Inurl php http aké zárobky. Ako zarobiť peniaze znalosťou PHP? Ako môže php programátor zarobiť dobré peniaze doma?

Pre každého operátora existuje odľahčená verzia s kratším názvom (bez predpony all). Rozdiel je v tom, že allinurl nájde odkazy so všetkými slovami a inurl nájde odkazy iba s prvým z nich. Druhé a ďalšie slová z dopytu sa môžu objaviť kdekoľvek na webových stránkach. Operátor inurl sa tiež líši od iného operátora s podobným významom – site. Prvý tiež umožňuje nájsť ľubovoľnú sekvenciu znakov v odkaze na hľadaný dokument (napríklad /cgi-bin/), čo sa široko používa na nájdenie komponentov so známymi zraniteľnosťami.

Skúsme to v praxi. Vezmeme allintextový filter a zo žiadosti vytvoríme zoznam čísel a overovacích kódov kreditných kariet, ktorých platnosť vyprší až o dva roky (alebo keď ich majiteľov omrzí kŕmiť všetkých).

Allintext: číslo karty dátum vypršania platnosti /2017 cvv

Keď sa v správach dočítate, že sa mladý hacker „nabúral na servery“ Pentagonu alebo NASA, pričom kradol utajované informácie, vo väčšine prípadov hovoríme práve o takejto základnej technike používania Google. Predpokladajme, že nás zaujíma zoznam zamestnancov NASA a ich kontaktné informácie. Takýto zoznam je určite dostupný v elektronickej podobe. Pre pohodlie alebo kvôli prehliadnutiu môže byť aj na samotnej webovej stránke organizácie. Je logické, že v tomto prípade naň nebudú žiadne odkazy, keďže je určený na interné použitie. Aké slová môžu byť v takomto súbore? Minimálne - pole „adresa“. Testovanie všetkých týchto predpokladov je jednoduché.

Inurl:nasa.gov filetype:xlsx "adresa"

Využívame byrokraciu

Takéto nálezy sú príjemnou záležitosťou. Skutočne solídny úlovok poskytuje detailnejšia znalosť operátorov Google pre webmasterov, samotnej Siete a zvláštností štruktúry hľadaného. Ak poznáte podrobnosti, môžete ľahko filtrovať výsledky a spresniť vlastnosti potrebných súborov, aby ste vo zvyšku získali skutočne cenné údaje. Je smiešne, že byrokracia tu prichádza na pomoc. Vytvára štandardné formulácie, ktoré sú vhodné na vyhľadávanie tajných informácií, ktoré náhodne unikli na internet.

Napríklad pečiatka vyhlásenia o distribúcii, ktorú vyžaduje ministerstvo obrany USA, znamená štandardizované obmedzenia distribúcie dokumentu. Písmeno A označuje verejné správy, v ktorých nie je nič tajné; B - určené len na interné použitie, C - prísne dôverné a tak ďalej až do F. Samostatne vyniká písmeno X, ktoré označuje obzvlášť cenné informácie predstavujúce štátne tajomstvo najvyššej úrovne. Nechajte tých, ktorí to majú robiť v službe, hľadajú takéto dokumenty a my sa obmedzíme na súbory s písmenom C. Podľa smernice DoDI 5230.24 je toto označenie priradené dokumentom obsahujúcim popis kritických technológií, ktoré spadajú pod kontrolu exportu . Takéto starostlivo chránené informácie môžete nájsť na stránkach najvyššej úrovne domény.mil, pridelenej americkej armáde.

"VÝKAZ DISTRIBÚCIE C" inurl:navy.mil

Je veľmi výhodné, že doména .mil obsahuje iba stránky Ministerstva obrany USA a jeho zmluvných organizácií. Výsledky vyhľadávania s obmedzením domény sú mimoriadne čisté a názvy hovoria samy za seba. Hľadanie ruských tajomstiev týmto spôsobom je prakticky zbytočné: v doménach.ru a.rf vládne chaos a názvy mnohých zbraňových systémov znejú ako botanické (PP „Kiparis“, samohybné delá „Akatsia“) alebo dokonca báječné ( TOS „Buratino“).

