Paano isaalang-alang ang nai-publish na mga gawa at pagsipi sa RS. Pag-automate ng paggawa at pag-edit ng mga listahan ng mga sanggunian gamit ang Mendeley O2 na nagdaragdag ng sarili mong artikulo

Ang mga listahan ng mga ginamit na mapagkukunan ay kailangang gamitin nang madalas. Ang mga mag-aaral ay nagsusulat ng mga term paper at diploma, ang mga undergraduate, nagtapos na mga mag-aaral at mga mag-aaral ng doktor ay nagsusulat ng mga disertasyon. Sumulat ang mga mananaliksik ng mga artikulo at ulat at marami pang iba. Sigurado ako na ang bawat isa sa mga mambabasa kahit isang beses sa kanilang buhay ay kailangang mag-ipon ng isang listahan ng sanggunian ng mga sanggunian at magpahiwatig ng mga sanggunian sa panitikan sa teksto.

Kapag lumilikha ng isang artikulo sa Web, maaari kang magpasok ng mga hyperlink sa mga mapagkukunan nang direkta sa teksto, o magdagdag ng isang bullet na listahan sa "footer", kung saan ang mga mapagkukunang ito at anumang literatura na inirerekomenda para sa pagbabasa ay ililista sa random na pagkakasunud-sunod. Gayunpaman, sa pang-agham na komunidad at sa sistema ng edukasyon, ang mahigpit (at kung minsan ay kontradiksyon) na mga kinakailangan ay ipinapataw sa panuntunan para sa pag-compile ng mga naturang listahan, at ang manu-manong pagsunod sa mga ito ay isang gawain at walang pasasalamat na gawain.
Sa artikulong ito, ibabahagi ko ang aking karanasan sa pag-automate ng paglikha ng isang listahan ng mga ginamit na mapagkukunan gamit ang Mendeley. Kapag nagsusulat ng mga teksto, gumagamit ako ng MS Word 2007 dahil mas binili ito ng employer. Ang lahat ng sumusunod ay maaaring ulitin sa Open Office.

Ano ang hindi nakalulugod sa akin sa mga built-in na tool sa MS Word para sa paglikha ng bibliograpiya?

Sa katunayan, simula sa bersyon 2007, ang MS Word ay may built-in na mekanismo para sa pagbuo ng mga listahan ng mga sanggunian, na kahit na sumusuporta (parang) GOST.

Sa teorya, ang lahat ay simple - ipinasok mo ang lahat ng literatura na ginamit sa database at pagkatapos ay sumangguni dito kung kinakailangan. Magkaroon ng listahan sa dulo ng dokumento. Ang mga link sa kinakailangang format ay makakalat sa buong teksto. Ngunit sa pagsasagawa, ang lahat ay mas mahirap. Una, kailangan ng user na ipasok ang lahat ng pinagmumulan ng panitikan na ginamit, pinupunan ang lahat ng mga patlang ng form para dito.

Ang gumawa ng isang dosenang gawa ay hindi isang maliit na gawain. Upang punan ang isang database ng daan-daang mga item ay ang panganib ng isang nervous breakdown. Para sa ilang kadahilanan, ang isang paghahanap sa database ay walang nakitang anumang bagay na kapaki-pakinabang para sa akin. Gayunpaman, ang lahat ng trabaho ay magiging walang kabuluhan, dahil ang built-in na template ay malayo sa GOST. Hindi kahit na ang mga kilalang square bracket. Gayunpaman, ang huling problema ay ginagamot sa pamamagitan ng pag-edit ng template.

Kaya, ano ang hindi nababagay sa akin sa Word:

Ang Mendeley ay gumagana tulad nito: lumikha ka ng iyong sariling account, mag-download at mag-install ng software, at lumikha ng iyong sariling database ng mga source card. Kapaki-pakinabang din ang pag-download at pag-install ng plugin para sa MS Word (o Open Office).

Pagdaragdag ng Literature Links na may Plugin para sa MS Word

Maaari ka ring gumamit ng browser plug-in, na kung minsan ay nagpapadali sa pagdaragdag ng mga source na makikita sa Internet.

Sa pamamagitan ng pag-drag ng isang bagay na matatagpuan sa network, maaari kang makakuha ng isang handa na card sa Mendeley. At maaaring hindi mo ito makuha. Sa anumang kaso, maingat na i-edit ang mga card na nakuha sa tulong ng plug-in sa browser.

Sa pamamagitan ng pag-install ng desktop na bersyon o pag-log in sa iyong account sa pamamagitan ng browser, maaari mong gamitin ang paghahanap sa database ng mga nagawa nang card. Totoo, ang paghahanap ay halos hindi gumagana sa mga publikasyon sa wikang Ruso, ngunit halos palaging nakakahanap ng mga banyagang literatura, at bihirang kinakailangan na ipasok ito nang manu-mano. Ang mga card na matatagpuan sa network ay maaaring idagdag sa iyong sarili at i-edit (ito ay nagkakahalaga ng pagsuri sa mga card ng ibang tao para sa mga error at hindi kumpletong pagpuno - Nakatagpo ako ng mga card na puno ng hindi nag-iingat na mga tamad na tao. Sa anumang kaso, ang pag-edit ng natapos ay mas madali kaysa sa pagpuno nito lahat ng iyong sarili).

