Funkcia Stories alebo v ruskej lokalizácii „Príbehy“ vám umožňuje vytvárať fotografie a 10-sekundové videá s prekrývajúcim textom, emoji a ručne písanými poznámkami. Kľúčovou vlastnosťou takýchto príspevkov je, že na rozdiel od bežných príspevkov vo vašom feede nežijú večne a vymažú sa presne po 24 hodinách.
Prečo potrebujete
Oficiálny popis Instagramu hovorí, že nová funkcia je potrebná na zdieľanie nie príliš dôležitých informácií o každodennom živote.
Ako sa to používa
Vo svojej podstate je inovácia veľmi podobná a funguje takmer rovnako, no s malými rozdielmi. Napriek tomu, že Instagram Stories nemá toľko možností a všetky sú veľmi jednoduché, nie všetci používatelia si s nimi poradia na cestách.
Zobraziť príbehy
Všetky dostupné príbehy sa zobrazujú v hornej časti informačného kanála ako kruhy s používateľskými avatarmi a počas posúvania sú skryté. Nové príbehy sa objavujú, keď sú publikované, a o deň neskôr zmiznú bez stopy. Príbehy sú zároveň zoradené nie v chronologickom poradí, ale podľa počtu cyklov prehrávania a komentárov.
Na zobrazenie stačí klepnúť na hrnček. Fotografia alebo video sa otvorí a zobrazí na 10 sekúnd. Klepnutím a podržaním pozastavíte video.
V hornej časti je vedľa používateľského mena zobrazený čas odoslania. Ak ľudia, ktorých sledujete, majú iné príbehy, ďalšie sa zobrazia hneď po prvom. Môžete medzi nimi prepínať potiahnutím doľava a doprava.
Príbehy, ktoré ste si už prezreli, nemiznú z ponuky, ale sú označené sivou farbou. Dajú sa znova otvoriť, kým sa po dni neodstránia.
Príbehy môžete komentovať iba pomocou správ, ktoré sa odosielajú Direct a sú viditeľné iba pre autora a nie pre všetkých odberateľov. Či je to chyba alebo funkcia, neviem.
Vytváranie príbehov
Kliknutím na znamienko plus v hornej časti informačného kanála a potiahnutím od okraja obrazovky doprava otvoríte ponuku na zaznamenanie nového príbehu. Všetko je tu jednoduché: ťukneme na tlačidlo záznamu - získame fotografiu, podržíme ju - natočíme video.
Natáčanie alebo nahrávanie
Môžete prepínať predný a zadný fotoaparát alebo zapnúť blesk. Je tiež jednoduché vybrať mediálny súbor z tých, ktoré boli natočené za posledných 24 hodín: vykoná sa to potiahnutím prstom nadol. Všetky fotografie z galérie, vrátane časozberov a značkových bumerangov, nájdete tu.
Liečba
Keď sú fotografie alebo videá hotové, môžu byť po spracovaní zverejnené. Pre fotografie aj videá sú nástroje rovnaké: filtre, text a emotikony, kresby.
Filtre sa prepínajú v kruhu jednoduchým potiahnutím prstom od okraja obrazovky. Celkovo ich je šesť, vrátane dúhového gradientu ako na ikone Instagramu.
Pridaný text je možné zväčšiť alebo zmenšiť, posúvať po fotografii. Ale zanechať viac ako jeden komentár, bohužiaľ, je nemožné. Emoji sa vkladajú aj cez text, takže ak si chcete zakryť tvár emotikonom, musíte si vybrať.
Kreslenie má trochu viac možností. Máme k dispozícii paletu a až tri štetce: obyčajný, fixový a s „neónovým“ ťahom. Môžete kresliť všetky naraz, pričom neúspešný ťah možno zrušiť.
Spokojný s výsledkom? Kliknite na tlačidlo začiarknutia a vaše video bude dostupné pre odberateľov. Dá sa uložiť do galérie pred aj po.
Nastavenia ochrany osobných údajov, štatistiky
Obrazovka nastavení a štatistík sa vyvolá potiahnutím prstom nahor pri prezeraní príbehu. Odtiaľto je možné príbeh uložiť do galérie, odstrániť alebo zverejniť v hlavnom kanáli, čím sa z neho stane bežný príspevok. Zoznam divákov je zobrazený nižšie. Príbeh môžete pred ktorýmkoľvek z nich skryť kliknutím na krížik vedľa názvu.
Nastavenia skryté za ikonou ozubeného kolieska vám umožňujú vybrať, kto môže odpovedať na vaše príbehy, a skryť príbeh pred určitými odberateľmi. Súčasne sa zapamätajú nastavenia ochrany osobných údajov a aplikujú sa na všetky nasledujúce publikácie.