Pozorným preštudovaním akéhokoľvek dokumentu z lokality v doméne .mil môžete vidieť ďalšie značky na spresnenie vyhľadávania. Napríklad odkaz na exportné obmedzenia „Sec 2751“, ktorý je vhodný aj na vyhľadávanie zaujímavých technických informácií. Z času na čas je odstránený z oficiálnych stránok, kde sa kedysi objavil, takže ak nemôžete sledovať zaujímavý odkaz vo výsledkoch vyhľadávania, použite vyrovnávaciu pamäť Google (operátor vyrovnávacej pamäte) alebo stránku Internet Archive.

Stúpanie do oblakov

Okrem náhodne odtajnených vládnych dokumentov sa vo vyrovnávacej pamäti Google občas objavia aj odkazy na osobné súbory z Dropboxu a iných služieb na ukladanie údajov, ktoré vytvárajú „súkromné“ odkazy na verejne publikované údaje. Ešte horšie je to s alternatívnymi a domácimi službami. Napríklad nasledujúci dotaz nájde údaje pre všetkých zákazníkov spoločnosti Verizon, ktorí majú nainštalovaný server FTP a aktívne používajú svoj smerovač.

Allinurl:ftp://verizon.net

Takýchto šikovných ľudí je teraz viac ako štyridsaťtisíc a na jar 2015 ich bolo oveľa viac. Namiesto Verizon.net môžete nahradiť meno ktoréhokoľvek známeho poskytovateľa a čím je slávnejší, tým väčší môže byť úlovok. Prostredníctvom vstavaného servera FTP môžete vidieť súbory na externom úložnom zariadení pripojenom k ​​smerovaču. Zvyčajne ide o NAS na prácu na diaľku, osobný cloud alebo nejaký druh sťahovania súborov typu peer-to-peer. Všetok obsah takýchto médií je indexovaný spoločnosťou Google a inými vyhľadávacími nástrojmi, takže k súborom uloženým na externých diskoch máte prístup prostredníctvom priameho odkazu.

Pri pohľade na konfigurácie

Pred rozšírenou migráciou do cloudu vládli ako vzdialené úložisko jednoduché FTP servery, ktoré mali tiež veľa zraniteľností. Mnohé z nich sú aktuálne aj dnes. Napríklad populárny program WS_FTP Professional ukladá konfiguračné údaje, používateľské účty a heslá do súboru ws_ftp.ini. Je ľahké ho nájsť a prečítať, pretože všetky záznamy sú uložené v textovom formáte a heslá sú po minimálnom zmätku šifrované pomocou algoritmu Triple DES. Vo väčšine verzií stačí zahodiť prvý bajt.

Takéto heslá je ľahké dešifrovať pomocou nástroja WS_FTP Password Decryptor alebo bezplatnej webovej služby.

Keď hovoríme o hacknutí ľubovoľnej webovej stránky, zvyčajne majú na mysli získanie hesla z protokolov a záloh konfiguračných súborov CMS alebo aplikácií elektronického obchodu. Ak poznáte ich typickú štruktúru, môžete ľahko uviesť kľúčové slová. Riadky ako tie, ktoré sa nachádzajú v ws_ftp.ini, sú extrémne bežné. Napríklad v Drupale a PrestaShope je vždy identifikátor používateľa (UID) a príslušné heslo (pwd) a všetky informácie sú uložené v súboroch s príponou .inc. Môžete ich vyhľadať nasledovne:

"pwd=" "UID=" ext:inc

Odhalenie hesiel DBMS

V konfiguračných súboroch serverov SQL sú mená používateľov a e-mailové adresy uložené ako čistý text a namiesto hesiel sú zapísané ich MD5 hash. Presne povedané, nie je možné ich dešifrovať, ale môžete nájsť zhodu medzi známymi pármi hash-heslo.

Stále existujú DBMS, ktoré ani nepoužívajú hashovanie hesiel. Konfiguračné súbory ktoréhokoľvek z nich je možné jednoducho zobraziť v prehliadači.

