Inurl php http kakva zarada. Kako zaraditi novac poznavanjem PHP-a? Kako php programer može dobro zaraditi kod kuće?

Za svakog operatera postoji laka verzija sa kraćim imenom (bez prefiksa all). Razlika je u tome što će allinurl pronaći veze sa svim riječima, a inurl će pronaći veze samo sa prvom od njih. Druga i sljedeće riječi iz upita mogu se pojaviti bilo gdje na web stranicama. Operator inurl se također razlikuje od drugog operatora sa sličnim značenjem - site. Prvi vam takođe omogućava da pronađete bilo koji niz znakova u linku na traženi dokument (na primjer, /cgi-bin/), koji se široko koristi za pronalaženje komponenti sa poznatim ranjivostima.

Hajde da probamo u praksi. Uzimamo allintext filter i tražimo da zahtjev proizvede listu brojeva i verifikacionih kodova kreditnih kartica koje će isteći tek za dvije godine (ili kada se vlasnici umorne od hrane svih).

Allintext: datum isteka broja kartice /2017 cvv

Kada u vijestima pročitate da je mladi haker “provalio u servere” Pentagona ili NASA-e, kradući povjerljive podatke, u većini slučajeva govorimo upravo o takvoj osnovnoj tehnici korištenja Gugla. Pretpostavimo da nas zanima lista NASA-inih zaposlenika i njihove kontakt informacije. Takva lista je sigurno dostupna u elektronskom obliku. Radi praktičnosti ili zbog nadzora, može se nalaziti i na web stranici same organizacije. Logično je da u ovom slučaju neće biti linkova na njega, jer je namijenjen za internu upotrebu. Koje riječi mogu biti u takvom fajlu? Najmanje - polje "adresa". Testiranje svih ovih pretpostavki je jednostavno.

Inurl:nasa.gov tip datoteke:xlsx "adresa"

Koristimo birokratiju

Ovakvi nalazi su lijepi dodir. Zaista solidan ulov pruža detaljnije poznavanje Google-ovih operatera za webmastere, same Mreže i posebnosti strukture onoga što se traži. Poznavajući detalje, možete lako filtrirati rezultate i precizirati svojstva potrebnih datoteka kako biste u ostalom dobili zaista vrijedne podatke. Smiješno je da ovdje birokratija priskače u pomoć. Proizvodi standardne formulacije koje su pogodne za traženje tajnih informacija koje su slučajno procurile na Internet.

Na primjer, pečat izjave o distribuciji, koji zahtijeva Ministarstvo odbrane SAD-a, znači standardizirana ograničenja distribucije dokumenta. Slovo A označava javna saopštenja u kojima nema ništa tajno; B - namenjen samo za internu upotrebu, C - strogo poverljivo, i tako sve do F. Posebno se izdvaja slovo X koje označava posebno vredne podatke koji predstavljaju državnu tajnu najvišeg nivoa. Neka oni koji to treba da rade na dužnosti traže takve dokumente, a mi ćemo se ograničiti na fajlove sa slovom C. Prema DoDI direktivi 5230.24, ova oznaka se dodjeljuje dokumentima koji sadrže opis kritičnih tehnologija koje potpadaju pod kontrolu izvoza . Takve pažljivo zaštićene informacije možete pronaći na stranicama u domeni najvišeg nivoa.mil, namijenjenoj američkoj vojsci.

"IZJAVA O DISTRIBUCIJI C" inurl:navy.mil

Veoma je zgodno da domen .mil sadrži samo sajtove Ministarstva odbrane SAD i njegovih ugovornih organizacija. Rezultati pretrage sa ograničenjem domene su izuzetno čisti, a naslovi govore sami za sebe. Potraga za ruskim tajnama na ovaj način je praktički beskorisna: haos vlada u domenima.ru i.rf, a imena mnogih oružanih sistema zvuče kao botanički (PP "Kiparis", samohodne topove "Akatsia") ili čak fantastično ( TOS “Buratino”).

