছিল: "আচ্ছা, এরপর কি? আমাদের থিম্যাটিক সাইট দরকার, কুকুরছানা প্রেমীদের জন্য সব ধরণের সাইট নয়!" ঠিক আছে, অবশ্যই, তবে সাইটের বিষয়গুলিতে যেতে, আমাদের গুগল অপারেটরদের সাথে পরিচিত হতে হবে, আসুন শুরু করা যাক। আমরা সমস্ত অপারেটর বিশ্লেষণ করব না, তবে শুধুমাত্র সেইগুলি যা আমাদের পৃষ্ঠা পার্সিংয়ে সাহায্য করবে৷

আমরা আগ্রহী অপারেটর কি:

inurl:পৃষ্ঠার ঠিকানায় নির্দিষ্ট শব্দ ধারণ করে এমন সাইট দেখায়।
উদাহরণ:
আমাদের এমন সাইট দরকার যেখানে পৃষ্ঠার ঠিকানায় শব্দটি রয়েছে কার্ট.এর মত একটি অনুরোধ তৈরি করা যাক inurl: কার্টএবং এটি আমাদের সমস্ত লিঙ্ক দেবে যেখানে ঠিকানায় কার্ট শব্দটি রয়েছে। সেগুলো. এই অনুরোধটি ব্যবহার করে, আমরা আমাদের শর্তাবলীর সাথে আরও কঠোর সম্মতি অর্জন করেছি এবং আমাদের উপযুক্ত নয় এমন লিঙ্কগুলি বাদ দিয়েছি।

লিখিতরুপে:পৃষ্ঠাগুলি পৃষ্ঠার বিষয়বস্তুর উপর ভিত্তি করে নির্বাচন করা হয়।
উদাহরণ:
ধরা যাক আমাদের এমন পেজ দরকার যেখানে বিটকয়েন শব্দগুলো লেখা আছে। এর মত একটি অনুরোধ তৈরি করা যাক ইনটেক্সট: বিটকয়েন,এখন এটি আমাদের লিংক দেবে যেখানে টেক্সটে বিটকয়েন শব্দটি ব্যবহার করা হয়েছে।

শিরোনাম:পৃষ্ঠাগুলি প্রদর্শিত হয় যেগুলির শিরোনাম ট্যাগে ক্যোয়ারীতে নির্দিষ্ট শব্দগুলি রয়েছে৷ আমি মনে করি আপনি ইতিমধ্যেই বুঝতে পেরেছেন কীভাবে প্রশ্ন লিখতে হয়, তাই আমি উদাহরণ দেব না৷

অলিনাঙ্কর:অপারেটর সেই পৃষ্ঠাগুলি দেখায় যেগুলির বিবরণে আমাদের আগ্রহের শব্দ রয়েছে৷

সম্পর্কিত:সম্ভবত গুরুত্বপূর্ণ অপারেটরদের মধ্যে একটি যা সাইটগুলিকে অনুরূপ সামগ্রী সরবরাহ করে।
উদাহরণ:
সম্পর্কিত:exmo.com - এটি আমাদের বিনিময় দেবে, এটি নিজে পরীক্ষা করে দেখুন।

ভাল, সম্ভবত সব প্রধান অপারেটর যে আমাদের প্রয়োজন.

এখন এই অপারেটর ব্যবহার করে রাস্তা নির্মাণের দিকে এগিয়ে যাওয়া যাক।

প্রতিটি দরজার আগে আমরা একটি inurl রাখব:

Inurl:cart?id= inurl:index?id= inurl:catalog?id=

আসুন ইনটেক্সটও ব্যবহার করি: ধরা যাক আমরা খেলনা খুঁজছি, যার মানে আমাদের দরকার dota2, portal, CSGO...

Intext:dota2 intext:portal intext:csgo

যদি আমাদের একটি বাক্যাংশের প্রয়োজন হয়, তাহলে allinurl:

Allinurl: GTA SAMP...

এখন আসুন এটি সব একসাথে আঠালো এবং এই চেহারা পেতে:

Inurl:cart?id= intext:dota2 inurl:cart?id= intext:portal inurl:cart?id= intext:csgo inurl:cart?id= allinurl:GTA SAMP inurl:index?id= intext:dota2 inurl:index? id= intext:portal inurl:index?id= intext:csgo inurl:index?id= allinurl:GTA SAMP inurl:catalog?id= intext:dota2 inurl:catalog?id= intext:portal inurl:catalog?id= intext: csgo inurl:catalog?id= allinurl:GTA SAMP

ফলস্বরূপ, আমরা একটি সংকীর্ণ এবং আরও সঠিক অনুসন্ধানের সাথে গেমের দরজা পেয়েছি।
সুতরাং আপনার মস্তিষ্ক ব্যবহার করুন এবং অনুসন্ধান অপারেটর এবং কীওয়ার্ডগুলির সাথে একটু পরীক্ষা করুন, বিকৃত হওয়ার দরকার নেই এবং ডর্ক লিখতে হবে hochymnogoigr.php?id=

সবাইকে ধন্যবাদ, আমি আশা করি আপনি এই নিবন্ধটি থেকে অন্তত কিছু দরকারী পেয়েছেন।

গুগল সার্চ ইঞ্জিন (www.google.com) অনেক সার্চ অপশন প্রদান করে। এই সমস্ত বৈশিষ্ট্যগুলি ইন্টারনেটে নতুন ব্যবহারকারীর জন্য একটি অমূল্য অনুসন্ধান সরঞ্জাম এবং একই সাথে কেবল হ্যাকার নয়, অ-কম্পিউটার অপরাধীও সহ অসৎ উদ্দেশ্যের লোকদের হাতে আক্রমণ এবং ধ্বংসের আরও শক্তিশালী অস্ত্র। এমনকি সন্ত্রাসীরাও।
(1 সপ্তাহে 9475 বার দেখা হয়েছে)