Intext:DB_PASSWORD filetype:env

S príchodom Windows serverov miesto konfiguračných súborov čiastočne zabral register. Presne rovnakým spôsobom môžete prehľadávať jeho vetvy, pričom ako typ súboru použijete reg. Napríklad takto:

Filetype:reg HKEY_CURRENT_USER "Heslo"=

Nezabúdajme na samozrejmé

Niekedy je možné dostať sa k utajovaným informáciám pomocou údajov, ktoré boli náhodne otvorené a dostali sa do pozornosti Googlu. Ideálnou možnosťou je nájsť si zoznam hesiel v nejakom bežnom formáte. Do textového súboru, wordového dokumentu alebo excelovskej tabuľky si informácie o účte môžu uložiť len zúfalci, no tých je vždy dosť.

Filetype:xls inurl:password

Na jednej strane existuje množstvo prostriedkov, ako takýmto incidentom predchádzať. Je potrebné špecifikovať adekvátne prístupové práva v htaccess, patchnúť CMS, nepoužívať ľavoruké skripty a zalepiť ostatné diery. Existuje aj súbor so zoznamom výnimiek robots.txt, ktorý vyhľadávacím nástrojom zakazuje indexovať súbory a adresáre v ňom uvedené. Na druhej strane, ak sa štruktúra robots.txt na niektorom serveri líši od štandardnej, hneď je jasné, čo sa na ňom snažia ukryť.

Zoznamu adresárov a súborov na ľubovoľnej stránke predchádza štandardný index. Keďže sa na účely služby musí objaviť v názve, má zmysel obmedziť jeho vyhľadávanie na operátora intitle. Zaujímavé veci sú v adresároch /admin/, /personal/, /etc/ a dokonca aj /secret/.

Zostaňte naladení na aktualizácie

Relevancia je tu mimoriadne dôležitá: staré zraniteľnosti sa uzatvárajú veľmi pomaly, ale Google a jeho výsledky vyhľadávania sa neustále menia. Existuje dokonca rozdiel medzi filtrom „poslednej sekundy“ (&tbs=qdr:s na konci adresy URL požiadavky) a filtrom „v reálnom čase“ (&tbs=qdr:1).

Časový interval dátumu poslednej aktualizácie súboru implicitne uvádza aj Google. Cez grafické webové rozhranie si môžete vybrať jedno zo štandardných období (hodina, deň, týždeň atď.) alebo nastaviť rozsah dátumov, tento spôsob však nie je vhodný pre automatizáciu.

Podľa vzhľadu panela s adresou môžete len hádať o spôsobe, ako obmedziť výstup výsledkov pomocou konštrukcie &tbs=qdr:. Písmeno y za ním určuje hranicu jedného roka (&tbs=qdr:y), m zobrazuje výsledky za posledný mesiac, w - za týždeň, d - za posledný deň, h - za poslednú hodinu, n - za minútu a s - za daj mi sek. Najnovšie výsledky, ktoré spoločnosť Google práve oznámila, sa dajú nájsť pomocou filtra &tbs=qdr:1 .

Ak potrebujete napísať šikovný skript, bude užitočné vedieť, že rozsah dátumov sa v Google nastavuje v juliánskom formáte pomocou operátora daterange. Takto môžete napríklad nájsť zoznam PDF dokumentov so slovom dôverné, stiahnutý od 1. januára do 1. júla 2015.

Dôverný typ súboru: pdf rozsah dátumov: 2457024-2457205

Rozsah je uvedený vo formáte juliánskeho dátumu bez zohľadnenia zlomkovej časti. Ručný preklad z gregoriánskeho kalendára je nepohodlný. Jednoduchšie je použiť konvertor dátumu.

Opäť zacielenie a filtrovanie

Okrem zadania ďalších operátorov vo vyhľadávacom dopyte ich možno odoslať priamo v tele odkazu. Napríklad špecifikácia filetype:pdf zodpovedá konštrukcii as_filetype=pdf . Vďaka tomu je pohodlné pýtať sa na akékoľvek vysvetlenie. Povedzme, že výstup výsledkov len z Honduraskej republiky je špecifikovaný pridaním konštrukcie cr=countryHN do URL vyhľadávania a len z mesta Bobruisk - gcs=Bobruisk. Kompletný zoznam nájdete v sekcii pre vývojárov.

