Inurl php http hvilke inntekter. Hvordan tjene penger ved å kunne PHP? Hvordan kan en php-programmerer tjene gode penger hjemme?

For hver operatør er det en lett versjon med et kortere navn (uten prefikset alle). Forskjellen er at allinurl vil finne lenker med alle ord, og inurl vil bare finne lenker med det første av dem. Det andre og påfølgende ordene fra spørringen kan vises hvor som helst på nettsider. Inurl-operatøren skiller seg også fra en annen operatør med lignende betydning - site. Den første lar deg også finne en hvilken som helst sekvens av tegn i en lenke til det søkte dokumentet (for eksempel /cgi-bin/), som er mye brukt for å finne komponenter med kjente sårbarheter.

La oss prøve det i praksis. Vi tar allintext-filteret og får forespørselen til å produsere en liste over tall og bekreftelseskoder for kredittkort som utløper først om to år (eller når eierne deres blir lei av å mate alle).

Allintext: kortnummer utløpsdato /2017 cvv

Når du leser i nyhetene at en ung hacker "hakket seg inn på serverne" til Pentagon eller NASA, og stjal klassifisert informasjon, snakker vi i de fleste tilfeller om nettopp en slik grunnleggende teknikk for å bruke Google. Anta at vi er interessert i en liste over NASA-ansatte og deres kontaktinformasjon. En slik liste er sikkert tilgjengelig i elektronisk form. For enkelhets skyld eller på grunn av tilsyn, kan det også være på selve organisasjonens nettside. Det er logisk at det i dette tilfellet ikke vil være noen koblinger til det, siden det er ment for intern bruk. Hvilke ord kan være i en slik fil? Som et minimum - "adresse"-feltet. Det er enkelt å teste alle disse forutsetningene.

Inurl:nasa.gov filtype:xlsx "adresse"

Vi bruker byråkrati

Funn som dette er en fin detalj. En virkelig solid fangst er gitt av en mer detaljert kunnskap om Googles operatører for nettredaktører, selve nettverket og særegenhetene ved strukturen til det som søkes. Når du kjenner detaljene, kan du enkelt filtrere resultatene og avgrense egenskapene til de nødvendige filene for å få virkelig verdifulle data i resten. Det er artig at byråkratiet kommer til unnsetning her. Den produserer standardformuleringer som er praktiske for å søke etter hemmelig informasjon som ved et uhell lekkes ut på Internett.

For eksempel betyr distribusjonserklæringsstempelet, som kreves av det amerikanske forsvarsdepartementet, standardiserte restriksjoner på distribusjon av et dokument. Bokstaven A betegner offentlige utgivelser der det ikke er noe hemmelig; B - kun beregnet for internt bruk, C - strengt konfidensielt, og så videre til F. Bokstaven X skiller seg ut separat, som markerer spesielt verdifull informasjon som representerer en statshemmelighet av høyeste nivå. La de som skal gjøre dette på vakt søke etter slike dokumenter, så begrenser vi oss til filer med bokstaven C. I henhold til DoDI-direktivet 5230.24 tildeles denne merkingen dokumenter som inneholder en beskrivelse av kritiske teknologier som faller inn under eksportkontroll. . Du kan finne slik nøye beskyttet informasjon på nettsteder i toppnivådomenet.mil, tildelt den amerikanske hæren.

"DISTRIBUSJONSERKLÆRING C" inurl:navy.mil

Det er veldig praktisk at .mil-domenet bare inneholder nettsteder fra det amerikanske forsvarsdepartementet og dets kontraktsorganisasjoner. Søkeresultater med en domenebegrensning er usedvanlig rene, og titlene taler for seg selv. Å lete etter russiske hemmeligheter på denne måten er praktisk talt ubrukelig: kaos hersker i domains.ru and.rf, og navnene på mange våpensystemer høres ut som botaniske (PP "Kiparis", selvgående våpen "Akatsia") eller til og med fabelaktige ( TOS "Buratino").

Ved å studere ethvert dokument nøye fra et nettsted i .mil-domenet, kan du se andre markører for å avgrense søket. For eksempel en referanse til eksportrestriksjonene "Sec 2751", som også er praktisk for å søke etter interessant teknisk informasjon. Fra tid til annen blir det fjernet fra offisielle nettsteder der det en gang dukket opp, så hvis du ikke kan følge en interessant lenke i søkeresultatene, bruk Googles cache (cache-operator) eller Internet Archive-nettstedet.