ডেনিস বারানকভ
denisNOSPAMixi.ru

মনোযোগ:এই নিবন্ধটি কর্মের জন্য একটি নির্দেশিকা নয়। এই নিবন্ধটি আপনার জন্য লেখা হয়েছে, WEB সার্ভার অ্যাডমিনিস্ট্রেটররা, যাতে আপনি মিথ্যা অনুভূতি হারাবেন যে আপনি নিরাপদ, এবং আপনি অবশেষে তথ্য প্রাপ্তির এই পদ্ধতির ছলনা বুঝতে পারবেন এবং আপনার সাইটকে সুরক্ষিত করার কাজটি গ্রহণ করতে পারবেন।

ভূমিকা

উদাহরণস্বরূপ, আমি 0.14 সেকেন্ডে 1670 পৃষ্ঠা খুঁজে পেয়েছি!

2. আসুন অন্য লাইন লিখি, উদাহরণস্বরূপ:

inurl:"auth_user_file.txt"

একটু কম, কিন্তু এটি ইতিমধ্যেই বিনামূল্যে ডাউনলোড এবং পাসওয়ার্ড অনুমান করার জন্য যথেষ্ট (একই জন দ্য রিপার ব্যবহার করে)। নীচে আমি আরও কয়েকটি উদাহরণ দেব।

সুতরাং, আপনাকে বুঝতে হবে যে গুগল সার্চ ইঞ্জিন বেশিরভাগ ইন্টারনেট সাইট পরিদর্শন করেছে এবং সেগুলিতে থাকা তথ্য ক্যাশে করেছে। এই ক্যাশে করা তথ্য আপনাকে সাইটের সাথে সরাসরি সংযোগ না করেই সাইট এবং সাইটের বিষয়বস্তু সম্পর্কে তথ্য পেতে দেয়, শুধুমাত্র Google-এর অভ্যন্তরে সংরক্ষিত তথ্যের সন্ধান করে। তদুপরি, যদি সাইটের তথ্য আর উপলব্ধ না হয়, তবে ক্যাশে থাকা তথ্যগুলি এখনও সংরক্ষণ করা যেতে পারে। এই পদ্ধতির জন্য আপনার যা দরকার তা হল কিছু Google কীওয়ার্ড জানা। এই কৌশলটিকে বলা হয় গুগল হ্যাকিং।

গুগল হ্যাকিং সম্পর্কে তথ্য প্রথম বাগট্রাক মেইলিং তালিকায় 3 বছর আগে উপস্থিত হয়েছিল। 2001 সালে, একটি ফরাসি ছাত্র এই বিষয়টি উত্থাপন করেছিল। এখানে এই চিঠির একটি লিঙ্ক রয়েছে http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html৷ এটি এই ধরনের প্রশ্নের প্রথম উদাহরণ প্রদান করে:

1)/অ্যাডমিনের সূচক
2) /পাসওয়ার্ডের সূচক
3) /মেইলের সূচক
4) / +banques +filetype:xls এর সূচক (ফ্রান্সের জন্য...)
5) / +passwd এর সূচক
6) / password.txt এর সূচক

এই বিষয়টি সম্প্রতি ইন্টারনেটের ইংরেজি-পঠন অংশে তরঙ্গ তৈরি করেছে: 7 মে, 2004-এ প্রকাশিত জনি লং-এর নিবন্ধের পরে। গুগল হ্যাকিং সম্পর্কে আরও সম্পূর্ণ অধ্যয়নের জন্য, আমি আপনাকে এই লেখকের ওয়েবসাইট http://johnny.ihackstuff.com এ যাওয়ার পরামর্শ দিচ্ছি। এই নিবন্ধে আমি শুধু আপনাকে আপ টু ডেট আনতে চাই.

কারা এটি ব্যবহার করতে পারেন:
- সাংবাদিক, গুপ্তচর এবং সেই সমস্ত লোক যারা অন্য লোকেদের ব্যবসায় নাক ঠুকতে পছন্দ করে তারা দোষী প্রমাণ অনুসন্ধান করতে এটি ব্যবহার করতে পারে।
- হ্যাকাররা হ্যাকিংয়ের জন্য উপযুক্ত লক্ষ্য খুঁজছে।

গুগল কিভাবে কাজ করে।

কথোপকথন চালিয়ে যেতে, আমি আপনাকে Google কোয়েরিতে ব্যবহৃত কিছু কীওয়ার্ডের কথা মনে করিয়ে দিই।

+ চিহ্ন ব্যবহার করে অনুসন্ধান করুন

Google অনুসন্ধান থেকে গুরুত্বপূর্ণ মনে করে এমন শব্দগুলি বাদ দেয়৷ উদাহরণস্বরূপ, ইংরেজিতে প্রশ্ন শব্দ, অব্যয় এবং নিবন্ধ: উদাহরণস্বরূপ, এর, কোথায়। রাশিয়ান ভাষায়, Google সমস্ত শব্দকে গুরুত্বপূর্ণ বলে মনে করে। সার্চ থেকে কোনো শব্দ বাদ পড়লে গুগল তা নিয়ে লিখে। Google এই শব্দগুলির সাথে পৃষ্ঠাগুলির জন্য অনুসন্ধান শুরু করার জন্য, আপনাকে শব্দের আগে একটি স্পেস ছাড়া একটি + চিহ্ন যোগ করতে হবে। উদাহরণ স্বরূপ:

টেক্কা + ভিত্তি

চিহ্ন ব্যবহার করে অনুসন্ধান করুন -

Google যদি অনেক সংখ্যক পৃষ্ঠা খুঁজে পায় যেখান থেকে এটি একটি নির্দিষ্ট বিষয়ের পৃষ্ঠাগুলি বাদ দিতে হবে, তাহলে আপনি Google কে শুধুমাত্র সেই পৃষ্ঠাগুলির জন্য অনুসন্ধান করতে বাধ্য করতে পারেন যেখানে নির্দিষ্ট শব্দ নেই৷ এটি করার জন্য, আপনাকে প্রতিটির সামনে একটি চিহ্ন রেখে এই শব্দগুলি নির্দেশ করতে হবে - শব্দের আগে একটি স্থান ছাড়াই। উদাহরণ স্বরূপ:

মাছ ধরা - ভদকা

~ ব্যবহার করে অনুসন্ধান করুন

আপনি শুধুমাত্র নির্দিষ্ট শব্দ নয়, এর প্রতিশব্দও অনুসন্ধান করতে চাইতে পারেন। এটি করার জন্য, শব্দের আগে ~ চিহ্নটি লিখুন।

ডবল উদ্ধৃতি ব্যবহার করে একটি সঠিক বাক্যাংশ খোঁজা

আপনি ক্যোয়ারী স্ট্রিং-এ যে শব্দগুলি লিখেছেন তার সমস্ত ঘটনার জন্য Google প্রতিটি পৃষ্ঠায় অনুসন্ধান করে এবং এটি শব্দগুলির আপেক্ষিক অবস্থানের বিষয়ে চিন্তা করে না, যতক্ষণ না সমস্ত নির্দিষ্ট শব্দ একই সময়ে পৃষ্ঠায় থাকে (এটি হল ডিফল্ট কর্ম)। সঠিক শব্দগুচ্ছ খুঁজে পেতে, আপনাকে এটিকে উদ্ধৃতিতে রাখতে হবে। উদাহরণ স্বরূপ:

"বুকএন্ড"

অন্তত একটি নির্দিষ্ট শব্দ থাকার জন্য, আপনাকে যৌক্তিক অপারেশনটি স্পষ্টভাবে উল্লেখ করতে হবে: OR। উদাহরণ স্বরূপ:

বই নিরাপত্তা বা সুরক্ষা

এছাড়াও, আপনি যেকোনো শব্দ নির্দেশ করতে অনুসন্ধান বারে * সাইন ব্যবহার করতে পারেন এবং। যেকোনো চরিত্রের প্রতিনিধিত্ব করতে।

অতিরিক্ত অপারেটর ব্যবহার করে শব্দ অনুসন্ধান করা হচ্ছে

সার্চ অপারেটর আছে যেগুলো ফরম্যাটে সার্চ স্ট্রিং-এ নির্দিষ্ট করা আছে:

অপারেটর: search_term

কোলনের পাশে স্থানের প্রয়োজন নেই। আপনি যদি কোলনের পরে একটি স্থান সন্নিবেশ করেন, আপনি একটি ত্রুটি বার্তা দেখতে পাবেন এবং এটির আগে, Google তাদের একটি সাধারণ অনুসন্ধান স্ট্রিং হিসাবে ব্যবহার করবে।
অতিরিক্ত সার্চ অপারেটরদের গোষ্ঠী রয়েছে: ভাষা - আপনি কোন ভাষায় ফলাফল দেখতে চান তা নির্দেশ করুন, তারিখ - গত তিন, ছয় বা 12 মাসের ফলাফলগুলি সীমাবদ্ধ করুন, ঘটনাগুলি - নথিতে আপনাকে কোথায় অনুসন্ধান করতে হবে তা নির্দেশ করুন লাইন: সর্বত্র, শিরোনামে, URL-এ, ডোমেন - নির্দিষ্ট সাইটে অনুসন্ধান করুন বা, বিপরীতভাবে, এটি অনুসন্ধান থেকে বাদ দিন; নিরাপদ অনুসন্ধান - নির্দিষ্ট ধরণের তথ্য ধারণকারী সাইটগুলিকে ব্লক করে এবং অনুসন্ধান ফলাফলের পৃষ্ঠাগুলি থেকে সরিয়ে দেয়।
যাইহোক, কিছু অপারেটর একটি অতিরিক্ত প্যারামিটার প্রয়োজন হয় না, উদাহরণস্বরূপ অনুরোধ " ক্যাশে:www.google.com" একটি সম্পূর্ণ সার্চ স্ট্রিং হিসাবে বলা যেতে পারে, এবং কিছু কীওয়ার্ড, বিপরীতে, একটি অনুসন্ধান শব্দ প্রয়োজন, উদাহরণস্বরূপ " সাইট: www.google.com সাহায্য"। আমাদের বিষয়ের আলোকে, আসুন নিম্নলিখিত অপারেটরগুলির দিকে তাকাই:

অপারেটর	বর্ণনা	একটি অতিরিক্ত পরামিতি প্রয়োজন?
	শুধুমাত্র search_term এ নির্দিষ্ট সাইটে অনুসন্ধান করুন
	শুধুমাত্র search_term টাইপ সহ নথিতে অনুসন্ধান করুন
	শিরোনামে search_term ধারণকারী পৃষ্ঠাগুলি খুঁজুন
	শিরোনামে সমস্ত search_term শব্দ রয়েছে এমন পৃষ্ঠাগুলি খুঁজুন
	তাদের ঠিকানায় search_term শব্দ আছে এমন পৃষ্ঠাগুলি খুঁজুন
	তাদের ঠিকানায় সমস্ত search_term শব্দ রয়েছে এমন পৃষ্ঠাগুলি খুঁজুন