Ako s tým žiť
Dobre. Áno, mnohí brali Stories s nevraživosťou kvôli podobnosti so Snapchatom a nevyriešeným problémom Instagramu, na ktoré by sa vývojári mali zamerať. Myslím si však, že inovácia je užitočná.
Problém neprehľadného feedu, kedy sa musíte odhlásiť od priateľov, ktorí doslova vyskladajú každý svoj krok, existuje už dlho a neprišli na jeho jednoznačné riešenie. Príbehy možno považovať za prvý krok k tomu. Ľudia by si časom mali zvyknúť na ponúkanú kultúru správania a začať do feedu zverejňovať len skutočne dôležitý a pozoruhodný obsah. Všetko ostatné by malo ísť do Stories. Je to pravda?
Sociálna sieť Facebook je čoraz populárnejšia, zodpovedajúcim spôsobom sa zvyšuje počet jej používateľov a priemerný počet priateľov na Facebooku týchto používateľov. Občas si na Facebooku pridávame medzi priateľov málo známych alebo úplne neznámych ľudí, ktorých sme v reálnom živote ani nestretli.
A som si istý, že v tomto smere veľa ľudí z času na čas potrebuje publikovať príspevky na Facebooku „nie pre každého“. Teda keď chcete, aby váš príspevok na Facebooku videli len určití ľudia z okruhu vašich priateľov, ale nie všetci. Alebo naopak, chcete skryť príspevok od určitých ľudí na Facebooku. Dokonca by som povedal, že takúto potrebu má každý, no väčšina si to jednoducho neuvedomuje, pričom sa vôbec nestará o súkromie svojich údajov. A bohužiaľ, nie každý vie, že Facebook má jemné nastavenia zobrazovania príspevkov, ktoré pomáhajú zachovať súkromie v sieti, aby sa predišlo problémom spôsobeným určitými publikáciami.
Keď uverejňujete príspevok na Facebooku, v spodnej časti pod vstupným formulárom vidíte možnosť prispôsobenia zobrazenia príspevku, vďaka čomu si môžete vybrať, kto môže váš príspevok vidieť. Štandardne sú tam dostupné dve možnosti – „K dispozícii pre všetkých“ (t. j. váš príspevok bude dostupný na celom internete) a „Priatelia“ (t. j. váš príspevok uvidia iba vaši priatelia na Facebooku).
Niekedy však tieto nastavenia nemusia stačiť, takže môžete vybrať možnosť „Rozšírené nastavenia“.
V rozšírených nastaveniach si môžete vybrať nasledujúce možnosti zobrazenia vášho príspevku na Facebooku:
Nastavenia vám tiež umožňujú zdieľať váš príspevok iba s vašimi kolegami alebo ľuďmi z vášho regiónu, prípadne do vlastného zoznamu priateľov. 
Ak vám nestačia všetky tieto možnosti špeciálne vytvorené vývojármi Facebooku, môžete si vytvoriť vlastné nastavenia. To je veľmi výhodné v špeciálnych prípadoch – napríklad chcete zdieľať fotky z minulej firemnej párty pre svojich kolegov, ale tak, aby to šéf nevidel.
Ak chcete vytvoriť vlastné pravidlo zobrazovania príspevku, v nastaveniach publikovania príspevku vyberte položku „Nastavenia používateľa“.
Zobrazí sa vám okno, v ktorom si môžete vybrať jednak jednotlivé osoby, ktorým chcete príspevok zverejniť (stačí začať písať meno osoby a zobrazí sa v rozbaľovacom zozname), a naopak, osoby, pre ktorých príspevok nebude dostupný.