Klatre inn i skyene

I tillegg til utilsiktet avklassifiserte offentlige dokumenter, dukker det av og til opp lenker til personlige filer fra Dropbox og andre datalagringstjenester som oppretter "private" lenker til offentlig publiserte data i Googles hurtigbuffer. Det er enda verre med alternative og hjemmelagde tjenester. For eksempel finner følgende spørring data for alle Verizon-kunder som har en FTP-server installert og aktivt bruker ruteren.

Allinurl:ftp:// verizon.net

Det er nå mer enn førti tusen slike smarte mennesker, og våren 2015 var det mange flere av dem. I stedet for Verizon.net kan du erstatte navnet på en hvilken som helst kjent leverandør, og jo mer kjent det er, desto større kan fangsten bli. Gjennom den innebygde FTP-serveren kan du se filer på en ekstern lagringsenhet koblet til ruteren. Vanligvis er dette en NAS for eksternt arbeid, en personlig sky eller en slags peer-to-peer-filnedlasting. Alt innhold på slike medier er indeksert av Google og andre søkemotorer, slik at du kan få tilgang til filer som er lagret på eksterne stasjoner via en direkte lenke.

Ser på konfigurasjonene

Før den utbredte migrasjonen til skyen regjerte enkle FTP-servere som ekstern lagring, som også hadde mange sårbarheter. Mange av dem er fortsatt aktuelle i dag. For eksempel lagrer det populære WS_FTP Professional-programmet konfigurasjonsdata, brukerkontoer og passord i filen ws_ftp.ini. Det er enkelt å finne og lese, siden alle poster lagres i tekstformat, og passord krypteres med Triple DES-algoritmen etter minimal tilsløring. I de fleste versjoner er det tilstrekkelig å forkaste den første byten.

Det er enkelt å dekryptere slike passord ved å bruke WS_FTP Password Decryptor-verktøyet eller en gratis nettjeneste.

Når man snakker om å hacke et vilkårlig nettsted, betyr de vanligvis å få et passord fra logger og sikkerhetskopier av konfigurasjonsfiler for CMS eller e-handelsapplikasjoner. Hvis du kjenner deres typiske struktur, kan du enkelt angi søkeordene. Linjer som de som finnes i ws_ftp.ini er ekstremt vanlige. For eksempel, i Drupal og PrestaShop er det alltid en brukeridentifikator (UID) og et tilsvarende passord (pwd), og all informasjon lagres i filer med filtypen .inc. Du kan søke etter dem på følgende måte:

"pwd=" "UID=" ext:inc

Avsløre DBMS-passord

I konfigurasjonsfilene til SQL-servere lagres brukernavn og e-postadresser i klartekst, og MD5-hashene deres skrives i stedet for passord. Strengt tatt er det umulig å dekryptere dem, men du kan finne en match blant de kjente hash-passord-parene.

Det er fortsatt DBMS-er som ikke engang bruker passordhashing. Konfigurasjonsfilene til en av dem kan enkelt sees i nettleseren.

Intext:DB_PASSWORD filtype:env

Med bruken av Windows-servere ble plassen til konfigurasjonsfilene delvis tatt av registeret. Du kan søke gjennom grenene på nøyaktig samme måte, ved å bruke reg som filtype. For eksempel slik:

Filtype:reg HKEY_CURRENT_USER "Passord"=

La oss ikke glemme det åpenbare

Noen ganger er det mulig å komme til klassifisert informasjon ved å bruke data som ble åpnet ved et uhell og ble kjent med Google. Det ideelle alternativet er å finne en liste over passord i et vanlig format. Bare desperate mennesker kan lagre kontoinformasjon i en tekstfil, et Word-dokument eller et Excel-regneark, men det er alltid nok av dem.

Filtype:xls inurl:passord

På den ene siden er det mange midler for å forhindre slike hendelser. Det er nødvendig å spesifisere tilstrekkelige tilgangsrettigheter i htaccess, lappe CMS, ikke bruke venstrehendte skript og lukke andre hull. Det er også en fil med en liste over robots.txt-unntak som forbyr søkemotorer å indeksere filene og katalogene som er spesifisert i den. På den annen side, hvis strukturen til robots.txt på en server er forskjellig fra standarden, blir det umiddelbart klart hva de prøver å skjule på den.

Listen over kataloger og filer på ethvert nettsted er innledet av standardindeksen for. Siden det for tjenesteformål må vises i tittelen, er det fornuftig å begrense søket til intitle-operatøren. Interessante ting er i katalogene /admin/, /personal/, /etc/ og til og med /secret/.

