Inurl PHP http welche Einnahmen. Wie kann man mit PHP-Kenntnissen Geld verdienen? Wie kann ein PHP-Programmierer zu Hause gutes Geld verdienen?

Für jeden Operator gibt es eine vereinfachte Version mit einem kürzeren Namen (ohne das Präfix all). Der Unterschied besteht darin, dass allinurl Links mit allen Wörtern findet und inurl nur Links mit dem ersten Wort. Das zweite und die folgenden Wörter der Abfrage können an einer beliebigen Stelle auf Webseiten erscheinen. Der Inurl-Operator unterscheidet sich auch von einem anderen Operator mit ähnlicher Bedeutung – Site. Mit der ersten Möglichkeit können Sie auch eine beliebige Zeichenfolge in einem Link zum durchsuchten Dokument finden (z. B. /cgi-bin/), die häufig zum Auffinden von Komponenten mit bekannten Schwachstellen verwendet wird.

Versuchen wir es in der Praxis. Wir nehmen den Allintext-Filter und veranlassen die Anfrage, eine Liste mit Nummern und Verifizierungscodes von Kreditkarten zu erstellen, die erst in zwei Jahren ablaufen (oder wenn ihre Besitzer es satt haben, alle zu ernähren).

Allintext: Ablaufdatum der Kartennummer / Lebenslauf 2017

Wenn Sie in den Nachrichten lesen, dass ein junger Hacker „in die Server des Pentagons oder der NASA gehackt“ und geheime Informationen gestohlen hat, sprechen wir in den meisten Fällen von einer solchen grundlegenden Technik der Verwendung von Google. Angenommen, wir interessieren uns für eine Liste der NASA-Mitarbeiter und deren Kontaktinformationen. Sicherlich liegt eine solche Liste in elektronischer Form vor. Der Einfachheit halber oder aus Gründen der Übersichtlichkeit kann die Angabe auch auf der Website der Organisation selbst erfolgen. Es ist logisch, dass in diesem Fall keine Links darauf vorhanden sind, da es für den internen Gebrauch bestimmt ist. Welche Wörter können in einer solchen Datei enthalten sein? Zumindest das Feld „Adresse“. Es ist einfach, alle diese Annahmen zu testen.

Inurl:nasa.gov Dateityp:xlsx „Adresse“

Wir nutzen Bürokratie

Funde wie dieser sind eine nette Geste. Einen wirklich soliden Fang liefert eine genauere Kenntnis der Google-Betreiber für Webmaster, des Netzwerks selbst und der Besonderheiten der Struktur des Gesuchten. Wenn Sie die Details kennen, können Sie die Ergebnisse einfach filtern und die Eigenschaften der erforderlichen Dateien verfeinern, um im Übrigen wirklich wertvolle Daten zu erhalten. Komisch, dass hier die Bürokratie Abhilfe schafft. Es erstellt Standardformulierungen, die sich für die Suche nach geheimen Informationen eignen, die versehentlich ins Internet gelangt sind.

Beispielsweise bedeutet der vom US-Verteidigungsministerium geforderte Stempel „Distribution Statement“ standardisierte Einschränkungen für die Verteilung eines Dokuments. Der Buchstabe A bezeichnet öffentliche Veröffentlichungen, die nichts Geheimnisvolles enthalten; B – nur für den internen Gebrauch bestimmt, C – streng vertraulich usw. bis F. Der Buchstabe X sticht gesondert hervor, der besonders wertvolle Informationen kennzeichnet, die ein Staatsgeheimnis auf höchstem Niveau darstellen. Lassen Sie diejenigen, die dies im Dienst tun sollen, nach solchen Dokumenten suchen, und wir beschränken uns auf Dateien mit dem Buchstaben C. Gemäß der DoDI-Richtlinie 5230.24 wird diese Kennzeichnung Dokumenten zugewiesen, die eine Beschreibung kritischer Technologien enthalten, die unter die Exportkontrolle fallen . Solche sorgfältig geschützten Informationen finden Sie auf Websites in der Top-Level-Domain .mil, die der US-Armee zugewiesen ist.