Dobrý deň. Dnes si povieme niečo o ochrane a prístupe k monitorovacím kamerám. Je ich veľa a používajú sa na rôzne účely. Ako vždy použijeme štandardnú databázu, ktorá nám umožní takéto kamery nájsť a uhádnuť k nim heslá. Teória Väčšina zariadení nie je po inštalácii nakonfigurovaná ani aktualizovaná. Preto je naša cieľová skupina pod obľúbenými portami 8000, 8080 a 554. Ak potrebujete skenovať sieť, je lepšie tieto porty okamžite prideliť. Metóda č.1 Pre názorný príklad si môžete pozrieť zaujímavé dopyty vo vyhľadávačoch Shodan a Сensys. Pozrime sa na niekoľko názorných príkladov s jednoduchými dopytmi. has_screenshot:true port:8000 // 183 výsledkov; has_screenshot:true port:8080 // 1025 výsledkov; has_screenshot:true port:554 // 694 výsledkov; Takýmto jednoduchým spôsobom máte prístup k veľkému množstvu otvorených kamier, ktoré sa nachádzajú na zaujímavých miestach: obchody, nemocnice, čerpacie stanice atď. Poďme sa pozrieť na niekoľko zaujímavých možností. Ordinácia lekára Súkromná niekde v hlbinách Európy Učebňa niekde v Čeľabinsku Obchod s dámskym oblečením Týmto jednoduchým spôsobom môžete nájsť pomerne veľa zaujímavých predmetov, ktoré sú prístupné. Nezabudnite, že na získanie údajov podľa krajiny môžete použiť filter krajiny. has_screenshot:true port:8000 country:ru has_screenshot:true port:8080 country:ru has_screenshot:true port:554 country:ru Metóda #2 Môžete použiť vyhľadávanie štandardných sociálnych sietí. Ak to chcete urobiť, pri prezeraní obrázkov z kamier je lepšie používať názvy stránok, tu je výber najzaujímavejších možností: inurl:/view.shtml inurl:ViewerFrame?Mode= inurl:ViewerFrame?Mode=Obnoviť inurl:view/ index.shtml inurl:view/ view.shtml intitle:”live view” intitle:axis intitle:liveapplet all in title:”Sieťová kamera Sieťová kamera” intitle:axis intitle:”video server” intitle:liveapplet inurl:LvAppl intitle:” EvoCam” inurl:”webcam. html” intitle:”Živý kanál NetSnap Cam-Server” intitle:”Live View / - AXIS 206M” intitle:”Live View / - AXIS 206W” intitle:”Live View / - AXIS 210″ inurl :indexFrame.shtml Axis intitle: start inurl:cgistart intitle:”WJ-NT104 Main Page” intitle:snc-z20 inurl:home/ intitle:snc-cs3 inurl:home/ intitle:snc-rz30 inurl:home/ intitle:” Sieťová kamera sony snc-p1″ intitle:”sieťová kamera sony snc-m1″ intitle:”Sieťová kamera Toshiba” názov prihlasovacieho mena používateľa:”Konzola i-Catcher – Web Monitor” Zbieranie odmien a nájdenie sídla spoločnosti na letisku Pridajme do zbierky ďalší port a môžete dokončiť metódu č. 3 Táto metóda je cieľová. Používa sa, keď máme buď jeden bod a potrebujeme uhádnuť heslo, alebo chceme spustiť databázu pomocou štandardných hesiel a nájsť platné výsledky. Na tieto účely je Hydra ako stvorená. Aby ste to dosiahli, musíte si pripraviť slovník. Môžete prejsť a vyhľadať štandardné heslá pre smerovače. Pozrime sa na konkrétny príklad. Existuje model fotoaparátu DCS-2103. Vyskytuje sa pomerne často. Funguje to cez port 80. Využime príslušné údaje a nájdime potrebné informácie v shadane. Ďalej zhromažďujeme všetky adresy IP potenciálnych cieľov, ktoré nás zaujímajú. Ďalej vytvoríme zoznam. Zhromažďujeme zoznam hesiel a všetko použijeme pomocou utility hydra. Aby sme to urobili, musíme do priečinka pridať slovník, zoznam IP adries a spustiť nasledujúci príkaz: hydra -l admin -P pass.txt -o good.txt -t 16 -vV -M targets.txt http- get V koreňovom priečinku by mal byť súbor pass.txt s heslami, prihlásenie používame jedného admina s parametrom -l, ak potrebujete nastaviť slovník pre prihlasovania, tak je potrebné pridať súbor do koreňového adresára a zaregistrovať sa to s parametrom -L. Zodpovedajúce výsledky sa uložia do súboru good.txt. Zoznam IP adries je potrebné pridať do koreňového adresára so súborom targets.txt. Posledná fráza v príkaze http-get je zodpovedná za pripojenie cez port 80. Príklad programu Zadanie príkazu a spustenie Nakoniec by som chcel pridať nejaké informácie o skenovaní. Ak chcete získať čísla siete, môžete použiť vynikajúcu službu. Ďalej je potrebné tieto mriežky skontrolovať na prítomnosť portov, ktoré potrebujeme. Skenery neodporúčam, ale poviem, že stojí za to prejsť k takým a podobným skenerom ako masscan, vnc scanner a iné. Dá sa napísať na základe známej utility nmap. Hlavnou úlohou je skenovať rozsah a nájsť aktívne IP adresy s potrebnými portami. Záver Nezabudnite, že okrem štandardného zobrazenia môžete urobiť viac fotografií, nahrať video a stiahnuť si ho pre seba. Môžete tiež ovládať kameru a otáčať sa požadovaným smerom. A najzaujímavejšia vec je možnosť zapnúť zvuky a hovoriť na niektorých fotoaparátoch. Čo sa tu dá poradiť? Nastavte silné prístupové heslo a nezabudnite presmerovať porty.