Følg med for oppdateringer

Relevans er ekstremt viktig her: gamle sårbarheter lukkes veldig sakte, men Google og søkeresultatene endres hele tiden. Det er til og med en forskjell mellom et "siste sekund"-filter (&tbs=qdr:s på slutten av forespørselens URL) og et "sanntids"-filter (&tbs=qdr:1).

Tidsintervallet for datoen for siste oppdatering av filen er også angitt implisitt av Google. Gjennom det grafiske nettgrensesnittet kan du velge en av standardperiodene (time, dag, uke osv.) eller angi et datoområde, men denne metoden egner seg ikke for automatisering.

Fra utseendet til adresselinjen kan du bare gjette om en måte å begrense resultatet av resultater ved å bruke &tbs=qdr:-konstruksjonen. Bokstaven y etter den setter grensen på ett år (&tbs=qdr:y), m viser resultatene for siste måned, w - for uken, d - for siste dag, h - for siste time, n - for minuttet, og s - for gi meg et sek. De siste resultatene som Google nettopp har gjort kjent, er funnet ved å bruke filteret &tbs=qdr:1 .

Hvis du trenger å skrive et smart skript, vil det være nyttig å vite at datointervallet er satt i Google i juliansk format ved hjelp av daterange-operatoren. Slik kan du for eksempel finne en liste over PDF-dokumenter med ordet konfidensielt, lastet ned fra 1. januar til 1. juli 2015.

Konfidensiell filtype:pdf daterange:2457024-2457205

Området er angitt i juliansk datoformat uten å ta hensyn til brøkdelen. Å oversette dem manuelt fra den gregorianske kalenderen er upraktisk. Det er lettere å bruke en datoomformer.

Målretting og filtrering igjen

I tillegg til å spesifisere flere operatorer i søket, kan de sendes direkte i lenkens brødtekst. For eksempel tilsvarer filtype:pdf-spesifikasjonen konstruksjonen as_filetype=pdf . Dette gjør det praktisk å spørre eventuelle avklaringer. La oss si at resultatet av resultater kun fra republikken Honduras spesifiseres ved å legge til konstruksjonen cr=countryHN i søkenettadressen, og bare fra byen Bobruisk - gcs=Bobruisk. Du finner en fullstendig liste i utviklerdelen.

Googles automatiseringsverktøy er utviklet for å gjøre livet enklere, men de legger ofte til problemer. For eksempel bestemmes brukerens by av brukerens IP gjennom WHOIS. Basert på denne informasjonen balanserer Google ikke bare belastningen mellom servere, men endrer også søkeresultatene. Avhengig av regionen, for samme forespørsel, vil forskjellige resultater vises på den første siden, og noen av dem kan være helt skjult. Koden på to bokstaver etter gl=country-direktivet vil hjelpe deg å føle deg som en kosmopolit og søke etter informasjon fra hvilket som helst land. For eksempel er koden til Nederland NL, men Vatikanet og Nord-Korea har ikke sin egen kode i Google.

Ofte blir søkeresultatene rotete selv etter bruk av flere avanserte filtre. I dette tilfellet er det enkelt å avklare forespørselen ved å legge til flere unntaksord til den (et minustegn er plassert foran hver av dem). For eksempel brukes banktjenester, navn og opplæring ofte med ordet personlig. Derfor vil renere søkeresultater ikke vises av et lærebokeksempel på et søk, men av et raffinert:

Intitle:"Indeks for /Personlig/" -navn -opplæring -bank

Et siste eksempel

En sofistikert hacker kjennetegnes ved at han forsyner seg selv med alt han trenger på egen hånd. For eksempel er VPN en praktisk ting, men enten dyrt eller midlertidig og med restriksjoner. Å tegne et abonnement for deg selv er for dyrt. Det er bra at det finnes gruppeabonnement, og ved hjelp av Google er det enkelt å bli en del av en gruppe. For å gjøre dette, finn bare Cisco VPN-konfigurasjonsfilen, som har en ganske ikke-standard PCF-utvidelse og en gjenkjennelig bane: Program Files\Cisco Systems\VPN Client\Profiles. En forespørsel og du blir med, for eksempel, det vennlige teamet ved universitetet i Bonn.

Filtype:pcf vpn ELLER Gruppe

INFO

Passord lagres kryptert, men Maurice Massard har allerede skrevet et program for å dekryptere dem og gir det gratis gjennom thecampusgeeks.com.