„VERTEILERKLÄRUNG C“ inurl:navy.mil

Es ist sehr praktisch, dass die .mil-Domain nur Websites des US-Verteidigungsministeriums und seiner Vertragsorganisationen enthält. Suchergebnisse mit einer Domain-Einschränkung sind außergewöhnlich sauber und die Titel sprechen für sich. Auf diese Weise nach russischen Geheimnissen zu suchen ist praktisch sinnlos: In den Domains.ru und.rf herrscht Chaos, und die Namen vieler Waffensysteme klingen wie botanische (PP „Kiparis“, selbstfahrende Waffen „Akatsia“) oder sogar fabelhafte ( AGB „Buratino“).

Wenn Sie jedes Dokument einer Website in der .mil-Domain sorgfältig studieren, können Sie andere Markierungen sehen, um Ihre Suche zu verfeinern. Beispielsweise ein Verweis auf die Exportbeschränkungen „Sec 2751“, der auch für die Suche nach interessanten technischen Informationen praktisch ist. Von Zeit zu Zeit wird es von den offiziellen Websites entfernt, auf denen es einmal aufgetaucht ist. Wenn Sie also einem interessanten Link in den Suchergebnissen nicht folgen können, verwenden Sie den Cache (Cache-Operator) von Google oder die Website des Internetarchivs.

In die Wolken klettern

Zusätzlich zu versehentlich freigegebenen Regierungsdokumenten tauchen gelegentlich Links zu persönlichen Dateien von Dropbox und anderen Datenspeicherdiensten im Cache von Google auf, die „private“ Links zu öffentlich veröffentlichten Daten erstellen. Bei alternativen und hausgemachten Dienstleistungen ist es noch schlimmer. Die folgende Abfrage findet beispielsweise Daten für alle Verizon-Kunden, die einen FTP-Server installiert haben und ihren Router aktiv nutzen.

Allinurl:ftp:// verizon.net

Mittlerweile gibt es mehr als vierzigtausend solcher klugen Köpfe, und im Frühjahr 2015 waren es noch viel mehr. Anstelle von Verizon.net können Sie auch den Namen eines beliebigen bekannten Anbieters verwenden. Je bekannter dieser ist, desto größer kann der Haken sein. Über den integrierten FTP-Server können Sie Dateien auf einem externen Speichergerät anzeigen, das mit dem Router verbunden ist. Normalerweise ist dies ein NAS für Remote-Arbeit, eine persönliche Cloud oder eine Art Peer-to-Peer-Datei-Download. Alle Inhalte solcher Medien werden von Google und anderen Suchmaschinen indiziert, sodass Sie über einen direkten Link auf Dateien zugreifen können, die auf externen Laufwerken gespeichert sind.

Schauen Sie sich die Konfigurationen an

Vor der flächendeckenden Migration in die Cloud herrschten einfache FTP-Server als Remote-Speicher vor, die ebenfalls viele Schwachstellen aufwiesen. Viele davon sind auch heute noch relevant. Das beliebte Programm WS_FTP Professional speichert beispielsweise Konfigurationsdaten, Benutzerkonten und Passwörter in der Datei ws_ftp.ini. Es ist leicht zu finden und zu lesen, da alle Datensätze im Textformat gespeichert werden und Passwörter nach minimaler Verschleierung mit dem Triple DES-Algorithmus verschlüsselt werden. In den meisten Versionen reicht es aus, einfach das erste Byte zu verwerfen.

Es ist einfach, solche Passwörter mit dem Dienstprogramm WS_FTP Password Decryptor oder einem kostenlosen Webdienst zu entschlüsseln.