Automatizačné nástroje Google sú navrhnuté tak, aby uľahčili život, no často prinášajú problémy. Napríklad mesto používateľa je určené IP adresou používateľa prostredníctvom WHOIS. Na základe týchto informácií Google nielen vyrovnáva záťaž medzi servermi, ale mení aj výsledky vyhľadávania. V závislosti od regiónu sa pre tú istú požiadavku zobrazia na prvej stránke rôzne výsledky a niektoré z nich môžu byť úplne skryté. Dvojpísmenový kód za direktívou gl=country vám pomôže cítiť sa ako kozmopolita a vyhľadávať informácie z ktorejkoľvek krajiny. Napríklad kód Holandska je NL, ale Vatikán a Severná Kórea nemajú v Google vlastný kód.

Výsledky vyhľadávania sú často neprehľadné aj po použití niekoľkých pokročilých filtrov. V tomto prípade je ľahké objasniť požiadavku pridaním niekoľkých výnimočných slov (pred každým z nich je umiestnené znamienko mínus). Napríklad bankovníctvo, mená a návody sa často používajú so slovom Osobné. Čistejšie výsledky vyhľadávania sa preto ukážu nie ako učebnicový príklad dopytu, ale spresnený:

Intitle:"Index /Personal/" -mená -náuka -banking

Posledný príklad

Sofistikovaný hacker sa vyznačuje tým, že si všetko potrebné zabezpečí sám. Napríklad VPN je pohodlná vec, ale buď drahá, alebo dočasná a s obmedzeniami. Prihlásiť sa na odber pre seba je príliš drahé. Je dobré, že existujú skupinové odbery a s pomocou Google je ľahké stať sa súčasťou skupiny. Ak to chcete urobiť, stačí nájsť konfiguračný súbor Cisco VPN, ktorý má dosť neštandardnú príponu PCF a rozpoznateľnú cestu: Program Files\Cisco Systems\VPN Client\Profiles. Jedna žiadosť a pripojíte sa napríklad k priateľskému tímu univerzity v Bonne.

Filetype:pcf vpn OR Group

INFO

Heslá sú uložené zašifrované, ale Maurice Massard už napísal program na ich dešifrovanie a poskytuje ho zadarmo cez thecampusgeeks.com.

Google vykonáva stovky rôznych typov útokov a penetračných testov. Existuje veľa možností, ktoré ovplyvňujú populárne programy, hlavné databázové formáty, početné zraniteľnosti PHP, cloudy atď. Ak budete presne vedieť, čo hľadáte, oveľa jednoduchšie nájdete informácie, ktoré potrebujete (najmä informácie, ktoré ste nechceli zverejniť). Zaujímavými nápadmi sa živí nielen Shodan, ale každá databáza indexovaných sieťových zdrojov!

Od autora: Dobrý deň, priatelia! V tomto článku si povieme niečo o programovacom jazyku PHP. Poďme zistiť, na čo sa používa, čo s ním môžete robiť a aké miesto zaujíma vo fázach vývoja webových stránok. Aj v tomto článku sa pozrieme na mnoho spôsobov, ako zarobiť peniaze vedieť programovať v PHP.

Čo je PHP a na čo slúži?

PHP je skriptovací jazyk, ktorý sa veľmi aktívne používa pri vývoji webových aplikácií. PHP je jedným z popredných jazykov používaných pri vývoji dynamických webových stránok.

PHP je programovací jazyk na strane servera. Všetky skripty napísané v tomto jazyku sa spúšťajú na serveri so stránkou. Na štúdium PHP, vývoj a ladenie webových stránok a skriptov, samozrejme, nemusíte kupovať skutočný server na internete. Na tieto účely sa používajú serverové emulátory, ktoré sa vo forme programov jednoducho nainštalujú na fungujúci počítač. A na serveri na internete (hosting) sú umiestnené hotové webové stránky a stránky s PHP skriptami. Mimochodom, takmer všetky moderné hostingy podporujú jazyk PHP.