Google kjører hundrevis av forskjellige typer angrep og penetrasjonstester. Det er mange alternativer, som påvirker populære programmer, store databaseformater, mange sårbarheter i PHP, skyer og så videre. Å vite nøyaktig hva du leter etter vil gjøre det mye lettere å finne informasjonen du trenger (spesielt informasjon du ikke hadde til hensikt å offentliggjøre). Shodan er ikke den eneste som mater med interessante ideer, men hver database med indekserte nettverksressurser!

Fra forfatteren: Hei venner! I denne artikkelen vil vi snakke om programmeringsspråket PHP. La oss finne ut hva den brukes til, hva du kan gjøre med den, og hvilken plass den inntar i stadiene av nettstedutvikling. Også i denne artikkelen vil vi se på mange måter å tjene penger på å vite hvordan man programmerer i PHP.

Hva er PHP og hva er det for?

PHP er et skriptspråk som brukes veldig aktivt i utviklingen av webapplikasjoner. PHP er et av de ledende språkene som brukes til å utvikle dynamiske nettsteder.

PHP er et programmeringsspråk på serversiden. Alle skript skrevet på dette språket kjøres på serveren med nettstedet. For å studere PHP, utvikle og feilsøke nettsteder og skript, trenger du selvfølgelig ikke kjøpe en ekte server på Internett. For disse formålene brukes serveremulatorer, som i form av programmer ganske enkelt installeres på en fungerende datamaskin. Og på en server på Internett (hosting) plasseres ferdige nettsider og sider med PHP-skript. Forresten, nesten all moderne hosting støtter PHP-språket.

Populariteten til dette språket innen nettstedbygging bestemmes av tilstedeværelsen av et stort sett med innebygde verktøy for utvikling av webapplikasjoner. De viktigste:

automatisk utvinning av POST- og GET-parametere, samt webservermiljøvariabler til forhåndsdefinerte arrays;

interaksjon med et stort antall forskjellige databasebehandlingssystemer (MySQL, MySQLi, SQLite, PostgreSQL, Oracle (OCI8), Oracle, Microsoft SQL Server, Sybase, ODBC, mSQL, IBM DB2, Cloudscape og Apache Derby, Informix, Ovrimos SQL, Lotus Notes , DB++, DBM, dBase, DBX, FrontBase, FilePro, Ingres II, SESAM, Firebird / InterBase, Paradox File Access, MaxDB, PDO Interface);

automatisert sending av HTTP-hoder;

arbeide med informasjonskapsler og økter;

arbeider med lokale og eksterne filer, sockets;

behandle filer lastet opp til serveren;

arbeider med XForms.

La oss se på et eksempel hvor PHP-skriptet kjører på siden. Ta for eksempel abonnementsskjemaet der du skriver inn navn og e-post på mange nettsteder. HTML og CSS er ansvarlige for utseendet til skjemaet - fargene på inndatafeltene og knappene, endre fargen på knappen når du svever og klikker på den, og så videre. Ved hjelp av HTML5 kan du sjekke riktigheten av dataene som er lagt inn i skjemaet – for eksempel om e-post- eller telefonfeltene er riktig fylt ut.

Og etter at du har klikket på "Abonner"-knappen, kalles et PHP-skript, som mottar dataene du skrev inn i skjemaet. Skriptet registrerer dem i databasen, genererer og sender deg en lenke for å bekrefte abonnementet på e-posten som er spesifisert i skjemaet, sjekker abonnementsbekreftelsen og sender deg påfølgende e-poster. Alle disse operasjonene utføres på serveren, og dette gjøres ved hjelp av programmeringsspråket PHP.

Anvendelse av PHP i nettstedutvikling

For å lage et nettsted må du gå gjennom flere stadier:

Planlegger. På dette stadiet planlegger vi det fremtidige nettstedet: for hvem og hvorfor lager vi det, hvem som vil besøke nettstedet, hva vi skal fylle det med, hva som skal være på nettstedet, og så videre.

Design. På designstadiet skaper vi utseendet til nettstedsidene i en grafisk editor.

Oppsett. På layoutstadiet, ved å bruke HTML og CSS, lager vi HTML-sidene til det fremtidige nettstedet fra layoutene som ble oppnådd på designstadiet.