Wenn man vom Hacken einer beliebigen Website spricht, meint man damit meist das Erhalten eines Passworts aus Protokollen und Backups von Konfigurationsdateien von CMS- oder E-Commerce-Anwendungen. Wenn Sie deren typische Struktur kennen, können Sie die Schlüsselwörter leicht angeben. Zeilen wie die in ws_ftp.ini sind äußerst häufig. Beispielsweise gibt es in Drupal und PrestaShop immer eine Benutzerkennung (UID) und ein entsprechendes Passwort (pwd) und alle Informationen werden in Dateien mit der Erweiterung .inc gespeichert. Sie können wie folgt danach suchen:

"pwd=" "UID=" ext:inc

Offenlegung von DBMS-Passwörtern

In den Konfigurationsdateien von SQL-Servern werden Benutzernamen und E-Mail-Adressen im Klartext gespeichert und ihre MD5-Hashes anstelle von Passwörtern geschrieben. Streng genommen ist es unmöglich, sie zu entschlüsseln, aber Sie können eine Übereinstimmung zwischen den bekannten Hash-Passwort-Paaren finden.

Es gibt immer noch DBMS, die nicht einmal Passwort-Hashing verwenden. Die Konfigurationsdateien von jedem von ihnen können einfach im Browser angezeigt werden.

Intext:DB_PASSWORD Dateityp:env

Mit dem Aufkommen von Windows-Servern wurde der Platz der Konfigurationsdateien teilweise von der Registrierung eingenommen. Sie können die Zweige auf genau die gleiche Weise durchsuchen, indem Sie reg als Dateityp verwenden. Zum Beispiel so:

Dateityp:reg HKEY_CURRENT_USER „Passwort“=

Vergessen wir nicht das Offensichtliche

Manchmal ist es möglich, mithilfe von Daten, die versehentlich geöffnet wurden und auf die Google aufmerksam geworden ist, an Verschlusssachen zu gelangen. Die ideale Option besteht darin, eine Liste von Passwörtern in einem gängigen Format zu finden. Nur verzweifelte Menschen können Kontoinformationen in einer Textdatei, einem Word-Dokument oder einer Excel-Tabelle speichern, aber es gibt immer genug davon.

Dateityp:xls inurl:passwort

Einerseits gibt es viele Möglichkeiten, solche Vorfälle zu verhindern. Es ist notwendig, ausreichende Zugriffsrechte in htaccess festzulegen, das CMS zu patchen, keine Linkshänder-Skripte zu verwenden und andere Lücken zu schließen. Es gibt auch eine Datei mit einer Liste von robots.txt-Ausnahmen, die Suchmaschinen daran hindert, die darin angegebenen Dateien und Verzeichnisse zu indizieren. Wenn andererseits die Struktur von robots.txt auf einem Server von der Standardstruktur abweicht, wird sofort klar, was sie darauf verbergen wollen.

Der Liste der Verzeichnisse und Dateien auf jeder Site wird der Standardindex vorangestellt. Da es zu Servicezwecken im Titel erscheinen muss, ist es sinnvoll, die Suche auf den Operator „intitle“ zu beschränken. Interessante Dinge befinden sich in den Verzeichnissen /admin/, /personal/, /etc/ und sogar /secret/.

Bleiben Sie dran für Updates

Relevanz ist hier enorm wichtig: Alte Schwachstellen werden nur sehr langsam geschlossen, Google und seine Suchergebnisse verändern sich jedoch ständig. Es gibt sogar einen Unterschied zwischen einem „Last Second“-Filter (&tbs=qdr:s am Ende der Anfrage-URL) und einem „Echtzeit“-Filter (&tbs=qdr:1).

Auch der zeitliche Abstand des Datums der letzten Aktualisierung der Datei wird von Google implizit angegeben. Über die grafische Weboberfläche können Sie einen der Standardzeiträume (Stunde, Tag, Woche usw.) auswählen oder einen Datumsbereich festlegen, diese Methode ist jedoch nicht für die Automatisierung geeignet.

Anhand des Aussehens der Adressleiste können Sie nur erahnen, wie Sie die Ausgabe von Ergebnissen mithilfe der Konstruktion &tbs=qdr: einschränken können. Der Buchstabe y danach legt die Grenze von einem Jahr fest (&tbs=qdr:y), m zeigt die Ergebnisse für den letzten Monat, w – für die Woche, d – für den vergangenen Tag, h – für die letzte Stunde, n – für die Minute, und s – für gib mir eine Sekunde. Die neuesten Ergebnisse, die Google gerade bekannt gegeben hat, werden mit dem Filter &tbs=qdr:1 gefunden.