Popularita tohto jazyka v oblasti tvorby webových stránok je určená prítomnosťou veľkého súboru vstavaných nástrojov na vývoj webových aplikácií. Tie hlavné:

automatická extrakcia parametrov POST a GET, ako aj premenných prostredia webového servera do preddefinovaných polí;

interakcia s veľkým množstvom rôznych systémov správy databáz (MySQL, MySQLi, SQLite, PostgreSQL, Oracle (OCI8), Oracle, Microsoft SQL Server, Sybase, ODBC, mSQL, IBM DB2, Cloudscape a Apache Derby, Informix, Ovrimos SQL, Lotus Notes , DB++, DBM, dBase, DBX, FrontBase, FilePro, Ingres II, SESAM, Firebird / InterBase, Paradox File Access, MaxDB, PDO Interface);

automatické odosielanie HTTP hlavičiek;

práca so súbormi cookie a reláciami;

práca s lokálnymi a vzdialenými súbormi, soketmi;

spracovanie súborov nahraných na server;

práca s XForms.

Pozrime sa na príklad, kde na stránke beží PHP skript. Vezmite si napríklad formulár predplatného, ​​do ktorého na mnohých stránkach zadáte svoje meno a e-mail. HTML a CSS sú zodpovedné za vzhľad formulára - farby vstupných polí a tlačidiel, zmena farby tlačidla pri prejdení myšou a kliknutí naň atď. Pomocou HTML5 môžete skontrolovať správnosť údajov zadaných do formulára – napríklad, či sú správne vyplnené polia pre email alebo telefón.

A po kliknutí na tlačidlo „Prihlásiť sa na odber“ sa zavolá PHP skript, ktorý dostane údaje, ktoré ste zadali do formulára. Skript ich zaznamená do databázy, vygeneruje a odošle vám odkaz na potvrdenie prihlásenia na odber na e-mail uvedený vo formulári, skontroluje potvrdenie odberu a odošle vám nasledujúce e-maily. Všetky tieto operácie sa vykonávajú na serveri a to pomocou programovacieho jazyka PHP.

Aplikácia PHP pri tvorbe webových stránok

Ak chcete vytvoriť webovú stránku, musíte prejsť niekoľkými fázami:

Plánovanie. V tejto fáze plánujeme budúcu stránku: pre koho a prečo ju robíme, kto bude stránku navštevovať, čím ju naplníme, čo by na stránke malo byť atď.

Dizajn. Vo fáze návrhu vytvárame vzhľad stránok webu v grafickom editore.

Rozloženie. Vo fáze rozloženia vytvárame pomocou HTML a CSS stránky HTML budúcej lokality z rozložení získaných vo fáze návrhu.

Programovanie. Vo fáze programovania automatizujeme procesy práce so stránkou. Administratívnu časť stránky (admin panel) naprogramujeme tak, aby ste mohli pridávať, mazať, upravovať existujúce stránky aj pre človeka úplne neznalého tvorby webu. Programujeme tak, aby vyhľadávanie a všetky formuláre predplatného (ak existujú) na stránke fungovali. Dbáme na to, aby sa na stránke zobrazila novo pridaná stránka a v ponuke sa automaticky objavil odkaz na vytvorenú stránku. Ak stránka používa hlasovanie alebo prieskum, potom je to všetko naprogramované v PHP, vo fáze programovania.

Ak vezmeme do úvahy štádium programovania väčšej stránky, napríklad internetového obchodu, potom je tu všetko ešte širšie a zaujímavejšie. V tomto prípade pridávame nielen stránky, ale aj produkty – hlavný obsah internetového obchodu. Okrem toho musíte v administračnom paneli poskytnúť rozpis pridaných produktov do rôznych kategórií. Taktiež by malo byť možné produkt upravovať, meniť jeho popis, cenu, obrázok atď.

Internetový obchod navyše vyžaduje naprogramovanie analytického systému - aby ste v admin paneli videli, koľko objednávok bolo zadaných a zaplatených, za akú sumu a ktoré produkty boli zaplatené z ktorých kategórií atď. je možné zobraziť takéto zostavy za rôzne obdobia. Pri programovaní internetového obchodu sa často implementuje aj reporting predaja pre účtovné a daňové účely.