অপারেটর সাইট:অনুসন্ধানটি শুধুমাত্র নির্দিষ্ট সাইটের মধ্যে সীমাবদ্ধ করে এবং আপনি শুধুমাত্র ডোমেন নাম নয়, আইপি ঠিকানাও উল্লেখ করতে পারেন। উদাহরণস্বরূপ, লিখুন:

অপারেটর ফাইলের ধরন:একটি নির্দিষ্ট ফাইল ধরনের অনুসন্ধান সীমিত. উদাহরণ স্বরূপ:

নিবন্ধের প্রকাশের তারিখ অনুসারে, Google 13টি ভিন্ন ফাইল ফরম্যাটের মধ্যে অনুসন্ধান করতে পারে:

• অ্যাডোব পোর্টেবল ডকুমেন্ট ফরম্যাট (পিডিএফ)
• Adobe পোস্টস্ক্রিপ্ট (ps)
• লোটাস 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
• Lotus WordPro (lwp)
• MacWrite (mw)
• মাইক্রোসফট এক্সেল (xls)
• মাইক্রোসফ্ট পাওয়ারপয়েন্ট (পিপিটি)
• মাইক্রোসফট ওয়ার্ড (ডক)
• মাইক্রোসফট ওয়ার্কস (wks, wps, wdb)
• মাইক্রোসফ্ট লিখুন (wri)
• রিচ টেক্সট ফরম্যাট (RTF)
• শকওয়েভ ফ্ল্যাশ (swf)
• পাঠ্য (উত্তর, txt)

অপারেটর লিঙ্ক:নির্দিষ্ট পৃষ্ঠার দিকে নির্দেশ করে এমন সমস্ত পৃষ্ঠা দেখায়।
ইন্টারনেটে কত জায়গা আপনার সম্পর্কে জানে তা দেখা সম্ভবত সবসময়ই আকর্ষণীয়। আসুন চেষ্টা করি:

অপারেটর ক্যাশে: Google এর ক্যাশে সাইটের সংস্করণটি দেখায় যেভাবে শেষবার Google সেই পৃষ্ঠাটি দেখেছিল। চলুন যেকোন ঘন ঘন পরিবর্তনশীল সাইট নিয়ে দেখি এবং দেখি:

অপারেটর শিরোনাম:পৃষ্ঠার শিরোনামে নির্দিষ্ট শব্দের জন্য অনুসন্ধান করে। অপারেটর সব শিরোনাম:এটি একটি এক্সটেনশন - এটি পৃষ্ঠার শিরোনামে সমস্ত নির্দিষ্ট কিছু শব্দ অনুসন্ধান করে৷ তুলনা করা:

শিরোনাম: মঙ্গল গ্রহের ফ্লাইট
intitle:flight intitle:on intitle:mars
allintitle: মঙ্গল গ্রহে ফ্লাইট

অপারেটর inurl:ইউআরএল-এ নির্দিষ্ট স্ট্রিং ধারণকারী সমস্ত পৃষ্ঠা দেখাতে Google-কে বাধ্য করে। allinurl অপারেটর: একটি URL-এ সমস্ত শব্দ অনুসন্ধান করে। উদাহরণ স্বরূপ:

allinurl: acid acid_stat_alerts.php

এই কমান্ডটি বিশেষত তাদের জন্য উপযোগী যাদের SNORT নেই - অন্তত তারা দেখতে পাবে কিভাবে এটি একটি বাস্তব সিস্টেমে কাজ করে।

গুগল ব্যবহার করে হ্যাকিং পদ্ধতি

সুতরাং, আমরা খুঁজে পেয়েছি যে উপরের অপারেটর এবং কীওয়ার্ডগুলির সংমিশ্রণ ব্যবহার করে যে কেউ প্রয়োজনীয় তথ্য সংগ্রহ করতে এবং দুর্বলতাগুলি অনুসন্ধান করতে পারে। এই কৌশলগুলিকে প্রায়ই গুগল হ্যাকিং বলা হয়।

সাইট ম্যাপ

আপনি সাইট: অপারেটর ব্যবহার করতে পারেন সমস্ত লিঙ্ক তালিকাভুক্ত করতে যা Google একটি সাইটে খুঁজে পেয়েছে। সাধারণত, স্ক্রিপ্ট দ্বারা গতিশীলভাবে তৈরি করা পৃষ্ঠাগুলি প্যারামিটার ব্যবহার করে সূচীভুক্ত হয় না, তাই কিছু সাইট ISAPI ফিল্টার ব্যবহার করে যাতে লিঙ্কগুলি ফর্মে না থাকে /article.asp?num=10&dst=5, এবং স্ল্যাশ সহ /নিবন্ধ/abc/num/10/dst/5. এটি করা হয় যাতে সাইটটি সাধারণত সার্চ ইঞ্জিন দ্বারা সূচিত হয়।

আসুন চেষ্টা করি:

সাইট: www.whitehouse.gov whitehouse

গুগল মনে করে যে একটি ওয়েবসাইটের প্রতিটি পৃষ্ঠায় হোয়াইটহাউস শব্দ রয়েছে। এটিই আমরা সমস্ত পৃষ্ঠাগুলি পেতে ব্যবহার করি।
এছাড়াও একটি সরলীকৃত সংস্করণ আছে:

সাইট:whitehouse.gov

এবং সবচেয়ে ভালো দিক হল whitehouse.gov-এর কমরেডরা জানতেন না যে আমরা তাদের সাইটের কাঠামো দেখেছি এবং এমনকি Google ডাউনলোড করা ক্যাশে করা পৃষ্ঠাগুলিও দেখেছি। এটি সাইটের গঠন অধ্যয়ন করতে এবং বিষয়বস্তু দেখতে ব্যবহার করা যেতে পারে, যা আপাতত সনাক্ত করা যায়নি।

ডিরেক্টরিতে ফাইলগুলির একটি তালিকা দেখুন

WEB সার্ভারগুলি নিয়মিত HTML পৃষ্ঠাগুলির পরিবর্তে সার্ভার ডিরেক্টরিগুলির তালিকা প্রদর্শন করতে পারে। এটি সাধারণত ব্যবহারকারীরা নির্দিষ্ট ফাইল নির্বাচন এবং ডাউনলোড করে তা নিশ্চিত করার জন্য করা হয়। যাইহোক, অনেক ক্ষেত্রে, প্রশাসকদের একটি ডিরেক্টরির বিষয়বস্তু দেখানোর কোন ইচ্ছা নেই। এটি ভুল সার্ভার কনফিগারেশন বা ডিরেক্টরিতে প্রধান পৃষ্ঠার অনুপস্থিতির কারণে ঘটে। ফলস্বরূপ, হ্যাকারের ডিরেক্টরিতে আকর্ষণীয় কিছু খুঁজে বের করার এবং নিজের উদ্দেশ্যে এটি ব্যবহার করার সুযোগ রয়েছে। এই ধরনের সমস্ত পৃষ্ঠাগুলি খুঁজে বের করার জন্য, এটি মনে রাখা যথেষ্ট যে তারা সব শব্দ ধারণ করে: index. কিন্তু যেহেতু শব্দের সূচীতে শুধুমাত্র এই ধরনের পৃষ্ঠাগুলি থাকে না, তাই আমাদের ক্যোয়ারীটি পরিমার্জন করতে হবে এবং পৃষ্ঠায় থাকা কীওয়ার্ডগুলিকে বিবেচনা করতে হবে, তাই প্রশ্নগুলি যেমন:

intitle:index.of প্যারেন্ট ডিরেক্টরি
intitle:index.of নামের আকার

যেহেতু বেশিরভাগ ডিরেক্টরি তালিকা ইচ্ছাকৃত, তাই প্রথমবার ভুল স্থান পাওয়া তালিকা খুঁজে পেতে আপনার কঠিন সময় হতে পারে। কিন্তু অন্তত আপনি ইতিমধ্যেই WEB সার্ভার সংস্করণ নির্ধারণ করতে তালিকা ব্যবহার করতে পারেন, যেমন নীচে বর্ণিত হয়েছে৷

WEB সার্ভার সংস্করণ প্রাপ্ত.

কোনো হ্যাকার আক্রমণ শুরু করার আগে WEB সার্ভার সংস্করণ জানা সবসময় দরকারী। আবার, গুগলকে ধন্যবাদ, আপনি সার্ভারের সাথে সংযোগ না করেই এই তথ্য পেতে পারেন। আপনি যদি ডিরেক্টরি তালিকাটি ঘনিষ্ঠভাবে দেখেন তবে আপনি দেখতে পাবেন যে WEB সার্ভারের নাম এবং এর সংস্করণ সেখানে প্রদর্শিত হয়েছে।

Apache1.3.29 - trf296.free.fr পোর্ট 80 এ ProXad সার্ভার

একজন অভিজ্ঞ প্রশাসক এই তথ্য পরিবর্তন করতে পারেন, কিন্তু, একটি নিয়ম হিসাবে, এটি সত্য। সুতরাং, এই তথ্য প্রাপ্ত করার জন্য এটি একটি অনুরোধ পাঠানো যথেষ্ট:

intitle:index.of server.at

একটি নির্দিষ্ট সার্ভারের জন্য তথ্য পেতে, আমরা অনুরোধটি স্পষ্ট করি:

intitle:index.of server.at site:ibm.com

অথবা এর বিপরীতে, আমরা সার্ভারের একটি নির্দিষ্ট সংস্করণ চালানো সার্ভারগুলি খুঁজছি:

intitle:index.of Apache/2.0.40 সার্ভারে

এই কৌশলটি একজন হ্যাকার দ্বারা শিকার খুঁজে পেতে ব্যবহার করতে পারে। উদাহরণস্বরূপ, যদি তার WEB সার্ভারের একটি নির্দিষ্ট সংস্করণের জন্য একটি শোষণ থাকে, তাহলে তিনি এটি খুঁজে পেতে পারেন এবং বিদ্যমান শোষণের চেষ্টা করতে পারেন।

এছাড়াও আপনি WEB সার্ভারের সর্বশেষ সংস্করণ ইনস্টল করার সময় ডিফল্টরূপে ইনস্টল করা পৃষ্ঠাগুলি দেখে সার্ভার সংস্করণ পেতে পারেন৷ উদাহরণস্বরূপ, Apache 1.2.6 পরীক্ষার পৃষ্ঠা দেখতে, শুধু টাইপ করুন

intitle:Test.Page.for.Apache it.worked!