Pažljivim proučavanjem bilo kog dokumenta sa sajta u domenu .mil, možete videti druge markere kako biste precizirali pretragu. Na primjer, referenca na ograničenja izvoza “Sec 2751”, koja je također zgodna za traženje zanimljivih tehničkih informacija. S vremena na vrijeme se uklanja sa zvaničnih stranica na kojima se nekada pojavio, pa ako ne možete pratiti zanimljiv link u rezultatima pretrage, koristite Googleov keš (cache operator) ili web stranicu Internet Archive.

Penjanje u oblake

Osim slučajno deklasificiranih vladinih dokumenata, u Googleovoj keš memoriji povremeno se pojavljuju linkovi ka ličnim datotekama iz Dropboxa i drugih servisa za pohranu podataka koji stvaraju “privatne” veze ka javno objavljenim podacima. Još je gore s alternativnim i domaćim uslugama. Na primjer, sljedeći upit pronalazi podatke za sve Verizon klijente koji imaju instaliran FTP server i aktivno koriste svoj ruter.

Allinurl:ftp:// verizon.net

Takvih pametnih ljudi sada ima više od četrdeset hiljada, a u proljeće 2015. bilo ih je mnogo više. Umjesto Verizon.net-a, možete zamijeniti ime bilo kojeg poznatog provajdera, a što je poznatiji, ulov može biti veći. Preko ugrađenog FTP servera možete vidjeti datoteke na vanjskom uređaju za pohranu koji je povezan s ruterom. Obično je ovo NAS za daljinski rad, lični oblak ili neka vrsta peer-to-peer preuzimanja datoteka. Sav sadržaj takvih medija indeksira Google i drugi pretraživači, tako da možete pristupiti datotekama pohranjenim na vanjskim diskovima putem direktne veze.

Gledajući konfiguracije

Prije masovne migracije na oblak, jednostavni FTP serveri su vladali kao udaljena pohrana, koja je također imala dosta ranjivosti. Mnogi od njih su i danas aktuelni. Na primjer, popularni program WS_FTP Professional pohranjuje konfiguracijske podatke, korisničke račune i lozinke u datoteci ws_ftp.ini. Lako ga je pronaći i pročitati, jer se svi zapisi čuvaju u tekstualnom formatu, a lozinke su šifrovane trostrukim DES algoritmom nakon minimalnog zamagljivanja. U većini verzija dovoljno je jednostavno odbaciti prvi bajt.

Lako je dešifrirati takve lozinke koristeći uslužni program WS_FTP Password Decryptor ili besplatni web servis.

Kada se govori o hakiranju proizvoljne web stranice, obično se misli na dobivanje lozinke iz dnevnika i rezervnih kopija konfiguracijskih datoteka CMS-a ili aplikacija za e-trgovinu. Ako znate njihovu tipičnu strukturu, lako možete naznačiti ključne riječi. Linije poput onih koje se nalaze u ws_ftp.ini su izuzetno česte. Na primjer, u Drupalu i PrestaShop-u uvijek postoji identifikator korisnika (UID) i odgovarajuća lozinka (pwd), a sve informacije se pohranjuju u datoteke sa ekstenzijom .inc. Možete ih tražiti na sljedeći način:

"pwd=" "UID=" ext:inc

Otkrivanje DBMS lozinki

U konfiguracijskim datotekama SQL servera, korisnička imena i adrese e-pošte pohranjuju se u čistom tekstu, a umjesto lozinki upisuju se njihovi MD5 heševi. Strogo govoreći, nemoguće ih je dešifrirati, ali možete pronaći podudaranje među poznatim parovima heš-lozinke.

Još uvijek postoje DBMS-ovi koji čak i ne koriste heširanje lozinke. Konfiguracijske datoteke bilo koje od njih mogu se jednostavno pregledati u pretraživaču.