Programmering. På programmeringsstadiet automatiserer vi prosessene for å jobbe med nettstedet. Vi programmerer den administrative delen av siden (adminpanelet) slik at du kan legge til, slette, redigere eksisterende sider selv for en person som ikke er helt kjent med nettsidebygging. Vi programmerer slik at søket og alle abonnementsskjemaer (hvis noen) på siden fungerer. Vi sørger for at den nylig lagt til siden vises på siden, og en lenke til den opprettede siden vises automatisk i menyen. Hvis nettstedet bruker stemmegivning eller en spørreundersøkelse, er alt dette også programmert i PHP, på programmeringsstadiet.

Hvis vi vurderer stadiet med å programmere et større nettsted, for eksempel en nettbutikk, er alt her enda bredere og mer interessant. I dette tilfellet legger vi ikke bare til sider, men også produkter - hovedinnholdet i nettbutikken. I administrasjonspanelet må du dessuten gi en oversikt over lagt til produkter i ulike kategorier. Det skal også være mulig å redigere produktet, endre beskrivelse, pris, bilde osv.

I tillegg krever en nettbutikk programmering av et analysesystem – slik at du i adminpanelet kan se hvor mange bestillinger som ble lagt inn og betalt, for hvilket beløp, og hvilke produkter som ble betalt for fra hvilke kategorier osv. Dessuten bør det være mulig å vise slike rapporter for ulike perioder. Ved programmering av nettbutikk implementeres ofte også salgsrapportering for regnskaps- og skatteformål.

Det er grunnen til at stadiet der PHP-programmeringsspråket brukes, er det viktigste, det lengste når det gjelder tid, og det dyreste og mest betalte innen nettstedsutvikling. Og når du først forstår hvordan du programmerer en nettbutikk, vil du kunne lage skript for et nettsted av nesten hvilken som helst kompleksitet.

Populariteten til PHP

Populariteten til PHP er bevist av det faktum at det brukes av 83,1% av alle nettsteder der det var mulig å identifisere et programmeringsspråk på serversiden.

Alle de mest populære CMS-ene som inntar førsteplasser i popularitetsvurderinger (både betalt og gratis: WordPress, Joomla, Drupal, Modx, Bitrix. Magento, etc.) er skrevet i PHP-programmeringsspråket.

Også populariteten til PHP-programmeringsspråket er bevist av de mange opprettede PHP-rammeverkene, som Laravel, Yii, CakePHP, Slim, Zend Framework 2, PHPixie, CodeIgniter, Symfony 2 og andre. Det er et stort antall fora og store fellesskap - for PHP generelt, for hvert rammeverk og for hvert CMS separat.
Jeg vil også legge til at verdens største nettsteder, for eksempel Facebook, Wikipedia, også er skrevet i PHP.

Hvordan kan du tjene penger med kunnskap om PHP?

Gitt populariteten til PHP, er det en konstant høy etterspørsel etter PHP-programmerere. Å ha kunnskap om PHP og kunne programmere på dette språket vil åpne for nye muligheter for å tjene penger. La oss se på de viktigste som du virkelig kan tjene penger med i dag:

Tjene penger ved å utvikle skript. Alle nettsteder er i stadig utvikling, og de krever med jevne mellomrom skriving av nye skript, eller utvikling av tilleggsfunksjonalitet, moduler osv. For slike utviklinger henvender nettstedeiere seg til PHP-utviklere. Dessuten kan du i dette tilfellet tjene penger på to måter:

spore bestillinger for å finne en frilansutvikler;

generere ideer til massemanus. Når du har en idé til et skript som definitivt vil være etterspurt blant for eksempel eiere av nettbutikker, kan du uavhengig utvikle et slikt skript og selge det til nettbutikkeiere;

Ferdigstillelse av ferdige skript "på bestilling". Alt er enkelt her - du tar på deg modifikasjon eller korrigering av et skript. Men i dette tilfellet er det en nyanse - til å begynne med er kanskje manuset ikke veldig bra, og det kan ta mer tid å foredle det enn å skrive et manus fra bunnen av. Derfor, hvis du bruker denne metoden for å tjene penger, må du først se veldig nøye på hva du skal endre og fullføre.

Utvikling av plugins for CMS. I denne metoden er alt det samme som når man tjener penger på skript. Ofte krever nettsteder opprettet på ferdige CMS å skrive en slags plugin, tillegg eller utvidelse. Og du kan tjene penger her på to måter:

spore bestillinger for utvikling av plugins, tillegg og utvidelser på frilansbasis;

utvikle og selge en masseplugin som definitivt vil være etterspurt på de fleste nettsteder;

Egne og felles prosjekter. Hvis du har en idé til et Internett-prosjekt (oppstart), for eksempel en idé til en nyttig tjeneste eller applikasjon som kan løse et spesifikt problem, kan du begynne å implementere det. I det innledende stadiet kan det til og med være bare som en hobby, i tillegg til hovedjobben. Så, når det er klart at hobbyen vokser til et stort prosjekt, vil det være mulig å vie mer tid til den.