Chlapci, vložili sme našu dušu do stránky. Ďakujem za to
za objavenie tejto krásy. Ďakujem za inšpiráciu a naskakuje mi husia koža.
Pridajte sa k nám na Facebook A V kontakte s
Dnes má už takmer každý človek svoj vlastný profil na Facebooku, no nie každý pozná možnosti tejto sociálnej siete.
webové stránky sa rozhodol naučiť vás niektoré z jemností nápadu Marka Zuckerberga.
1. Prečítajte si skryté správy
Málokto vie, že Facebook má dve schránky. Jeden z nich je určený pre správy od ľudí, ktorí nie sú vašimi priateľmi na Facebooku. Ak ste o druhej schránke nevedeli, tak vám s najväčšou pravdepodobnosťou ušli pozvánky na rôzne akcie od priateľov vašich priateľov či návrhy na stretnutie od bývalých kolegov z práce. Ak si chcete tieto správy prečítať, musíte kliknúť na ikonu „Správy“, potom kliknúť na tlačidlo „Žiadosti o konverzáciu“ a spustiť príkaz „Zobraziť filtrované žiadosti“.
2. Skontrolujte, odkiaľ ste prišli na svoju stránku
Ak máte pochybnosti o tom, že ste opustili svoju stránku na počítači svojho priateľa, môžete kliknúť na malú šípku nadol v pravom hornom rohu obrazovky a vybrať položku „Nastavenia“. Kliknite na tlačidlo "Zabezpečenie" zo zoznamu príkazov, ktorý sa zobrazí vľavo, a potom vyberte "Odkiaľ ste prihlásený" - týmto spôsobom môžete kedykoľvek sledovať všetky prehliadače, v ktorých ste prihlásení do svojho účtu. Ak chcete ponechať svoju stránku v niektorom z prehliadačov, jednoducho kliknite na „Ukončiť akciu“.
3. Buďte si istí, že vás nikto nebude hackovať
Ak máte pochybnosti o bezpečnostnom systéme Facebooku, môžete použiť tlačidlo „Potvrdenie prihlásenia“ v rovnakej časti „Nastavenia zabezpečenia“. Pri prihlasovaní sa do účtu z neznámeho zariadenia vás teda bezpečnostný systém bude vyžadovať zadanie hesla. Ak vstúpite na svoju stránku zo zariadenia, ktoré ste nikdy nepoužili, budete musieť použiť heslo, ktoré sa odošle na váš telefón.
4. Vymenujte niekoho zodpovedného za váš profil
Zaujímalo by ma, čo sa stane s naším profilom na sociálnych sieťach, keď ho už nepoužívame? Na Facebooku máte tiež možnosť vybrať si osobu, ktorá bude v prípade vašej smrti zodpovedná za vašu stránku, kliknutím na tlačidlo „Dôveryhodné kontakty“ v tom istom „Nastavenia zabezpečenia“. Dôveryhodný kontakt nebude môcť uverejňovať novinky a korešpondovať vo vašom mene. Medzi jeho právomoci patrí zmena jeho profilovej fotografie a reagovanie na žiadosti o priateľstvo.
5. Nechajte na seba nostalgiu
Niekedy sa chceme znova pozrieť na naše staré smiešne fotografie a starú korešpondenciu s naším najlepším priateľom. Na to nie je potrebné celé hodiny krútiť kolieskom myši, ale stačí kliknúť na ikonu s tromi bodkami v profile priateľa a spustiť príkaz „Zobraziť priateľstvo“.
6. Prehodnoťte svoju minulosť na Facebooku
Na Facebooku máte možnosť zobraziť všetko, čo ste kedy lajkli, okomentovali alebo zverejnili. Stačí kliknúť na obrátenú šípku nadol v pravom hornom rohu stránky a vybrať Denník aktivity.
7. Buďte v koži niekoho iného
Ak chcete vedieť, ako váš profil vyzerá pre niekoho, kto nie je váš priateľ, kliknite na tri bodky napravo od príkazu „Zobraziť denník aktivít“ a vyberte „Zobraziť ako ...“ Toto vám poskytne skvelú príležitosť pozrieť sa na svoju stránku očami cudzích ľudí, vy ľudia.