Intext:DB_PASSWORD tip datoteke:env

Pojavom Windows servera, mjesto konfiguracijskih datoteka djelomično je zauzeo registar. Možete pretraživati ​​njegove grane na potpuno isti način, koristeći reg kao tip datoteke. Na primjer, ovako:

Tip datoteke:reg HKEY_CURRENT_USER "Lozinka"=

Ne zaboravimo očigledno

Ponekad je moguće doći do povjerljivih informacija korištenjem podataka koji su slučajno otvoreni i koji su došli do Googlea. Idealna opcija je pronaći listu lozinki u nekom uobičajenom formatu. Samo očajni ljudi mogu pohraniti informacije o računu u tekstualnu datoteku, Word dokument ili Excel tabelu, ali uvijek ih ima dovoljno.

Tip datoteke:xls inurl:lozinka

S jedne strane, postoji mnogo sredstava za sprečavanje ovakvih incidenata. Potrebno je navesti adekvatna prava pristupa u htaccess-u, zakrpiti CMS, ne koristiti ljevoruke skripte i zatvoriti ostale rupe. Postoji i datoteka sa listom izuzetaka robots.txt koja zabranjuje pretraživačima da indeksiraju datoteke i direktorije navedene u njoj. S druge strane, ako se struktura robots.txt na nekom serveru razlikuje od standardne, onda odmah postaje jasno šta na njemu pokušavaju da sakriju.

Listi direktorija i datoteka na bilo kojoj stranici prethodi standardni indeks. Budući da se za potrebe usluge mora pojaviti u naslovu, ima smisla ograničiti njegovu pretragu na operator naslova. Zanimljive stvari su u direktorijumima /admin/, /personal/, /etc/ pa čak i /secret/.

Pratite novosti

Relevantnost je ovdje izuzetno važna: stare ranjivosti se vrlo sporo zatvaraju, ali Google i njegovi rezultati pretraživanja se stalno mijenjaju. Postoji čak i razlika između filtera "poslednje sekunde" (&tbs=qdr:s na kraju URL-a zahtjeva) i filtera "u stvarnom vremenu" (&tbs=qdr:1).

Vremenski interval datuma posljednjeg ažuriranja datoteke također je implicitno naznačen od strane Googlea. Preko grafičkog web sučelja možete odabrati jedan od standardnih perioda (sat, dan, sedmica, itd.) ili postaviti raspon datuma, ali ovaj metod nije pogodan za automatizaciju.

Iz izgleda adresne trake, možete samo nagađati o načinu da ograničite izlaz rezultata korištenjem &tbs=qdr: konstrukcije. Slovo y nakon njega postavlja granicu od jedne godine (&tbs=qdr:y), m prikazuje rezultate za posljednji mjesec, w - za sedmicu, d - za prošli dan, h - za posljednji sat, n - za minut, i s - za daj mi sekund. Najnoviji rezultati koje je Google upravo objavio nalaze se pomoću filtera &tbs=qdr:1.

Ako trebate napisati pametnu skriptu, bit će korisno znati da je raspon datuma postavljen u Googleu u julijanskom formatu pomoću operatora raspona datuma. Na primjer, ovako možete pronaći listu PDF dokumenata sa riječju povjerljivo, preuzetih od 1. januara do 1. jula 2015. godine.

Povjerljivi tip datoteke:pdf daterange:2457024-2457205

Opseg je naznačen u julijanskom formatu datuma bez uzimanja u obzir razlomka. Nezgodno je prevesti ih ručno sa gregorijanskog kalendara. Lakše je koristiti konvertor datuma.

Ponovno ciljanje i filtriranje

Pored navođenja dodatnih operatora u upitu za pretraživanje, oni se mogu poslati direktno u tijelo veze. Na primjer, filetype:pdf specifikacija odgovara konstrukciji as_filetype=pdf . Zbog toga je zgodno tražiti bilo kakva pojašnjenja. Recimo da je izlaz rezultata samo iz Republike Honduras specificiran dodavanjem konstrukcije cr=countryHN URL-u pretrage, a samo iz grada Bobruisk - gcs=Bobruisk. Kompletnu listu možete pronaći u odjeljku za programere.