Wenn Sie ein cleveres Skript schreiben müssen, ist es hilfreich zu wissen, dass der Datumsbereich in Google im Julian-Format mithilfe des Datumsbereichsoperators festgelegt wird. So finden Sie beispielsweise eine Liste von PDF-Dokumenten mit dem Wort „vertraulich“, heruntergeladen vom 1. Januar bis 1. Juli 2015.

Vertraulicher Dateityp: PDF-Datumsbereich: 2457024-2457205

Der Bereich wird im julianischen Datumsformat ohne Berücksichtigung des Nachkommateils angegeben. Die manuelle Übersetzung aus dem gregorianischen Kalender ist umständlich. Es ist einfacher, einen Datumskonverter zu verwenden.

Nochmals zielen und filtern

Neben der Angabe zusätzlicher Operatoren in der Suchanfrage können diese auch direkt im Linktext mitgesendet werden. Beispielsweise entspricht die Angabe filetype:pdf der Konstruktion as_filetype=pdf . Dies macht es bequem, Fragen zu stellen. Nehmen wir an, dass die Ausgabe von Ergebnissen nur aus der Republik Honduras durch Hinzufügen der Konstruktion cr=countryHN zur Such-URL angegeben wird, und nur aus der Stadt Bobruisk - gcs=Bobruisk. Eine vollständige Liste finden Sie im Entwicklerbereich.

Die Automatisierungstools von Google sollen das Leben einfacher machen, bringen aber oft auch Probleme mit sich. Beispielsweise wird die Stadt des Benutzers anhand der IP des Benutzers über WHOIS ermittelt. Basierend auf diesen Informationen gleicht Google nicht nur die Last zwischen den Servern aus, sondern ändert auch die Suchergebnisse. Je nach Region werden für dieselbe Anfrage unterschiedliche Ergebnisse auf der ersten Seite angezeigt, einige davon können sogar vollständig ausgeblendet sein. Der Zwei-Buchstaben-Code nach der gl=country-Direktive hilft Ihnen dabei, sich wie ein Kosmopolit zu fühlen und nach Informationen aus jedem Land zu suchen. Der Code der Niederlande lautet beispielsweise NL, der Vatikan und Nordkorea haben jedoch keinen eigenen Code in Google.

Oftmals sind die Suchergebnisse auch nach Verwendung mehrerer erweiterter Filter unübersichtlich. In diesem Fall lässt sich die Anfrage leicht verdeutlichen, indem man ihr mehrere Ausnahmewörter hinzufügt (jeweils ein Minuszeichen voranstellen). Beispielsweise werden Banking, Namen und Tutorial häufig mit dem Wort „Persönlich“ verwendet. Daher werden sauberere Suchergebnisse nicht durch ein Lehrbuchbeispiel einer Abfrage angezeigt, sondern durch eine verfeinerte:

Intitle:"Index of /Personal/" -names -tutorial -banking

Ein letztes Beispiel

Ein anspruchsvoller Hacker zeichnet sich dadurch aus, dass er sich selbst mit allem versorgt, was er braucht. VPN ist beispielsweise eine praktische Sache, aber entweder teuer oder vorübergehend und mit Einschränkungen. Der Abschluss eines Abonnements für sich selbst ist zu teuer. Gut, dass es Gruppenabonnements gibt und mit Hilfe von Google ist es einfach, Teil einer Gruppe zu werden. Suchen Sie dazu einfach die Cisco VPN-Konfigurationsdatei, die eine eher ungewöhnliche PCF-Erweiterung und einen erkennbaren Pfad hat: Programme\Cisco Systems\VPN Client\Profiles. Eine Anfrage und Sie werden zum Beispiel Teil des sympathischen Teams der Universität Bonn.

Dateityp: PCF VPN ODER Gruppe

DIE INFO

Passwörter werden verschlüsselt gespeichert, aber Maurice Massard hat bereits ein Programm zum Entschlüsseln geschrieben und stellt es kostenlos über thecampusgeeks.com zur Verfügung.