Preto je fáza, v ktorej sa používa programovací jazyk PHP, najdôležitejšia, časovo najdlhšia a najdrahšia a vysoko platená pri vývoji webových stránok. A keď pochopíte, ako programovať internetový obchod, budete môcť vytvárať skripty pre webovú stránku takmer akejkoľvek zložitosti.

Popularita PHP

O obľúbenosti PHP svedčí fakt, že ho používa 83,1 % všetkých stránok, kde bolo možné identifikovať programovací jazyk na strane servera.

Všetky najpopulárnejšie CMS, ktoré obsadzujú prvé miesta v hodnotení obľúbenosti (platené aj bezplatné: WordPress, Joomla, Drupal, Modx, Bitrix. Magento atď.), sú napísané v programovacom jazyku PHP.

O obľúbenosti programovacieho jazyka PHP svedčí aj množstvo vytvorených PHP frameworkov, akými sú Laravel, Yii, CakePHP, Slim, Zend Framework 2, PHPixie, CodeIgniter, Symfony 2 a iné. Existuje obrovské množstvo fór a veľkých komunít – pre PHP všeobecne, pre každý framework a pre každý CMS zvlášť.
Tiež dodám, že najväčšie svetové stránky, napríklad Facebook, Wikipedia, sú tiež napísané v PHP.

Ako môžete zarobiť peniaze so znalosťou PHP?

Vzhľadom na popularitu PHP je neustále vysoký dopyt po PHP programátoroch. Znalosť PHP a schopnosť programovať v tomto jazyku vám otvorí nové možnosti zárobku. Pozrime sa na tie hlavné, s ktorými sa dnes naozaj dá zarobiť:

Zarábanie peňazí vývojom skriptov. Všetky stránky sa neustále vyvíjajú a pravidelne vyžadujú písanie nových skriptov alebo vývoj dodatočných funkcií, modulov atď. V prípade takéhoto vývoja sa majitelia stránok obracajú na vývojárov PHP. Navyše v tomto prípade môžete zarobiť peniaze dvoma spôsobmi:

sledovať objednávky a nájsť nezávislého vývojára;

vytvárať nápady pre hromadné skripty. Ak máte nápad na skript, ktorý bude určite žiadaný napríklad medzi majiteľmi internetových obchodov, môžete takýto skript nezávisle vyvinúť a predať ho majiteľom internetových obchodov;

Finalizácia hotových skriptov „na objednávku“. Všetko je tu jednoduché - prevezmete úpravu alebo opravu skriptu. Ale v tomto prípade je tu nuansa - spočiatku nemusí byť scenár vytvorený veľmi dobre a jeho dolaďovanie môže trvať dlhšie ako písanie scenára od začiatku. Ak teda využívate tento spôsob zarábania peňazí, na začiatku si veľmi pozorne pozerajte, čo budete upravovať a dopĺňať.

Vývoj pluginov pre CMS. Pri tejto metóde je všetko rovnaké ako pri zarábaní peňazí zo skriptov. Webové stránky vytvorené na pripravenom CMS často vyžadujú napísanie nejakého pluginu, doplnku alebo rozšírenia. A peniaze tu môžete zarobiť dvoma spôsobmi:

sledovať objednávky na vývoj zásuvných modulov, doplnkov a rozšírení na voľnej nohe;

vyvinúť a predávať hromadný doplnok, ktorý bude určite žiadaný na väčšine stránok;

Vlastné a spoločné projekty. Ak máte nápad na internetový projekt (startup), napríklad nápad na užitočnú službu alebo aplikáciu, ktorá by vyriešila konkrétny problém, tak sa môžete pustiť do jeho realizácie. V počiatočnom štádiu to môže byť dokonca len ako koníček popri hlavnej práci. Potom, keď bude jasné, že koníček prerastá do veľkého projektu, bude sa mu môcť venovať viac.

Tvorba dynamických webových stránok a motorov pre nich. Dobré peniaze môžete zarobiť aj vývojom webových stránok na mieru, prácou na voľnej nohe alebo vo webovom štúdiu.

Vytváranie webových stránok pre seba. Môžete si vytvoriť webovú stránku pre seba, naplniť ju užitočným obsahom - a keď bude mať stránka dostatočný počet návštevníkov, začnite zarábať peniaze umiestnením platenej reklamy na ňu alebo propagáciou niekoho produktov prostredníctvom pridružených programov.