Googleovi alati za automatizaciju dizajnirani su da olakšaju život, ali često dodaju probleme. Na primjer, korisnikov grad je određen IP-om korisnika putem WHOIS-a. Na osnovu ovih informacija, Google ne samo da balansira opterećenje između servera, već i mijenja rezultate pretraživanja. Ovisno o regiji, za isti zahtjev, različiti rezultati će se pojaviti na prvoj stranici, a neki od njih mogu biti potpuno skriveni. Dvoslovni kod iza direktive gl=country pomoći će vam da se osjećate kao kosmopolita i tražite informacije iz bilo koje zemlje. Na primjer, kod Holandije je NL, ali Vatikan i Sjeverna Koreja nemaju svoj kod u Guglu.

Često se rezultati pretraživanja završe pretrpani čak i nakon upotrebe nekoliko naprednih filtera. U ovom slučaju, zahtjev je lako razjasniti dodavanjem nekoliko riječi izuzetaka (ispred svake od njih se stavlja znak minus). Na primjer, bankarstvo, imena i tutorial se često koriste uz riječ Personal. Stoga će jasniji rezultati pretraživanja biti prikazani ne udžbeničkim primjerom upita, već rafiniranim:

Naslov:"Indeks /Personal/" -nazivi -vodič -bankarstvo

Poslednji primer

Sofisticiranog hakera odlikuje činjenica da sam sebi obezbjeđuje sve što mu je potrebno. Na primjer, VPN je zgodna stvar, ali ili skupa, ili privremena i sa ograničenjima. Registracija za pretplatu za sebe je preskupa. Dobro je što postoje grupne pretplate, a uz pomoć Googlea lako je postati dio grupe. Da biste to učinili, samo pronađite Cisco VPN konfiguracijsku datoteku, koja ima prilično nestandardnu ​​PCF ekstenziju i prepoznatljivu putanju: Program Files\Cisco Systems\VPN Client\Profiles. Jedan zahtjev i pridružite se, na primjer, prijateljskom timu Univerziteta u Bonu.

Tip datoteke:pcf vpn ILI grupa

INFO

Lozinke se pohranjuju šifrovane, ali Maurice Massard je već napisao program za njihovo dešifriranje i pruža ga besplatno putem thecampusgeeks.com.

Google izvodi stotine različitih vrsta napada i testova penetracije. Postoji mnogo opcija koje utiču na popularne programe, glavne formate baza podataka, brojne ranjivosti PHP-a, oblaka i tako dalje. Znajući šta tačno tražite, biće mnogo lakše pronaći informacije koje su vam potrebne (posebno informacije koje niste nameravali da objavite). Shodan nije jedini koji hrani zanimljive ideje, već svaku bazu indeksiranih mrežnih resursa!

Od autora: Zdravo prijatelji! U ovom članku ćemo govoriti o PHP programskom jeziku. Hajde da saznamo za šta se koristi, šta možete da uradite sa njim i koje mesto zauzima u fazama razvoja sajta. Takođe u ovom članku ćemo pogledati mnoge načine da zaradite novac znajući kako programirati u PHP-u.

Šta je PHP i čemu služi?

PHP je skriptni jezik koji se vrlo aktivno koristi u razvoju web aplikacija. PHP je jedan od vodećih jezika koji se koristi u razvoju dinamičkih web stranica.

PHP je programski jezik na strani servera. Sve skripte napisane na ovom jeziku se izvršavaju na serveru sa sajtom. Da biste proučavali PHP, razvijali i otklanjali greške na web stranicama i skriptama, naravno, ne morate kupiti pravi server na Internetu. U te svrhe koriste se emulatori servera, koji se u obliku programa jednostavno instaliraju na radnom računalu. A na server na Internetu (hosting) postavljaju se gotove web stranice i stranice sa PHP skriptama. Inače, skoro sav moderni hosting podržava PHP jezik.