Google führt Hunderte verschiedener Arten von Angriffen und Penetrationstests durch. Es gibt viele Optionen, die gängige Programme, wichtige Datenbankformate, zahlreiche PHP-Schwachstellen, Clouds usw. betreffen. Wenn Sie genau wissen, wonach Sie suchen, können Sie die benötigten Informationen viel einfacher finden (insbesondere Informationen, die Sie nicht veröffentlichen wollten). Shodan ist nicht der Einzige, der interessante Ideen liefert, sondern jede Datenbank mit indizierten Netzwerkressourcen!

Vom Autor: Hallo Freunde! In diesem Artikel werden wir über die Programmiersprache PHP sprechen. Lassen Sie uns herausfinden, wofür es verwendet wird, was Sie damit machen können und welchen Platz es in den Phasen der Website-Entwicklung einnimmt. In diesem Artikel werden wir uns auch mit vielen Möglichkeiten befassen, wie man mit PHP-Programmierung Geld verdienen kann.

Was ist PHP und wozu dient es?

PHP ist eine Skriptsprache, die sehr aktiv bei der Entwicklung von Webanwendungen eingesetzt wird. PHP ist eine der führenden Sprachen für die Entwicklung dynamischer Websites.

PHP ist eine serverseitige Programmiersprache. Alle in dieser Sprache geschriebenen Skripte werden auf dem Server mit der Site ausgeführt. Um PHP zu studieren, Websites und Skripte zu entwickeln und zu debuggen, müssen Sie natürlich keinen echten Server im Internet kaufen. Zu diesem Zweck werden Serveremulatoren verwendet, die in Form von Programmen einfach auf einem funktionierenden Computer installiert werden. Und auf einem Server im Internet (Hosting) werden vorgefertigte Webseiten und Seiten mit PHP-Skripten abgelegt. Übrigens unterstützt fast jedes moderne Hosting die PHP-Sprache.

Die Beliebtheit dieser Sprache im Bereich der Website-Erstellung wird durch das Vorhandensein einer großen Anzahl integrierter Tools zur Entwicklung von Webanwendungen bestimmt. Die wichtigsten:

automatische Extraktion von POST- und GET-Parametern sowie Webserver-Umgebungsvariablen in vordefinierte Arrays;

Interaktion mit einer Vielzahl verschiedener Datenbankmanagementsysteme (MySQL, MySQLi, SQLite, PostgreSQL, Oracle (OCI8), Oracle, Microsoft SQL Server, Sybase, ODBC, mSQL, IBM DB2, Cloudscape und Apache Derby, Informix, Ovrimos SQL, Lotus Notes, DB++, DBM, dBase, DBX, FrontBase, FilePro, Ingres II, SESAM, Firebird / InterBase, Paradox File Access, MaxDB, PDO-Schnittstelle);

automatisierter Versand von HTTP-Headern;

Arbeiten mit Cookies und Sitzungen;

Arbeiten mit lokalen und Remote-Dateien, Sockets;

Verarbeitung von auf den Server hochgeladenen Dateien;

Arbeiten mit XForms.

Schauen wir uns ein Beispiel an, bei dem das PHP-Skript auf der Seite ausgeführt wird. Nehmen Sie zum Beispiel das Anmeldeformular, in das Sie auf vielen Websites Ihren Namen und Ihre E-Mail-Adresse eingeben. HTML und CSS sind für das Erscheinungsbild des Formulars verantwortlich – die Farben der Eingabefelder und Schaltflächen, das Ändern der Farbe der Schaltfläche, wenn Sie mit der Maus darüber fahren und darauf klicken, und so weiter. Mithilfe von HTML5 können Sie die Richtigkeit der im Formular eingegebenen Daten überprüfen – beispielsweise ob die E-Mail- oder Telefonfelder korrekt ausgefüllt sind.

Und nachdem Sie auf die Schaltfläche „Abonnieren“ geklickt haben, wird ein PHP-Skript aufgerufen, das die von Ihnen in das Formular eingegebenen Daten entgegennimmt. Das Skript zeichnet sie in der Datenbank auf, generiert und sendet Ihnen einen Link zur Bestätigung Ihres Abonnements an die im Formular angegebene E-Mail, prüft die Abonnementbestätigung und sendet Ihnen nachfolgende E-Mails. Alle diese Vorgänge werden auf dem Server ausgeführt, und zwar mithilfe der Programmiersprache PHP.