Myslím, že mnohí z vás si mysleli, že všetky vyššie uvedené spôsoby zarábania peňazí sa dajú kombinovať. A je to správne! Môžete si vytvoriť webovú stránku pre seba a pasívne zarábať peniaze predajom reklamy z nej, plus vytvoriť skript alebo plugin a predávať ho na špecializovaných stránkach, zarábať na autopilotovi z každého predaja a zároveň môžete stále pracovať na webe štúdio. Prečo nie? Samozrejme môžete!

Koľko môže zarobiť vývojár PHP?

Pri zárobkoch PHP programátorov je všetko individuálne. Veľa tu závisí od toho, kde pracovať, ako pracovať, na akej úrovni vedomostí, aké skúsenosti, kvalifikácie, aké súvisiace dodatočné znalosti má vývojár atď. Preto tu v zásade nemôže existovať žiadny presný údaj. Môžeme sa ale pozrieť na to, aké platy ponúkajú pri hľadaní PHP programátorov vo webovom štúdiu a koľko sú ochotní zaplatiť za projekt na burzách na voľnej nohe.

Obrázok nižšie zobrazuje navrhovaný plat pre PHP programátorov vo webovom štúdiu. Navyše, toto je plat pre PHP programátorov bez pracovných skúseností:

Ak máte pracovné skúsenosti, môžete zarobiť oveľa viac. Nižšie sú uvedené platy ponúkané skúseným PHP programátorom.

A dnes si môžete zarobiť slušné peniaze aj na voľnej nohe:

Záver

PHP je najobľúbenejší programovací jazyk medzi webovými vývojármi. Prevažná väčšina všetkých webových stránok na internete je napísaná v PHP. So znalosťami a schopnosťou rozvíjať sa v tomto programovacom jazyku si môžete zarobiť pekné peniaze a možností zarábania je veľa – od práce vo webovom štúdiu až po vývoj vlastného projektu alebo startupu.

Akékoľvek hľadanie slabých miest na webových zdrojoch začína prieskumom a zhromažďovaním informácií.
Inteligencia môže byť buď aktívna – hrubá sila súborov a adresárov stránky, spúšťanie skenerov zraniteľnosti, manuálne prehliadanie stránky, alebo pasívna – vyhľadávanie informácií v rôznych vyhľadávačoch. Niekedy sa stáva, že sa o zraniteľnosti dozvie ešte pred otvorením prvej stránky webu.

Ako je to možné?
Vyhľadávacie roboty, neustále sa potulujúce po internete, okrem informácií užitočných pre bežného používateľa často zaznamenávajú aj veci, ktoré môžu útočníci použiť na útok na webový zdroj. Napríklad chyby skriptov a súbory s citlivými informáciami (od konfiguračných súborov a protokolov až po súbory s autentifikačnými údajmi a zálohami databáz).
Z pohľadu vyhľadávacieho robota je chybové hlásenie o vykonaní sql dotazu obyčajný text, neoddeliteľný napríklad od popisu produktov na stránke. Ak zrazu vyhľadávací robot narazí na súbor s príponou .sql, ktorý z nejakého dôvodu skončil v pracovnom priečinku stránky, bude vnímaný ako súčasť obsahu stránky a bude tiež indexovaný (prípadne vrátane hesiel v ňom uvedené).

Takéto informácie je možné nájsť pomocou silných, často jedinečných kľúčových slov, ktoré pomáhajú oddeliť „zraniteľné stránky“ od stránok, ktoré neobsahujú zraniteľné miesta.
Na exploit-db.com existuje obrovská databáza špeciálnych dopytov pomocou kľúčových slov (tzv. dorks) a je známa ako Google Hack Database.

Prečo google?
Dorky sú primárne zamerané na Google z dvoch dôvodov:
− najflexibilnejšia syntax kľúčových slov (uvedených v tabuľke 1) a špeciálnych znakov (uvedených v tabuľke 2);
− index Google je ešte úplnejší ako index iných vyhľadávacích nástrojov;

Tabuľka 1 – Hlavné kľúčové slová Google