তদুপরি, কিছু অপারেটিং সিস্টেম ইন্সটল করার সময় WEB সার্ভার অবিলম্বে ইনস্টল এবং চালু করে। যাইহোক, কিছু ব্যবহারকারী এমনকি এই সম্পর্কে সচেতন না. স্বাভাবিকভাবেই, আপনি যদি দেখেন যে কেউ ডিফল্ট পৃষ্ঠাটি মুছে ফেলেনি, তাহলে অনুমান করা যৌক্তিক যে কম্পিউটারটি কোনও কাস্টমাইজেশনের মধ্য দিয়ে যায়নি এবং সম্ভবত আক্রমণের ঝুঁকিতে রয়েছে।

IIS 5.0 পৃষ্ঠাগুলি অনুসন্ধান করার চেষ্টা করুন৷

allintitle: Windows 2000 ইন্টারনেট সার্ভিসে স্বাগতম

আইআইএস-এর ক্ষেত্রে, আপনি কেবল সার্ভার সংস্করণই নয়, উইন্ডোজ সংস্করণ এবং পরিষেবা প্যাকও নির্ধারণ করতে পারেন।

WEB সার্ভার সংস্করণ নির্ধারণ করার আরেকটি উপায় হল ম্যানুয়াল (সহায়তা পৃষ্ঠা) এবং উদাহরণ অনুসন্ধান করা যা সাইটে ডিফল্টরূপে ইনস্টল করা হতে পারে। হ্যাকাররা একটি সাইটে বিশেষ সুবিধাপ্রাপ্ত অ্যাক্সেস পেতে এই উপাদানগুলি ব্যবহার করার বেশ কয়েকটি উপায় খুঁজে পেয়েছে। এজন্য আপনাকে উত্পাদন সাইটে এই উপাদানগুলি সরাতে হবে। এই উপাদানগুলির উপস্থিতি সার্ভারের ধরন এবং এর সংস্করণ সম্পর্কে তথ্য পেতে ব্যবহার করা যেতে পারে তা উল্লেখ না করা। উদাহরণস্বরূপ, আসুন অ্যাপাচি ম্যানুয়ালটি সন্ধান করি:

inurl: ম্যানুয়াল অ্যাপাচি নির্দেশিকা মডিউল

একটি CGI স্ক্যানার হিসাবে Google ব্যবহার করা।

CGI স্ক্যানার বা WEB স্ক্যানার শিকারের সার্ভারে দুর্বল স্ক্রিপ্ট এবং প্রোগ্রামগুলি অনুসন্ধান করার জন্য একটি ইউটিলিটি। এই ইউটিলিটিগুলি অবশ্যই জানতে হবে কী সন্ধান করতে হবে, এর জন্য তাদের কাছে দুর্বল ফাইলগুলির একটি সম্পূর্ণ তালিকা রয়েছে, উদাহরণস্বরূপ:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

আমরা Google ব্যবহার করে এই ফাইলগুলির প্রতিটি খুঁজে পেতে পারি, উপরন্তু অনুসন্ধান বারে ফাইলের নামের সাথে index of বা inurl শব্দগুলি ব্যবহার করে: আমরা দুর্বল স্ক্রিপ্ট সহ সাইটগুলি খুঁজে পেতে পারি, উদাহরণস্বরূপ:

allinurl:/random_banner/index.cgi

অতিরিক্ত জ্ঞান ব্যবহার করে, একজন হ্যাকার একটি স্ক্রিপ্টের দুর্বলতাকে কাজে লাগাতে পারে এবং সার্ভারে সঞ্চিত যেকোনো ফাইল নির্গত করতে স্ক্রিপ্টকে বাধ্য করতে এই দুর্বলতা ব্যবহার করতে পারে। উদাহরণস্বরূপ, একটি পাসওয়ার্ড ফাইল।

কিভাবে গুগল হ্যাকিং থেকে নিজেকে রক্ষা করবেন।

1. WEB সার্ভারে গুরুত্বপূর্ণ ডেটা পোস্ট করবেন না।

এমনকি যদি আপনি অস্থায়ীভাবে ডেটা পোস্ট করেন, আপনি এটি ভুলে যেতে পারেন বা কেউ এটি মুছে ফেলার আগে এই ডেটা খুঁজে পেতে এবং নিতে সময় পাবে৷ এটা করবেন না। ডেটা স্থানান্তর করার আরও অনেক উপায় রয়েছে যা এটিকে চুরি থেকে রক্ষা করে।

2. আপনার সাইট পরীক্ষা করুন.

আপনার সাইট গবেষণা করতে বর্ণিত পদ্ধতি ব্যবহার করুন. http://johnny.ihackstuff.com সাইটে প্রদর্শিত নতুন পদ্ধতিগুলির জন্য আপনার সাইটটি পর্যায়ক্রমে পরীক্ষা করুন৷ মনে রাখবেন যে আপনি যদি আপনার ক্রিয়াগুলি স্বয়ংক্রিয় করতে চান তবে আপনাকে Google থেকে বিশেষ অনুমতি নিতে হবে। মনোযোগ দিয়ে পড়লে http://www.google.com/terms_of_service.html, তারপর আপনি বাক্যাংশটি দেখতে পাবেন: আপনি Google-এর কাছ থেকে আগাম অনুমতি ছাড়া Google-এর সিস্টেমে কোনও ধরণের স্বয়ংক্রিয় প্রশ্ন পাঠাতে পারবেন না।

3. আপনার সাইট বা এর অংশ সূচী করার জন্য আপনার Google এর প্রয়োজন নাও হতে পারে।

Google আপনাকে আপনার সাইটের একটি লিঙ্ক বা এর ডাটাবেস থেকে এটির অংশ মুছে ফেলার পাশাপাশি ক্যাশে থেকে পৃষ্ঠাগুলি সরানোর অনুমতি দেয়৷ উপরন্তু, আপনি আপনার সাইটে চিত্র অনুসন্ধান নিষিদ্ধ করতে পারেন, অনুসন্ধান ফলাফলে দেখানো থেকে পৃষ্ঠার ছোট টুকরা নিষিদ্ধ করতে পারেন। একটি সাইট মুছে ফেলার জন্য সমস্ত সম্ভাবনা পৃষ্ঠায় বর্ণিত আছে http://www.google.com/remove.html. এটি করার জন্য, আপনাকে নিশ্চিত করতে হবে যে আপনি সত্যিই এই সাইটের মালিক বা পৃষ্ঠায় ট্যাগ সন্নিবেশ করান বা