Prijímanie súkromných údajov nemusí vždy znamenať hackovanie – niekedy sú zverejnené ako verejné. Znalosť nastavení Google a trocha vynaliezavosti vám umožní nájsť veľa zaujímavých vecí – od čísel kreditných kariet až po dokumenty FBI.
POZOR
Všetky informácie sú poskytované len na informačné účely. Redakcia ani autor nezodpovedajú za prípadné škody spôsobené materiálmi tohto článku.Všetko je dnes pripojené k internetu, pričom sa málo staráme o obmedzenie prístupu. Preto sa mnohé súkromné údaje stávajú korisťou vyhľadávačov. Spider roboty sa už neobmedzujú len na webové stránky, ale indexujú všetok obsah dostupný na webe a neustále pridávajú dôverné informácie do svojich databáz. Naučiť sa tieto tajomstvá je jednoduché – stačí sa vedieť na ne opýtať.
Hľadajte súbory
V schopných rukách Google rýchlo nájde všetko, čo je na webe zlé, napríklad osobné informácie a súbory na oficiálne použitie. Často sú skryté ako kľúč pod kobercom: neexistujú žiadne skutočné obmedzenia prístupu, dáta len ležia v zadnej časti stránky, kam odkazy nevedú. Štandardné webové rozhranie Google poskytuje len základné pokročilé nastavenia vyhľadávania, no aj tie budú stačiť.
Existujú dva operátory, ktoré môžete použiť na obmedzenie vyhľadávania Google na súbory určitého typu: filetype a ext . Prvý nastavuje formát, ktorý vyhľadávač určí podľa hlavičky súboru, druhý - príponu súboru, bez ohľadu na jeho interný obsah. Pri vyhľadávaní v oboch prípadoch je potrebné zadať iba príponu. Spočiatku bolo vhodné použiť operátor ext v prípadoch, keď pre súbor neexistovali žiadne špecifické charakteristiky formátu (napríklad na vyhľadávanie konfiguračných súborov ini a cfg, v ktorých môže byť čokoľvek). Teraz sa algoritmy Google zmenili a medzi operátormi nie je viditeľný rozdiel – výsledky sú vo väčšine prípadov rovnaké.
Filtrovanie výstupu
Google predvolene hľadá slová a vo všeobecnosti akékoľvek znaky zadané vo všetkých súboroch na indexovaných stránkach. Rozsah vyhľadávania môžete obmedziť podľa domény najvyššej úrovne, konkrétnej lokality alebo podľa umiestnenia požadovanej sekvencie v samotných súboroch. Pre prvé dve možnosti sa používa výpis lokality, za ktorým nasleduje názov domény alebo vybranej lokality. V treťom prípade vám celý súbor operátorov umožňuje vyhľadávať informácie v poliach služieb a metaúdajoch. Napríklad allinurl nájde špecifikované v tele samotných odkazov, allinanchor - v texte poskytnutom so značkou , allintitle - v hlavičkách stránok, allintext - v tele stránok.
Pre každého operátora existuje ľahšia verzia s kratším názvom (bez predpony all). Rozdiel je v tom, že allinurl nájde odkazy so všetkými slovami, zatiaľ čo inurl nájde odkazy iba s prvým z nich. Druhé a ďalšie slová z dopytu sa môžu objaviť kdekoľvek na webových stránkach. Operátor inurl sa tiež líši od iného operátora podobného významu - site. Prvý tiež umožňuje nájsť ľubovoľnú sekvenciu znakov v odkaze na požadovaný dokument (napríklad /cgi-bin/), čo sa široko používa na vyhľadávanie komponentov so známymi zraniteľnosťami.
Skúsme to v praxi. Vezmeme allintext filter a dopyt vráti zoznam čísel kreditných kariet a overovacích kódov, ktorých platnosť vyprší až po dvoch rokoch (alebo keď ich majiteľov omrzí kŕmiť všetkých v rade).
Allintext: číslo karty dátum vypršania platnosti /2017 cvv 
Keď si v správach prečítate, že sa mladý hacker „nabúral na servery“ Pentagonu alebo NASA, pričom ukradol utajované informácie, potom je to vo väčšine prípadov práve táto elementárna technika používania Google. Predpokladajme, že nás zaujíma zoznam zamestnancov NASA a ich kontaktné údaje. Určite je takýto zoznam v elektronickej podobe. Pre pohodlie alebo z dôvodu prehliadnutia môže ležať aj na samotnej webovej stránke organizácie. Je logické, že v tomto prípade naň nebudú žiadne odkazy, keďže je určený na interné použitie. Aké slová môžu byť v takomto súbore? Aspoň - pole "adresa". Je ľahké otestovať všetky tieto predpoklady.