Popularnost ovog jezika u području izrade web stranica određena je prisustvom velikog skupa ugrađenih alata za razvoj web aplikacija. Glavni:

automatsko izdvajanje POST i GET parametara, kao i varijabli okruženja web servera u unapred definisane nizove;

interakcija sa velikim brojem različitih sistema za upravljanje bazama podataka (MySQL, MySQLi, SQLite, PostgreSQL, Oracle (OCI8), Oracle, Microsoft SQL Server, Sybase, ODBC, mSQL, IBM DB2, Cloudscape i Apache Derby, Informix, Ovrimos SQL, Lotus Notes , DB++, DBM, dBase, DBX, FrontBase, FilePro, Ingres II, SESAM, Firebird / InterBase, Paradox File Access, MaxDB, PDO interfejs);

automatsko slanje HTTP zaglavlja;

rad sa kolačićima i sesijama;

rad s lokalnim i udaljenim datotekama, utičnicama;

obrada datoteka učitanih na server;

rad sa XForms.

Pogledajmo primjer gdje se PHP skripta pokreće na stranici. Uzmite, na primjer, obrazac za pretplatu u koji upisujete svoje ime i e-mail na mnogim stranicama. Za izgled forme zaslužni su HTML i CSS – boje polja za unos i dugmad, promena boje dugmeta pri lebdenju i klikanju na njega i tako dalje. Koristeći HTML5, možete provjeriti ispravnost podataka unesenih u obrazac - na primjer, da li su polja za email ili telefon ispravno popunjena.

A nakon što kliknete na dugme „Pretplati se“, poziva se PHP skripta koja prima podatke koje ste uneli u obrazac. Skripta ih bilježi u bazu podataka, generira i šalje vam vezu za potvrdu vaše pretplate na e-poštu navedenu u obrascu, provjerava potvrdu pretplate i šalje vam sljedeće e-poruke. Sve ove operacije se izvode na serveru, a to se radi pomoću PHP programskog jezika.

Primjena PHP-a u izradi web stranica

Da biste kreirali web stranicu, potrebno je proći kroz nekoliko faza:

Planiranje. U ovoj fazi planiramo budući sajt: za koga i zašto ga pravimo, ko će posetiti sajt, čime ga popuniti, šta treba da bude na sajtu itd.

Dizajn. U fazi dizajna kreiramo izgled stranica stranice u grafičkom uređivaču.

Layout. U fazi izgleda, koristeći HTML i CSS, kreiramo HTML stranice budućeg sajta od izgleda dobijenih u fazi dizajna.

Programiranje. U fazi programiranja automatizujemo procese rada sa sajtom. Administrativni dio stranice (admin panel) programiramo tako da možete dodavati, brisati, uređivati ​​postojeće stranice čak i za osobu koja nije potpuno upoznata sa izgradnjom web stranice. Programiramo tako da pretraživanje i svi obrasci za pretplatu (ako ih ima) na stranici funkcioniraju. Vodimo računa da se novododata stranica prikazuje na stranici, a link do kreirane stranice automatski se pojavljuje u meniju. Ako sajt koristi glasanje ili anketu, onda je i ovo sve programirano u PHP-u, u fazi programiranja.

Ako uzmemo u obzir fazu programiranja veće stranice, na primjer, online trgovine, onda je sve ovdje još šire i zanimljivije. U ovom slučaju dodajemo ne samo stranice, već i proizvode - glavni sadržaj online trgovine. Štaviše, u admin panelu morate dati raščlanjivanje dodatih proizvoda u različite kategorije. Također bi trebalo biti moguće uređivati ​​proizvod, mijenjati njegov opis, cijenu, sliku itd.

Osim toga, online trgovina zahtijeva programiranje analitičkog sistema - tako da na admin panelu možete vidjeti koliko je porudžbina poslato i plaćeno, za koji iznos, koji su proizvodi plaćeni iz kojih kategorija itd. Štaviše, trebalo bi biti moguće prikazati takve izvještaje za različite periode. Prilikom programiranja online trgovine često se implementira i izvještavanje o prodaji za računovodstvene i porezne svrhe.