4. robots.txt ব্যবহার করুন

এটি জানা যায় যে সার্চ ইঞ্জিনগুলি সাইটের মূলে অবস্থিত robots.txt ফাইলটি দেখে এবং শব্দ দিয়ে চিহ্নিত অংশগুলিকে সূচী করে না। অনুমতি না দেওয়া. সাইটের অংশকে ইন্ডেক্স করা থেকে আটকাতে আপনি এটি ব্যবহার করতে পারেন। উদাহরণস্বরূপ, সমগ্র সাইটটিকে ইন্ডেক্স করা থেকে আটকাতে, দুটি লাইন সম্বলিত একটি robots.txt ফাইল তৈরি করুন:

ব্যবহারিক দূত: *
অনুমতি না দেওয়া: /

আর কি হয়

যাতে জীবন আপনার কাছে মধুর মতো মনে না হয়, আমি পরিশেষে বলব যে এমন সাইটগুলি রয়েছে যা সেই ব্যক্তিদের নিরীক্ষণ করে যারা উপরে বর্ণিত পদ্ধতিগুলি ব্যবহার করে স্ক্রিপ্ট এবং ওয়েব সার্ভারগুলিতে গর্তগুলি সন্ধান করে। যেমন একটি পৃষ্ঠার একটি উদাহরণ

আবেদন।

একটু মিষ্টি। নিজের জন্য নিম্নলিখিত কিছু চেষ্টা করুন:

1. #mysql ডাম্প ফাইল টাইপ: sql - mySQL ডাটাবেস ডাম্প অনুসন্ধান করুন
2. হোস্ট ভলনারেবিলিটি সারসংক্ষেপ রিপোর্ট - অন্য লোকেরা কী দুর্বলতা খুঁজে পেয়েছে তা আপনাকে দেখাবে
3. phpMyAdmin inurl:main.php-এ চলছে - এটি phpmyadmin প্যানেলের মাধ্যমে নিয়ন্ত্রণ বন্ধ করতে বাধ্য করবে
4. গোপনীয় বিতরণের জন্য নয়
5. অনুরোধ বিবরণ নিয়ন্ত্রণ ট্রি সার্ভার ভেরিয়েবল
6. চাইল্ড মোডে চলছে৷
7. এই প্রতিবেদনটি WebLog দ্বারা তৈরি করা হয়েছে৷
8. intitle: index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs – হয়তো কারো ফায়ারওয়াল কনফিগারেশন ফাইল দরকার? :)
10. শিরোনাম: index.of finances.xls - হুম...
11. intitle: dbconvert.exe চ্যাটের সূচী – icq চ্যাট লগ
12.ইনটেক্সট: টোবিয়াস ওটিকার ট্রাফিক বিশ্লেষণ
13. intitle: Webalizer দ্বারা উত্পন্ন জন্য ব্যবহার পরিসংখ্যান
14. intitle: উন্নত ওয়েব পরিসংখ্যানের পরিসংখ্যান
15. intitle: index.of ws_ftp.ini – ws ftp কনফিগারেশন
16. inurl:ipsec.secrets শেয়ার্ড সিক্রেট ধারণ করে - গোপন কী - ভাল সন্ধান
17. inurl:main.php phpMyAdmin-এ স্বাগতম
18. inurl:server-info অ্যাপাচি সার্ভারের তথ্য
19. সাইট: edu অ্যাডমিন গ্রেড
20. ORA-00921: SQL কমান্ডের অপ্রত্যাশিত সমাপ্তি - পাথ পাওয়া
21. intitle:index.of trillian.ini
22. intitle: pwd.db এর সূচক
23.intitle:index.of people.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. intitle: .mysql_history-এর সূচী
27. intitle: index এর intext:globals.inc
28. intitle:index.of administrators.pwd
29. intitle:Index.of ইত্যাদি ছায়া
30.intitle:index.ofsecring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini

"হ্যাকিং মিট গুগল"

প্রশিক্ষণ কেন্দ্র "Informzashita" http://www.itsecurity.ru - তথ্য নিরাপত্তা প্রশিক্ষণের ক্ষেত্রে একটি নেতৃস্থানীয় বিশেষায়িত কেন্দ্র (মস্কো কমিটির লাইসেন্স নং 015470, রাষ্ট্রীয় স্বীকৃতি নং 004251)। ইন্টারনেট সিকিউরিটি সিস্টেম এবং ক্লিয়ারসুইফ্টের জন্য রাশিয়া এবং সিআইএস দেশগুলির একমাত্র অনুমোদিত প্রশিক্ষণ কেন্দ্র। মাইক্রোসফট অনুমোদিত প্রশিক্ষণ কেন্দ্র (নিরাপত্তা বিশেষীকরণ)। প্রশিক্ষণ কর্মসূচিগুলি রাশিয়ার স্টেট টেকনিক্যাল কমিশন, এফএসবি (এফএপিএসআই) এর সাথে সমন্বিত। প্রশিক্ষণের শংসাপত্র এবং উন্নত প্রশিক্ষণের উপর রাষ্ট্রীয় নথি।

SoftKey ক্রেতা, বিকাশকারী, ডিলার এবং অনুমোদিত অংশীদারদের জন্য একটি অনন্য পরিষেবা। এছাড়াও, এটি রাশিয়া, ইউক্রেন, কাজাখস্তানের সেরা অনলাইন সফ্টওয়্যার স্টোরগুলির মধ্যে একটি, যা গ্রাহকদের বিস্তৃত পণ্য, অনেক পেমেন্ট পদ্ধতি, প্রম্পট (প্রায়ই তাত্ক্ষণিক) অর্ডার প্রক্রিয়াকরণ, ব্যক্তিগত বিভাগে অর্ডার প্রক্রিয়া ট্র্যাকিং, বিভিন্ন অফার করে। দোকান থেকে ডিসকাউন্ট এবং নির্মাতারা BY.