inurl:nasa.gov filetype:xlsx "adresa"
Využívame byrokraciu
Takéto nálezy sú príjemnou maličkosťou. Skutočne solídny úlovok pochádza z detailnejších znalostí Google Webmaster Operators, samotného webu a štruktúry toho, čo hľadáte. Keď poznáte podrobnosti, môžete ľahko filtrovať výstup a spresniť vlastnosti súborov, ktoré potrebujete, aby ste vo zvyšku získali skutočne cenné údaje. Je smiešne, že byrokracia tu prichádza na pomoc. Vytvára typické formulácie, ktoré uľahčujú vyhľadávanie tajných informácií, ktoré náhodne unikli na web.
Napríklad vyhlásenie o distribúcii, ktoré je povinné v kancelárii ministerstva obrany USA, znamená štandardizované obmedzenia distribúcie dokumentu. Písmeno A označuje verejné vydania, v ktorých nie je nič tajné; B - určené len na interné použitie, C - prísne dôverné a tak ďalej až po F. Samostatne je tu písmeno X, ktoré označuje obzvlášť cenné informácie, ktoré predstavujú štátne tajomstvo najvyššej úrovne. Nech si takéto dokumenty vyhľadajú tí, ktorí to majú robiť v službe a my sa obmedzíme na súbory s písmenom C. Podľa DoDI 5230.24 je takéto označenie priradené dokumentom obsahujúcim popis kritických technológií, ktoré spadajú pod kontrolu exportu. Takéto starostlivo strážené informácie nájdete na stránkach v doméne najvyššej úrovne .mil pridelenej americkej armáde.
"VÝKAZ DISTRIBÚCIE C" inurl:navy.mil 
Je veľmi výhodné, že v doméne .mil sa zhromažďujú iba stránky Ministerstva obrany USA a jeho zmluvných organizácií. Výsledky vyhľadávania obmedzené na doménu sú mimoriadne čisté a názvy hovoria samy za seba. Je prakticky zbytočné pátrať po ruských tajomstvách týmto spôsobom: v doménach .ru a .rf vládne chaos a názvy mnohých zbraňových systémov znejú botanicky (PP „Kiparis“, samohybky „Acacia“) či dokonca báječné (TOS "Pinocchio").
Pozorným preskúmaním akéhokoľvek dokumentu z lokality v doméne .mil môžete vidieť ďalšie značky na spresnenie vyhľadávania. Napríklad odkaz na exportné obmedzenia „Sec 2751“, čo je pohodlné aj na vyhľadávanie zaujímavých technických informácií. Z času na čas je odstránený z oficiálnych stránok, kde sa kedysi objavil, takže ak nemôžete sledovať zaujímavý odkaz vo výsledkoch vyhľadávania, použite vyrovnávaciu pamäť Google (operátor vyrovnávacej pamäte) alebo webovú stránku Internet Archive.
Stúpame do oblakov
Okrem náhodne odtajnených dokumentov z vládnych rezortov občas vo vyrovnávacej pamäti Google vyskočia aj odkazy na osobné súbory z Dropboxu a iných služieb na ukladanie dát, ktoré vytvárajú „súkromné“ odkazy na verejne publikované dáta. S alternatívnymi a svojpomocne vyrábanými službami je to už horšie. Napríklad nasledujúci dotaz nájde údaje všetkých klientov Verizon, ktorí majú nainštalovaný server FTP a aktívne používajú smerovač na svojom smerovači.
Allinurl:ftp://verizon.net
Takýchto šikovných ľudí je teraz viac ako štyridsaťtisíc a na jar 2015 ich bolo rádovo viac. Namiesto Verizon.net môžete nahradiť meno ktoréhokoľvek známeho poskytovateľa a čím je slávnejší, tým väčší môže byť úlovok. Prostredníctvom vstavaného FTP servera môžete vidieť súbory na externom disku pripojenom k routeru. Zvyčajne ide o NAS na prácu na diaľku, osobný cloud alebo nejaký druh sťahovania súborov typu peer-to-peer. Všetok obsah takýchto médií je indexovaný Googlom a inými vyhľadávačmi, takže k súborom uloženým na externých diskoch sa dostanete cez priamy odkaz.
Prezeranie konfigurácií
Pred veľkoobchodnou migráciou do cloudu vládli ako vzdialené úložiská jednoduché FTP servery, ktoré tiež nemali slabé miesta. Mnohé z nich sú aktuálne aj dnes. Napríklad populárny program WS_FTP Professional ukladá konfiguračné údaje, používateľské účty a heslá do súboru ws_ftp.ini. Je ľahké ho nájsť a prečítať, pretože všetky záznamy sú uložené ako obyčajný text a heslá sú šifrované pomocou algoritmu Triple DES s minimálnym zahmlievaním. Vo väčšine verzií stačí zahodiť prvý bajt.
