Piratería de Google

Este artículo necesita citas adicionales para su verificación . Por favor, ayuda a mejorar este artículo mediante la adición de citas de fuentes confiables . El material no obtenido puede ser cuestionado y eliminado.
Buscar fuentes: "Google hacking" - noticias · periódicos · libros · académico · JSTOR ( octubre de 2020 ) ( Aprenda cómo y cuándo eliminar este mensaje de plantilla )

Google piratería , también llamado Dorking Google , ^[1]^[2] es un pirata informático técnica que utiliza Google Buscar otros y Google aplicaciones para encontrar agujeros de seguridad en la configuración y el código de computadora que los sitios web están utilizando. ^[3] Google dorking también podría usarse para OSINT .

Lo esencial

La "piratería de Google" implica el uso de operadores avanzados en el motor de búsqueda de Google para localizar errores específicos de texto dentro de los resultados de búsqueda. Algunos de los ejemplos más populares son la búsqueda de versiones específicas de aplicaciones web vulnerables . Una consulta de búsqueda con intitle:admbook intitle:Fversion filetype:phpubicaría todas las páginas web que contienen ese texto en particular. Es normal que las instalaciones predeterminadas de aplicaciones incluyan su versión en ejecución en cada página que sirven, por ejemplo, "Powered by XOOPS 2.2.3 Final".

Se pueden encontrar dispositivos conectados a Internet. Una cadena de búsqueda como inurl:"ViewerFrame?Mode="encontrará cámaras web públicas.

Otra búsqueda útil es la siguiente intitle:index.ofseguida de una palabra clave de búsqueda. Esto puede dar una lista de archivos en los servidores. Por ejemplo, intitle:index.of mp3dará todos los archivos MP3 disponibles en varios tipos de servidores.

Puede utilizar símbolos o palabras en su búsqueda para que sus resultados de búsqueda sean más precisos. ^[4]

La Búsqueda de Google generalmente ignora la puntuación que no forma parte de un operador de búsqueda. ^[4]
No ponga espacios entre el símbolo o la palabra y su término de búsqueda. Una búsqueda site:nytimes.comfuncionará, pero site: nytimes.comno lo hará. ^[4]

Operadores avanzados

Se pueden utilizar muchos operadores avanzados similares para explotar sitios web inseguros:

Operador	Ejemplo	Objetivo	¿Se mezcla con otros operadores?	¿Se puede usar solo?	Web	Imagenes	Grupos	Noticias
sitio	sitio: wikipedia.org	Buscar en un sitio específico	sí	sí	sí	sí	sí	sí
relacionado	relacionado: wikipedia.org	Buscar sitios relacionados	sí	sí
cache	caché: wikipedia.org	Buscar con la versión en caché de Google de un sitio	sí	sí
intitle	intitle: wikipedia	Título de la página de búsqueda	sí	sí	sí	sí	sí	sí
allintitle ^[5]	allintitle: wikipedia	Título de la página de búsqueda	sí	sí	sí	sí	sí	sí
tema		Búsqueda de temas grupales	sí	sí	sí	sí	sí	sí
inurl	inurl: wikipedia	URL de búsqueda	sí	sí	sí	sí	sí	sí
allinurl	allinurl: wikipedia	URL de búsqueda	sí	sí	sí	sí	sí	sí
Tipo de archivo	tipo de archivo: pdf	Los resultados de la búsqueda solo serán de este tipo de archivo	sí	sí	sí	sí	sí
en el texto	intext: wiki	Buscar solo el texto de la página	sí	sí	sí	sí	sí	sí
allintext	allintext: wiki	Buscar solo el texto de la página	no	sí	sí	sí	sí	no
""	"Wikipedia"	Buscar coincidencia exacta de palabras	sí	sí
+	coche + jaguar	Busque más de una clave específica	sí	sí
-	jaguar speed -car	Excluir palabras de tu búsqueda	sí	sí
O	jaguar OR coche	Combina dos búsquedas	sí	sí
*	cómo * a Wikipedia	Operador comodín	sí	sí
Enlace	enlace: wikipedia	Buscar enlaces a páginas	sí	sí	sí	sí	sí	sí
inanco	inanchor: wikipedia ^[6]	Texto de anclaje del enlace de búsqueda	sí	sí	sí	sí	sí	sí
rango de fechas		Buscar en rango de fechas	sí	sí	sí	sí	sí	sí
autor		Búsqueda de autores de grupo	sí	sí	sí	sí	sí	sí
grupo		Búsqueda de nombre de grupo		sí	sí	sí	sí	sí
msgstr		Búsqueda de msgid de grupo	sí	sí	sí		sí
tamaño de la imagen	tamaño de la imagen: 320x320	Los resultados de la imagen solo serán de este tamaño	sí	sí	no	sí
@	@wikipedia	Buscar en las redes sociales	sí	sí
#	#wiki	Buscar hashtags	sí	sí
PS	cámara $ 400	Busca un precio	sí	sí
..	cámara $ 50 .. $ 100	Buscar dentro de un rango de números	sí	sí

Para obtener una lista de operadores, consulte la Ayuda de búsqueda de Google . Para limitar el uso indebido de la función de búsqueda avanzada de Google, Google hace uso de CAPTCHA después de cada pocas búsquedas avanzadas, lo que impide que los bots automaticen el proceso.

Google también proporciona una versión de GUI para búsqueda avanzada de Google disponible aquí que es compatible con los operadores de búsqueda avanzada más comunes.