Zato je faza u kojoj se koristi PHP programski jezik najvažnija, vremenski najduža i najskuplja i najplaćenija u izradi web stranica. A kada shvatite kako programirati online prodavnicu, moći ćete kreirati skripte za web stranicu gotovo bilo koje složenosti.

Popularnost PHP-a

O popularnosti PHP-a svedoči činjenica da ga koristi 83,1% svih sajtova na kojima je bilo moguće identifikovati programski jezik na strani servera.

Svi najpopularniji CMS-ovi koji zauzimaju prva mjesta u ocjenama popularnosti (i plaćeni i besplatni: WordPress, Joomla, Drupal, Modx, Bitrix. Magento, itd.) napisani su u PHP programskom jeziku.

Takođe, o popularnosti PHP programskog jezika svedoče i mnogi kreirani PHP okviri, kao što su Laravel, Yii, CakePHP, Slim, Zend Framework 2, PHPixie, CodeIgniter, Symfony 2 i drugi. Postoji ogroman broj foruma i velikih zajednica - za PHP općenito, za svaki framework i za svaki CMS posebno.
Dodaću i da su najveći svjetski sajtovi, na primjer, Facebook, Wikipedia, također napisani na PHP-u.

Kako možete zaraditi novac sa poznavanjem PHP-a?

S obzirom na popularnost PHP-a, postoji stalna velika potražnja za PHP programerima. Poznavanje PHP-a i sposobnost programiranja na ovom jeziku otvoriće vam nove mogućnosti za zaradu. Pogledajmo glavne sa kojima danas zaista možete zaraditi:

Zarada razvijanjem skripti. Svi sajtovi se konstantno razvijaju i periodično zahtevaju pisanje novih skripti, ili razvoj dodatne funkcionalnosti, modula itd. Za takav razvoj, vlasnici sajtova se obraćaju PHP programerima. Štaviše, u ovom slučaju novac možete zaraditi na dva načina:

pratiti narudžbe za pronalaženje slobodnog programera;

generirati ideje za masovne skripte. Imajući ideju za skriptu koja će definitivno biti tražena među, na primjer, vlasnicima internetskih trgovina, možete samostalno razviti takvu skriptu i prodati je vlasnicima internetskih trgovina;

Finalizacija gotovih skripti "po narudžbini". Ovdje je sve jednostavno - preuzimate modifikaciju ili ispravku skripte. Ali u ovom slučaju postoji nijansa - u početku skripta možda neće biti dobro napravljena, a njeno usavršavanje može potrajati više vremena nego pisanje skripte od nule. Stoga, ako koristite ovaj način zarade, u početku vrlo pažljivo pogledajte šta ćete modificirati i dovršiti.

Razvoj dodataka za CMS. U ovoj metodi sve je isto kao i kod zarađivanja novca od skripti. Često web stranice kreirane na gotovom CMS-u zahtijevaju pisanje neke vrste dodatka, dodatka ili ekstenzije. I ovdje možete zaraditi na dva načina:

pratiti narudžbe za razvoj dodataka, dodataka i ekstenzija na slobodnoj osnovi;

razviti i prodati masovni dodatak koji će definitivno biti tražen na većini stranica;

Sopstveni i zajednički projekti. Ako imate ideju za internet projekat (startup), na primjer, ideju za korisnu uslugu ili aplikaciju koja bi riješila konkretan problem, onda možete početi s njenom implementacijom. U početnoj fazi, to može biti čak i samo kao hobi, pored vašeg glavnog posla. Tada, kada bude jasno da hobi prerasta u veliki projekat, moći će mu se posvetiti više vremena.

Izrada dinamičkih web stranica i motora za njih. Također možete dobro zaraditi razvijajući prilagođene web stranice, radeći kao freelancer ili u web studiju.