Anwendung von PHP in der Website-Entwicklung

Um eine Website zu erstellen, müssen Sie mehrere Phasen durchlaufen:

Planung. In dieser Phase planen wir die zukünftige Site: Für wen und warum erstellen wir sie, wer wird die Site besuchen, womit soll sie gefüllt werden, was soll auf der Site sein und so weiter.

Design. In der Designphase erstellen wir das Erscheinungsbild der Seiten der Website in einem grafischen Editor.

Layout. In der Layoutphase erstellen wir mithilfe von HTML und CSS die HTML-Seiten der zukünftigen Website aus den in der Designphase erhaltenen Layouts.

Programmierung. In der Programmierphase automatisieren wir die Prozesse der Arbeit mit der Website. Wir programmieren den administrativen Teil der Website (Admin-Panel), sodass Sie vorhandene Seiten hinzufügen, löschen und bearbeiten können, selbst für eine Person, die mit der Website-Erstellung überhaupt nicht vertraut ist. Wir programmieren so, dass die Suche und alle Anmeldeformulare (falls vorhanden) auf der Website funktionieren. Wir sorgen dafür, dass die neu hinzugefügte Seite auf der Website angezeigt wird und im Menü automatisch ein Link zur erstellten Seite erscheint. Wenn die Website eine Abstimmung oder eine Umfrage verwendet, wird dies ebenfalls alles in PHP programmiert, und zwar in der Programmierphase.

Wenn wir die Phase der Programmierung einer größeren Website, beispielsweise eines Online-Shops, betrachten, dann ist hier alles noch breiter und interessanter. In diesem Fall fügen wir nicht nur Seiten, sondern auch Produkte hinzu – den Hauptinhalt des Online-Shops. Darüber hinaus müssen Sie im Admin-Bereich eine Aufschlüsselung der hinzugefügten Produkte in verschiedene Kategorien bereitstellen. Es sollte auch möglich sein, das Produkt zu bearbeiten, seine Beschreibung, seinen Preis, sein Bild usw. zu ändern.

Darüber hinaus erfordert ein Online-Shop die Programmierung eines Analysesystems – damit Sie im Admin-Panel sehen können, wie viele Bestellungen aufgegeben und bezahlt wurden, für welchen Betrag und welche Produkte aus welchen Kategorien usw. bezahlt wurden. Darüber hinaus sollte es so sein Es ist möglich, solche Berichte für verschiedene Zeiträume anzuzeigen. Bei der Programmierung eines Online-Shops wird häufig auch das Umsatzreporting für Buchhaltungs- und Steuerzwecke implementiert.

Deshalb ist die Phase, in der die Programmiersprache PHP zum Einsatz kommt, die wichtigste, zeitlich längste, teuerste und bestbezahlte in der Website-Entwicklung. Und wenn Sie erst einmal verstanden haben, wie man einen Online-Shop programmiert, können Sie Skripte für eine Website nahezu beliebiger Komplexität erstellen.

Popularität von PHP

Die Beliebtheit von PHP wird durch die Tatsache belegt, dass es von 83,1 % aller Websites verwendet wird, bei denen eine serverseitige Programmiersprache identifiziert werden konnte.

Alle beliebtesten CMS, die in der Beliebtheitsskala die ersten Plätze belegen (sowohl kostenpflichtig als auch kostenlos: WordPress, Joomla, Drupal, Modx, Bitrix, Magento usw.), sind in der Programmiersprache PHP geschrieben.

Die Beliebtheit der Programmiersprache PHP wird auch durch die vielen erstellten PHP-Frameworks wie Laravel, Yii, CakePHP, Slim, Zend Framework 2, PHPixie, CodeIgniter, Symfony 2 und andere belegt. Es gibt eine Vielzahl von Foren und großen Communities – für PHP im Allgemeinen, für jedes Framework und für jedes CMS einzeln.
Ich möchte auch hinzufügen, dass die größten Websites der Welt, zum Beispiel Facebook und Wikipedia, ebenfalls in PHP geschrieben sind.