Historia

El concepto de "piratería de Google" se remonta a 2002, cuando Johnny Long comenzó a recopilar consultas de búsqueda de Google que descubrieron sistemas vulnerables y / o divulgaciones de información confidencial , etiquetándolos como googleDorks. ^[7]

La lista de Google Dorks se convirtió en un gran diccionario de consultas, que finalmente se organizaron en la base de datos original de Google Hacking (GHDB) en 2004. ^[8]^[9]

Desde su apogeo ^{[ ¿cuándo? ]} , los conceptos explorados en la piratería de Google (a veces denominados Google Dorking) se han extendido a otros motores de búsqueda , como Bing ^[10] y Shodan . ^[11] Las herramientas de ataque automatizadas ^[12] utilizan diccionarios de búsqueda personalizados para encontrar sistemas vulnerables y divulgaciones de información confidencial en sistemas públicos que han sido indexados por motores de búsqueda. ^[13]

Proteccion

Robots.txt es un archivo bien conocido para la optimización de motores de búsqueda y la protección contra el dorking de Google. Implica el uso de robots.txt para no permitir todo o puntos finales específicos (los piratas informáticos aún pueden buscar puntos finales en robots.txt), lo que evita que los bots de Google rastreen puntos finales sensibles como paneles de administración.

Referencias

^ Término del día: Google Dorking - Business Insider
^ Consulta de tonto de Google , techtarget.com
^ https://www.researchgate.net/publication/325763845_Study_on_Implementation_and_Impact_of_Google_Hacking_in_Internet_Security
^ a b c "Refinar las búsquedas web: Ayuda de búsqueda de Google" . support.google.com . Consultado el 16 de diciembre de 2020 .
^ Karch, Marziah. "Definición de Allintitle" . About.com . About.com . Consultado el 29 de febrero de 2020 .
^ "Operador de Google menos entendido" . Cadenas booleanas . 2018-01-08 . Consultado el 22 de abril de 2021 .
^ "googleDorks creado por Johnny Long" . Johnny Long. Archivado desde el original el 8 de diciembre de 2002 . Consultado el 8 de diciembre de 2002 .
^ "Base de datos de piratería de Google (GHDB) en 2004" . Johnny Long. Archivado desde el original el 7 de julio de 2007 . Consultado el 5 de octubre de 2004 .
^ Hacking de Google para probadores de penetración, volumen 1 . Johnny Long. 2005. ISBN 1931836361.
^ "Base de datos de piratería de Bing (BHDB) v2" . Obispo Fox. 15 de julio de 2013 . Consultado el 27 de agosto de 2014 .
^ "Shodan Hacking Database (SHDB) - parte del conjunto de herramientas SearchDiggity" . Obispo Fox . Consultado el 21 de junio de 2013 .
^ "SearchDiggity - Conjunto de herramientas de ataque de motor de búsqueda" . Obispo Fox. 15 de julio de 2013 . Consultado el 27 de agosto de 2014 .
^ "Historial de piratería de Google" . Obispo Fox. 15 de julio de 2013 . Consultado el 27 de agosto de 2014 .

enlaces externos

Google Hacking Diggity Project - Bishop Fox - una iniciativa de investigación y desarrollo dedicada a investigar las últimas técnicas que aprovechan los motores de búsqueda (como Google, Bing y Shodan) para identificar rápidamente sistemas vulnerables y datos confidenciales en redes públicas. Un arsenal de herramientas gratuitas de ataque y defensa relacionadas con la piratería de motores de búsqueda está disponible para descargar.
Google Hacking Database (GHDB) - REBORN - 09Nov2010 - La gente de Exploit-db.com tomó el esfuerzo de mantener y agregar al GHDB original JohnnyIHackStuff.com creado por Johnny Long.
"Google Hacking: .pdf Document" , boris-koch.de (imprimible, .pdf)
"Ayuda de Google: hoja de referencia" , Google (imprimible)
Hacking de Google para penetración : uso de Google como herramienta de prueba de seguridad, introducción de Johnny Long

[1] Término del día: Google Dorking - Business Insider

[2] Consulta de tonto de Google , techtarget.com

[3] ttps://www.researchgate.net/publication/325763845_Study_on_Implementation_and_Impact_of_Google_Hacking_in_Internet_Security

[:0-4] "Refinar las búsquedas web: Ayuda de búsqueda de Google" . support.google.com . Consultado el 16 de diciembre de 2020 .

[5] Karch, Marziah. "Definición de Allintitle" . About.com . About.com . Consultado el 29 de febrero de 2020 .

[6] "Operador de Google menos entendido" . Cadenas booleanas . 2018-01-08 . Consultado el 22 de abril de 2021 .

[googleDorks2002-7] "googleDorks creado por Johnny Long" . Johnny Long. Archivado desde el original el 8 de diciembre de 2002 . Consultado el 8 de diciembre de 2002 .

[ghdb2004-8] "Base de datos de piratería de Google (GHDB) en 2004" . Johnny Long. Archivado desde el original el 7 de julio de 2007 . Consultado el 5 de octubre de 2004 .

[ghbook2005-9] Hacking de Google para probadores de penetración, volumen 1 . Johnny Long. 2005. ISBN 1931836361.

[bingHackingBF-10] "Base de datos de piratería de Bing (BHDB) v2" . Obispo Fox. 15 de julio de 2013 . Consultado el 27 de agosto de 2014 .

[shodanHackingDB-11] "Shodan Hacking Database (SHDB) - parte del conjunto de herramientas SearchDiggity" . Obispo Fox . Consultado el 21 de junio de 2013 .

[searchDiggityBF-12] "SearchDiggity - Conjunto de herramientas de ataque de motor de búsqueda" . Obispo Fox. 15 de julio de 2013 . Consultado el 27 de agosto de 2014 .

[ghHistoryBF-13] "Historial de piratería de Google" . Obispo Fox. 15 de julio de 2013 . Consultado el 27 de agosto de 2014 .

[1]