Dešifrovanie takýchto hesiel je jednoduché pomocou nástroja WS_FTP Password Decryptor alebo bezplatnej webovej služby.
Keď hovoríme o hackovaní ľubovoľnej stránky, zvyčajne to znamená získanie hesla z denníkov a záloh konfiguračných súborov CMS alebo aplikácií elektronického obchodu. Ak poznáte ich typickú štruktúru, môžete ľahko uviesť kľúčové slová. Riadky ako tie, ktoré sa nachádzajú v ws_ftp.ini, sú extrémne bežné. Napríklad Drupal a PrestaShop majú vždy ID používateľa (UID) a zodpovedajúce heslo (pwd) a všetky informácie sú uložené v súboroch s príponou .inc. Môžete ich vyhľadať takto:
"pwd=" "UID=" ext:inc
Odhaľujeme heslá z DBMS
V konfiguračných súboroch SQL serverov sú používateľské mená a e-mailové adresy uložené ako čistý text a namiesto hesiel sú zaznamenané ich MD5 hash. Ich dešifrovanie, prísne vzaté, je nemožné, ale môžete nájsť zhodu medzi známymi pármi hash-heslo.
Doteraz existujú DBMS, ktoré ani nepoužívajú hashovanie hesiel. Konfiguračné súbory ktoréhokoľvek z nich je možné jednoducho zobraziť v prehliadači.
Intext:DB_PASSWORD filetype:env
S príchodom Windows serverov miesto konfiguračných súborov čiastočne prevzal register. Presne rovnakým spôsobom môžete prehľadávať jeho vetvy, pričom ako typ súboru použijete reg. Napríklad takto:
Filetype:reg HKEY_CURRENT_USER "Heslo"=
Nezabudnite na Obvious
Niekedy je možné dostať sa k utajovaným informáciám pomocou údajov náhodne otvorených a zachytených Googlom. Ideálnou možnosťou je nájsť si zoznam hesiel v nejakom bežnom formáte. Do textového súboru, wordovského dokumentu či excelovskej tabuľky si informácie o účte môžu uložiť len zúfalci, no tých je vždy dosť.
Filetype:xls inurl:password
Na jednej strane existuje veľa prostriedkov, ako takýmto incidentom predchádzať. Je potrebné špecifikovať adekvátne prístupové práva v htaccess, patch CMS, nepoužívať ľavé skripty a uzavrieť ostatné diery. Existuje aj súbor so zoznamom vylúčení robots.txt, ktorý vyhľadávacím nástrojom zakazuje indexovať súbory a adresáre v ňom uvedené. Na druhej strane, ak sa štruktúra robots.txt na niektorom serveri líši od štandardnej, hneď je jasné, čo sa na ňom snažia ukryť.
Zoznamu adresárov a súborov na ľubovoľnej stránke predchádza štandardný index indexu. Keďže sa musí objaviť v názve na servisné účely, má zmysel obmedziť jeho vyhľadávanie na operátora intitle. Zaujímavé veci možno nájsť v adresároch /admin/, /personal/, /etc/ a dokonca aj /secret/.
Sledujte aktualizácie
Relevancia je tu mimoriadne dôležitá: staré zraniteľnosti sa uzatvárajú veľmi pomaly, ale Google a jeho výsledky vyhľadávania sa neustále menia. Existuje dokonca rozdiel medzi filtrom „posledná sekunda“ (&tbs=qdr:s na konci adresy URL požiadavky) a filtrom „v reálnom čase“ (&tbs=qdr:1).
Implicitne je uvedený aj časový interval poslednej aktualizácie súboru od spoločnosti Google. Prostredníctvom grafického webového rozhrania si môžete vybrať jedno z typických období (hodinu, deň, týždeň atď.) alebo nastaviť rozsah dátumov, tento spôsob však nie je vhodný na automatizáciu.
Podľa vzhľadu panela s adresou sa dá len hádať o spôsobe, ako obmedziť výstup výsledkov pomocou konštrukcie &tbs=qdr:. Písmeno y za ním určuje limit jedného roka (&tbs=qdr:y), m ukazuje výsledky za posledný mesiac, w za týždeň, d za posledný deň, h za poslednú hodinu, n za minútu, a s pre daj mi sek. Pomocou filtra &tbs=qdr:1 sa dajú nájsť najnovšie výsledky, ktoré Google práve oznámil.