Wie kann man mit PHP-Kenntnissen Geld verdienen?

Angesichts der Beliebtheit von PHP besteht eine konstant hohe Nachfrage nach PHP-Programmierern. Kenntnisse in PHP und die Fähigkeit, in dieser Sprache zu programmieren, eröffnen Ihnen neue Möglichkeiten, Geld zu verdienen. Schauen wir uns die wichtigsten an, mit denen Sie heute wirklich Geld verdienen können:

Geld verdienen durch die Entwicklung von Skripten. Alle Websites entwickeln sich ständig weiter und erfordern regelmäßig das Schreiben neuer Skripte oder die Entwicklung zusätzlicher Funktionen, Module usw. Für solche Entwicklungen wenden sich Websitebesitzer an PHP-Entwickler. Darüber hinaus können Sie in diesem Fall auf zwei Arten Geld verdienen:

Aufträge verfolgen, um einen freiberuflichen Entwickler zu finden;

Generieren Sie Ideen für Massenskripte. Wenn Sie eine Idee für ein Skript haben, das beispielsweise bei Besitzern von Online-Shops auf jeden Fall gefragt sein wird, können Sie ein solches Skript selbstständig entwickeln und an Online-Shop-Besitzer verkaufen;

Fertigstellung vorgefertigter Skripte „auf Bestellung“. Hier ist alles ganz einfach – Sie übernehmen die Änderung oder Korrektur eines Skripts. In diesem Fall gibt es jedoch eine Nuance: Das Skript ist anfangs möglicherweise nicht sehr gut erstellt und seine Verfeinerung kann mehr Zeit in Anspruch nehmen, als ein Skript von Grund auf neu zu schreiben. Wenn Sie diese Art des Geldverdienens nutzen, überlegen Sie sich daher zunächst genau, was Sie ändern und vervollständigen werden.

Entwicklung von Plugins für CMS. Bei dieser Methode ist alles das Gleiche wie beim Geldverdienen mit Skripten. Für Websites, die mit einem vorgefertigten CMS erstellt wurden, ist häufig das Schreiben einer Art Plugin, Add-on oder Erweiterung erforderlich. Und Sie können hier auf zwei Arten Geld verdienen:

Aufträge für die Entwicklung von Plugins, Add-ons und Erweiterungen auf freiberuflicher Basis verfolgen;

ein Massen-Plugin entwickeln und verkaufen, das auf den meisten Websites definitiv gefragt sein wird;

Eigene und gemeinsame Projekte. Wenn Sie eine Idee für ein Internetprojekt (Startup) haben, zum Beispiel eine Idee für einen nützlichen Dienst oder eine Anwendung, die ein bestimmtes Problem lösen würde, dann können Sie mit der Umsetzung beginnen. In der Anfangsphase kann es sich sogar um ein reines Hobby neben dem Hauptberuf handeln. Wenn dann klar ist, dass sich das Hobby zu einem großen Projekt entwickelt, kann man sich mehr Zeit dafür nehmen.

Erstellung dynamischer Websites und Engines für sie. Sie können auch gutes Geld verdienen, indem Sie individuelle Websites entwickeln, als Freiberufler oder in einem Webstudio arbeiten.

Websites für sich selbst erstellen. Sie können eine Website für sich selbst erstellen, sie mit nützlichen Inhalten füllen – und wenn die Website eine ausreichende Anzahl von Besuchern hat, können Sie damit beginnen, Geld zu verdienen, indem Sie bezahlte Werbung darauf platzieren oder die Produkte einer anderen Person über Partnerprogramme bewerben.

Ich denke, viele von Ihnen haben gedacht, dass alle oben genannten Methoden zum Geldverdienen kombiniert werden können. Und es ist richtig! Sie können eine Website für sich selbst erstellen und passiv Geld verdienen, indem Sie damit Werbung verkaufen. Außerdem können Sie ein Skript oder Plugin erstellen und es auf spezialisierten Websites verkaufen, wobei Sie mit jedem Verkauf Geld per Autopilot verdienen und gleichzeitig weiterhin in einer Website arbeiten können Studio. Warum nicht? Natürlich kannst du!