ওয়েব রিসোর্সে দুর্বলতার জন্য যে কোনো অনুসন্ধান শুরু হয় পুনরুদ্ধার এবং তথ্য সংগ্রহের মাধ্যমে।
ইন্টেলিজেন্স হয় সক্রিয় হতে পারে - সাইটের ফাইল এবং ডিরেক্টরিগুলির নৃশংস শক্তি, দুর্বলতা স্ক্যানার চালানো, ম্যানুয়ালি সাইট ব্রাউজ করা, বা প্যাসিভ - বিভিন্ন সার্চ ইঞ্জিনে তথ্য অনুসন্ধান করা। কখনও কখনও এটি ঘটে যে সাইটের প্রথম পৃষ্ঠা খোলার আগেই একটি দুর্বলতা জানা হয়ে যায়।

এটা কিভাবে সম্ভব?
অনুসন্ধান রোবট, ক্রমাগত ইন্টারনেটে ঘোরাঘুরি করে, গড় ব্যবহারকারীর জন্য দরকারী তথ্য ছাড়াও, প্রায়শই এমন জিনিসগুলি রেকর্ড করে যা আক্রমণকারীরা একটি ওয়েব সংস্থান আক্রমণ করতে ব্যবহার করতে পারে। উদাহরণস্বরূপ, সংবেদনশীল তথ্য সহ স্ক্রিপ্ট ত্রুটি এবং ফাইল (কনফিগারেশন ফাইল এবং লগ থেকে প্রমাণীকরণ ডেটা এবং ডাটাবেস ব্যাকআপ সহ ফাইল)।
একটি অনুসন্ধান রোবটের দৃষ্টিকোণ থেকে, একটি sql ক্যোয়ারী চালানোর বিষয়ে একটি ত্রুটি বার্তা হল সরল পাঠ্য, অবিচ্ছেদ্য, উদাহরণস্বরূপ, পৃষ্ঠায় পণ্যগুলির বর্ণনা থেকে৷ যদি হঠাৎ করে একটি অনুসন্ধান রোবট .sql এক্সটেনশন সহ একটি ফাইল জুড়ে আসে, যেটি কোনও কারণে সাইটের কার্যকারী ফোল্ডারে শেষ হয়েছে, তবে এটি সাইটের বিষয়বস্তুর অংশ হিসাবে বিবেচিত হবে এবং এটিকে সূচীবদ্ধ করা হবে (সম্ভবত, পাসওয়ার্ড সহ এতে উল্লেখ করা হয়েছে)।

শক্তিশালী, প্রায়শই অনন্য, কীওয়ার্ডগুলি জেনে এই ধরনের তথ্য পাওয়া যেতে পারে যা দুর্বলতা ধারণ করে না এমন পৃষ্ঠাগুলি থেকে "অরক্ষিত পৃষ্ঠাগুলি" আলাদা করতে সহায়তা করে।
কীওয়ার্ড (তথাকথিত ডর্কস) ব্যবহার করে বিশেষ প্রশ্নের একটি বিশাল ডাটাবেস exploit-db.com-এ বিদ্যমান এবং এটি Google Hack Database নামে পরিচিত।

কেন গুগল?
Dorks প্রাথমিকভাবে দুটি কারণে Google এ লক্ষ্যবস্তু করা হয়:
− কীওয়ার্ডের সবচেয়ে নমনীয় সিনট্যাক্স (সারণী 1 এ দেখানো হয়েছে) এবং বিশেষ অক্ষর (সারণী 2 এ দেখানো হয়েছে);
- Google সূচক এখনও অন্যান্য সার্চ ইঞ্জিনের তুলনায় আরও সম্পূর্ণ;

সারণি 1 - প্রধান Google কীওয়ার্ড

কীওয়ার্ড	অর্থ	উদাহরণ
সাইট	শুধুমাত্র নির্দিষ্ট সাইটে অনুসন্ধান করুন. শুধুমাত্র অ্যাকাউন্ট url লাগে	site:somesite.ru - একটি প্রদত্ত ডোমেন এবং সাবডোমেনে সমস্ত পৃষ্ঠাগুলি খুঁজে পাবে
inurl	ইউরিতে উপস্থিত শব্দ দ্বারা অনুসন্ধান করুন। cl অসদৃশ. শব্দ "সাইট", সাইটের নামের পরে মিলের জন্য অনুসন্ধান	inurl:news - সমস্ত পৃষ্ঠাগুলি খুঁজে বের করে যেখানে প্রদত্ত শব্দটি ইউরিতে প্রদর্শিত হয়
লিখিতরুপে	পৃষ্ঠার মূল অংশে অনুসন্ধান করুন	intext:"ট্র্যাফিক জ্যাম" - "ট্রাফিক জ্যাম" এর জন্য সাধারণ অনুরোধের সম্পূর্ণ অনুরূপ
শিরোনাম	পৃষ্ঠার শিরোনামে অনুসন্ধান করুন। ট্যাগের মধ্যে পাঠ্য