Ak potrebujete napísať zložitý skript, bude užitočné vedieť, že rozsah dátumov sa v Google nastavuje v juliánskom formáte cez operátor daterange. Takto môžete napríklad nájsť zoznam dokumentov PDF so slovom dôverné nahraných medzi 1. januárom a 1. júlom 2015.
Dôverný typ súboru: pdf rozsah dátumov: 2457024-2457205
Rozsah je špecifikovaný vo formáte juliánskeho dátumu bez desatinných miest. Prekladať ich ručne z gregoriánskeho kalendára je nepohodlné. Jednoduchšie je použiť konvertor dátumu.
Opäť zacielenie a filtrovanie
Okrem zadania ďalších operátorov vo vyhľadávacom dopyte ich možno odoslať priamo v tele odkazu. Napríklad vlastnosť filetype:pdf zodpovedá konštruktu as_filetype=pdf. Preto je vhodné nastaviť akékoľvek objasnenia. Povedzme, že výstup výsledkov len z Honduraskej republiky sa nastaví pridaním konštrukcie cr=countryHN do URL vyhľadávania, ale len z mesta Bobruisk - gcs=Bobruisk . Úplný zoznam nájdete v sekcii pre vývojárov.
Automatizačné nástroje Google sú navrhnuté tak, aby uľahčili život, no často ešte viac komplikujú prácu. Napríklad mesto používateľa je určené IP adresou používateľa prostredníctvom WHOIS. Na základe týchto informácií Google nielen vyrovnáva záťaž medzi servermi, ale mení aj výsledky vyhľadávania. V závislosti od regiónu sa pre rovnaký dopyt dostanú na prvú stránku rôzne výsledky a niektoré z nich sa môžu ukázať ako úplne skryté. Cíťte sa ako kozmopolita a vyhľadávanie informácií z ktorejkoľvek krajiny pomôže jej dvojpísmenový kód za direktívou gl=country . Napríklad kód pre Holandsko je NL, zatiaľ čo Vatikán a Severná Kórea nemajú v Google vlastný kód.
Výsledky vyhľadávania sú často posiate aj po použití niekoľkých pokročilých filtrov. V tomto prípade je jednoduché dotaz spresniť pridaním niekoľkých výnimočných slov (pred každým z nich je znamienko mínus). Napríklad bankovníctvo , mená a návody sa často používajú so slovom Osobné. Preto čistejšie výsledky vyhľadávania nezobrazia učebnicový príklad dopytu, ale spresnený:
Intitle:"Index /Personal/" -mená -náuka -banking
Posledný príklad
Sofistikovaný hacker sa vyznačuje tým, že si všetko potrebné zabezpečí sám. Napríklad VPN je pohodlná vec, ale buď drahá alebo dočasná a s obmedzeniami. Prihlásiť sa sám pre seba je príliš drahé. Je dobré, že existujú skupinové odbery a s pomocou Google je ľahké sa stať súčasťou skupiny. Ak to chcete urobiť, stačí nájsť konfiguračný súbor Cisco VPN, ktorý má dosť neštandardnú príponu PCF a rozpoznateľnú cestu: Program Files\Cisco Systems\VPN Client\Profiles . Jedna prosba a pripojíte sa napríklad k priateľským zamestnancom univerzity v Bonne.
Filetype:pcf vpn OR Group
INFO
Google nájde konfiguračné súbory s heslami, no mnohé z nich sú zašifrované alebo nahradené hashmi. Ak vidíte reťazce pevnej dĺžky, okamžite vyhľadajte dešifrovaciu službu.Heslá sú uložené v zašifrovanej forme, ale Maurice Massard už napísal program na ich dešifrovanie a poskytuje ho zadarmo na stránke thecampusgeeks.com.
S pomocou Google sa vykonávajú stovky rôznych typov útokov a penetračných testov. Existuje veľa možností, ktoré ovplyvňujú populárne programy, hlavné databázové formáty, množstvo zraniteľností PHP, cloudy atď. Ak presne viete, čo hľadáte, je oveľa jednoduchšie získať informácie, ktoré potrebujete (najmä informácie, ktoré ste nechceli zverejniť). Nielen Shodan podáva zaujímavé nápady, ale aj akúkoľvek databázu indexovaných sieťových zdrojov!
Osobný účet poistenca
Automatický identifikačný systém Spoločné používanie AIS s elektronickým mapovým systémom
Wargame: Red Dragon sa nespúšťa?
Smutný escobar „Tvár súdneho systému Ukrajiny“
ROME Total War – ako odomknúť všetky frakcie?