Oppretting av dynamiske nettsider og motorer for dem. Du kan også tjene gode penger ved å utvikle tilpassede nettsider, jobbe som frilanser eller i et nettstudio.

Opprette nettsider for deg selv. Du kan lage et nettsted for deg selv, fylle det med nyttig innhold - og når nettstedet har et tilstrekkelig antall besøkende, begynne å tjene penger ved å plassere betalt annonsering på det eller promotere noens produkter gjennom tilknyttede programmer.

Jeg tror mange av dere har tenkt at alle de ovennevnte metodene for å tjene penger kan kombineres. Og det er riktig! Du kan lage et nettsted for deg selv og passivt tjene penger ved å selge reklame fra det, pluss lage et skript eller plugin og selge det på spesialiserte nettsteder, tjene penger på autopilot fra hvert salg, og samtidig kan du fortsatt jobbe på et nett studio. Hvorfor ikke? Selvfølgelig kan du!

Hvor mye kan en PHP-utvikler tjene?

Med inntektene til PHP-programmerere er alt individuelt. Mye her avhenger av hvor man skal jobbe, hvordan man jobber, hvilket kunnskapsnivå, hvilken erfaring, kvalifikasjoner, hvilken relatert tilleggskunnskap utvikleren har, og så videre. Derfor kan det i prinsippet ikke være noe eksakt tall her. Men vi kan se på hvilken lønn som tilbys når du søker etter PHP-programmerere i et webstudio, og hvor mye de er villige til å betale for et prosjekt på frilansbørser.

Bildet nedenfor viser foreslått lønn for PHP-programmerere i et webstudio. Dessuten er dette lønnen for PHP-programmerere uten arbeidserfaring:

Har du arbeidserfaring kan du tjene mye mer. Nedenfor er lønnen som tilbys til erfarne PHP-programmerere.

Og i dag kan du også tjene anstendige penger på frilansing:

Konklusjon

PHP er det mest populære programmeringsspråket blant webutviklere. De aller fleste av alle nettsider på Internett er skrevet i PHP. Med kunnskap og evne til å utvikle deg i dette programmeringsspråket kan du tjene gode penger, og det er mange muligheter for å tjene penger – fra å jobbe i et webstudio til å utvikle ditt eget prosjekt eller oppstart.

Ethvert søk etter sårbarheter på nettressurser begynner med rekognosering og informasjonsinnsamling.
Intelligens kan enten være aktiv - brute force av filer og kataloger på nettstedet, kjøre sårbarhetsskannere, manuelt surfe på nettstedet, eller passivt - søke etter informasjon i forskjellige søkemotorer. Noen ganger hender det at en sårbarhet blir kjent allerede før du åpner den første siden på nettstedet.

Hvordan er dette mulig?
Søkeroboter, som konstant streifer rundt på Internett, i tillegg til informasjon som er nyttig for den gjennomsnittlige brukeren, registrerer ofte ting som kan brukes av angripere til å angripe en nettressurs. For eksempel skriptfeil og filer med sensitiv informasjon (fra konfigurasjonsfiler og logger til filer med autentiseringsdata og databasesikkerhetskopier).
Fra synspunktet til en søkerobot er en feilmelding om å utføre en sql-spørring ren tekst, uatskillelig, for eksempel fra beskrivelsen av produktene på siden. Hvis plutselig en søkerobot kom over en fil med filtypen .sql, som av en eller annen grunn havnet i nettstedets arbeidsmappe, vil den bli oppfattet som en del av nettstedets innhold og vil også bli indeksert (inkludert, muligens, passordene spesifisert i den).

Slik informasjon kan bli funnet ved å kjenne til sterke, ofte unike, søkeord som hjelper til med å skille "sårbare sider" fra sider som ikke inneholder sårbarheter.
En enorm database med spesielle forespørsler som bruker nøkkelord (såkalte dorks) finnes på exploit-db.com og er kjent som Google Hack Database.

Hvorfor google?
Dorks er først og fremst rettet mot Google av to grunner:
− den mest fleksible syntaksen for nøkkelord (vist i tabell 1) og spesialtegn (vist i tabell 2);
− Google-indeksen er fortsatt mer komplett enn for andre søkemotorer;

Tabell 1 - Hovedsøkeord fra Google