Wie viel kann ein PHP-Entwickler verdienen?

Beim Verdienst von PHP-Programmierern ist alles individuell. Hier hängt viel davon ab, wo man arbeitet, wie man arbeitet, welchen Wissensstand, welche Erfahrung, Qualifikationen, welche damit verbundenen Zusatzkenntnisse der Entwickler hat und so weiter. Daher kann es hier grundsätzlich keine genaue Zahl geben. Aber wir können uns ansehen, welche Gehälter bei der Suche nach PHP-Programmierern in einem Webstudio angeboten werden und wie viel sie bereit sind, auf Freelance-Börsen für ein Projekt zu zahlen.

Das Bild unten zeigt das vorgeschlagene Gehalt für PHP-Programmierer in einem Webstudio. Darüber hinaus ist dies das Gehalt für PHP-Programmierer ohne Berufserfahrung:

Wenn Sie Berufserfahrung haben, können Sie viel mehr verdienen. Nachfolgend finden Sie die Gehälter, die erfahrenen PHP-Programmierern angeboten werden.

Und auch als Freelancer lässt sich heute ordentlich Geld verdienen:

Abschluss

PHP ist die beliebteste Programmiersprache unter Webentwicklern. Die überwiegende Mehrheit aller Websites im Internet ist in PHP geschrieben. Mit den Kenntnissen und der Fähigkeit, sich in dieser Programmiersprache zu entwickeln, kann man gutes Geld verdienen, und es gibt viele Möglichkeiten, Geld zu verdienen – von der Arbeit in einem Webstudio bis hin zur Entwicklung eines eigenen Projekts oder Startups.

Jede Suche nach Schwachstellen in Webressourcen beginnt mit der Aufklärung und Informationssammlung.
Die Intelligenz kann entweder aktiv sein – Brute-Force von Dateien und Verzeichnissen der Website, Ausführen von Schwachstellenscannern, manuelles Durchsuchen der Website oder passiv – Suchen nach Informationen in verschiedenen Suchmaschinen. Manchmal kommt es vor, dass eine Sicherheitslücke bereits vor dem Öffnen der ersten Seite der Website bekannt wird.

Wie ist das möglich?
Suchroboter, die ständig im Internet unterwegs sind, zeichnen neben für den Durchschnittsbenutzer nützlichen Informationen häufig auch Dinge auf, die von Angreifern zum Angriff auf eine Webressource verwendet werden können. Zum Beispiel Skriptfehler und Dateien mit vertraulichen Informationen (von Konfigurationsdateien und Protokollen bis hin zu Dateien mit Authentifizierungsdaten und Datenbanksicherungen).
Aus der Sicht eines Suchroboters handelt es sich bei einer Fehlermeldung über die Ausführung einer SQL-Abfrage um Klartext, der beispielsweise untrennbar mit der Beschreibung der Produkte auf der Seite verbunden ist. Wenn ein Suchroboter plötzlich auf eine Datei mit der Erweiterung .sql stößt, die aus irgendeinem Grund im Arbeitsordner der Site landet, wird sie als Teil des Inhalts der Site wahrgenommen und ebenfalls indiziert (einschließlich möglicherweise der Passwörter). darin angegeben).

Solche Informationen können gefunden werden, indem man starke, oft einzigartige Schlüsselwörter kennt, die dabei helfen, „anfällige Seiten“ von Seiten zu unterscheiden, die keine Schwachstellen enthalten.
Auf Exploit-db.com existiert eine riesige Datenbank spezieller Suchanfragen mit Schlüsselwörtern (sogenannte Dorks), die als Google Hack Database bekannt ist.

Warum googlen?
Dorks richten sich in erster Linie gegen Google aus zwei Gründen:
− die flexibelste Syntax von Schlüsselwörtern (siehe Tabelle 1) und Sonderzeichen (siehe Tabelle 2);
− Der Google-Index ist immer noch vollständiger als der anderer Suchmaschinen.

Tabelle 1 – Wichtigste Google-Keywords