Izrada web stranica za sebe. Možete kreirati web stranicu za sebe, ispuniti je korisnim sadržajem - a kada stranica ima dovoljan broj posjetitelja, počnite zarađivati ​​tako što ćete na njoj plasirati plaćeno oglašavanje ili promovirati nečije proizvode kroz partnerske programe.

Mislim da su mnogi od vas pomislili da se sve gore navedene metode zarade mogu kombinovati. I to je tačno! Možete kreirati web stranicu za sebe i pasivno zarađivati ​​novac prodajom reklama s nje, plus kreirati skriptu ili dodatak i prodavati ga na specijaliziranim web stranicama, zarađujući novac na autopilotu od svake prodaje, a u isto vrijeme i dalje možete raditi na webu studio. Zašto ne? Naravno da možete!

Koliko PHP programer može zaraditi?

Sa zaradom PHP programera, sve je individualno. Mnogo toga ovdje ovisi o tome gdje raditi, kako raditi, koji nivo znanja, kakvo iskustvo, kvalifikacije, koja srodna dodatna znanja programer ima, itd. Stoga, u principu, ovdje ne može postojati tačna brojka. Ali možemo pogledati kakve se plate nude kada tražimo PHP programere u web studiju i koliko su oni spremni da plate za projekat na berzama slobodnjaka.

Slika ispod prikazuje predloženu platu za PHP programere u web studiju. Štaviše, ovo je plata za PHP programere bez radnog iskustva:

Ako imate radno iskustvo, možete zaraditi mnogo više. Ispod su plaće koje se nude iskusnim PHP programerima.

A danas možete zaraditi i pristojan novac od freelancera:

Zaključak

PHP je najpopularniji programski jezik među web programerima. Ogromna većina svih web stranica na Internetu napisana je na PHP-u. Posjedujući znanje i sposobnost razvoja u ovom programskom jeziku, možete dobro zaraditi, a postoji mnogo opcija za zaradu - od rada u web studiju do razvoja vlastitog projekta ili startupa.

Svako traženje ranjivosti na web resursima počinje izviđanjem i prikupljanjem informacija.
Inteligencija može biti ili aktivna – gruba sila datoteka i direktorija na stranici, pokretanje skenera ranjivosti, ručno pregledavanje stranice ili pasivna – traženje informacija u različitim pretraživačima. Ponekad se desi da ranjivost postane poznata i prije otvaranja prve stranice stranice.

Kako je to moguće?
Roboti za pretraživanje, koji neprestano lutaju internetom, osim informacija korisnih prosječnom korisniku, često bilježe stvari koje napadači mogu iskoristiti za napad na web resurs. Na primjer, greške skripte i datoteke s osjetljivim informacijama (od konfiguracijskih datoteka i dnevnika do datoteka s podacima za autentifikaciju i sigurnosne kopije baze podataka).
Sa stanovišta robota za pretraživanje, poruka o grešci u izvršavanju sql upita je običan tekst, neodvojiv, na primjer, od opisa proizvoda na stranici. Ako iznenada robot za pretraživanje naiđe na datoteku s ekstenzijom .sql, koja je iz nekog razloga završila u radnoj mapi web-lokacije, tada će se ona smatrati dijelom sadržaja stranice i također će biti indeksirana (uključujući, moguće, lozinke navedeno u njemu).

Takve informacije se mogu pronaći poznavanjem jakih, često jedinstvenih ključnih riječi koje pomažu odvojiti “ranjive stranice” od stranica koje ne sadrže ranjivosti.
Ogromna baza podataka specijalnih upita koji koriste ključne riječi (tzv. dorks) postoji na exploit-db.com i poznata je kao Google Hack Database.

Zašto google?
Dorks su prvenstveno ciljani na Google iz dva razloga:
− najfleksibilnija sintaksa ključnih riječi (prikazano u tabeli 1) i specijalnih znakova (prikazano u tabeli 2);
− Google indeks je i dalje potpuniji od indeksa drugih pretraživača;

Tabela 1 - Glavne Google ključne riječi