Screenshot ng Mendeley Decktop sa trabaho

Gayunpaman, kahit na ang paghahanap sa panloob na database ng Mendeley ay hindi nagdulot ng mga resulta, hindi ka dapat magmadali upang manu-manong punan ang card. Pumunta kami sa Google Academy at sinusubukang hanapin ang kinakailangang source doon. Kung ang pinagmulan ay natagpuan, pagkatapos ay makikita namin ang link na "Import sa BibTeX" sa ilalim nito, i-save ang bagay gamit ang link bilang isang file at buksan ito gamit ang Mendeley Desktop program. Bilang panuntunan, nakakatanggap kami ng kalahating punong source card. Ang pag-edit ng naturang card ay mas madali kaysa sa manu-manong punan ito.

Isang halimbawa kung paano ka makakakuha ng yari na BibTeX file sa pamamagitan ng Google Scholarship

Tulad ng para sa mga template ng pag-format ng link at ang listahan ng mga sanggunian mismo, bilang karagdagan sa malaking bilang ng mga template na naka-install nang default, maaari kang magdagdag ng iyong sarili. Ang mga template na ito ay hindi random na isinulat, ngunit sa isang espesyal na "citation style language" Citation Style Language (CSL), batay naman sa XML.

Hindi ako magbibigay ng mga link sa mga partikular na template na ginagamit ko sa aking trabaho, dahil hindi ako sigurado kung sila ang pinakamatagumpay. Sabihin ko lang na malaki ang pagkakaiba ng mga kinakailangan ng mga siyentipikong publisher ng Russia, mga dayuhang publisher, mga konseho ng disertasyon, at iba pa, ngunit sa ngayon ay nakahanap ako ng magandang template para sa bawat isa sa kanila.

Pangkalahatang algorithm para sa paggamit ng Mendeley system

1. Magrehistro, mag-download ng software, mag-install ng mga plugin
2. Lumilikha kami ng mga kinakailangang folder (halimbawa, "Coursework", "Diploma", "Scientific Report", atbp.) ayon sa gusto
3. Naghahanap kami ng mga kinakailangang literatura sa paghahanap at i-drag ang mga kinakailangang card sa aming folder
4. Kung may hindi nakita sa Mendeley, naghahanap kami sa Google o sa ibang lugar, buksan ang mga naka-save na BibTeX file at idagdag ang mga ito sa aming folder
5. Sinusuri ang kawastuhan ng mga nahanap na card
6. Kung walang nahanap kahit saan - lumikha ng isang bagong card at punan ito nang manu-mano, kung nais / kinakailangan, ilakip ang file ng artikulo mismo
7. Binubuksan namin ang teksto ng aming trabaho sa hinaharap sa MS Word / Open Office at magdagdag ng mga link sa mga tamang lugar, pumili ng template ng pag-format ng listahan at magdagdag ng listahan ng mga mapagkukunan sa dulo ng dokumento
8. Maingat naming sinusuri ang listahan ng mga natanggap na mapagkukunan. Kung may nangyaring mali, i-edit ang mga source card, o i-edit / itapon ang template at maghanap / magsulat ng bago
9. Masaya kami sa resulta

Bilang isang patakaran, ang parehong mga mapagkukunan ay maaaring gamitin sa iba't ibang mga artikulo, disertasyon, mga ulat sa siyensya, atbp. Sa sandaling idagdag mo ito sa iyong profile, makakatanggap ka ng link dito sa ilang pag-click ng mouse.

Mendeley bilang Literary Search Assistant

Bilang karagdagan sa pagiging mabilis at madaling paraan upang lumikha ng mga listahan ng mga sanggunian, tumutulong din si Mendeley sa mga paghahanap sa panitikan sa pamamagitan ng pagpapahintulot sa iyo na makahanap ng "mga nauugnay na artikulo" pati na rin ang paghahanap ayon sa may-akda, mga keyword, at higit pa.

Ang pagkumpleto ng isang profile sa Mendeley ay nagpapahiwatig ng ilang uri ng social network para sa mga siyentipiko. Mayroon ding posibilidad ng pagtutulungan ng magkakasama, ngunit sa ngayon ay hindi ko pa nakumbinsi ang mga kasamahan na gamitin ang sistemang ito (marahil ay makakatulong ang artikulong ito), kaya walang karanasan sa ganoong gawain.

Binibigyang-daan ka ni Mendeley na mag-imbak hindi lamang ng bibliograpikong data ng mga artikulo at mga abstract ng mga ito, kundi pati na rin mag-attach ng mga pdf file na may buong teksto. At mag-download din ng mga full-text na bersyon ng mga artikulong iyon na nai-post ng ibang mga kalahok sa system sa pampublikong domain.

Maaari mong pag-aralan ang pag-andar at interface ng system sa tulong ng mga video ng pagsasanay at isang mahusay na pagkakasulat (bagaman sa Ingles).

Iba pang Mga Kapaki-pakinabang na Tampok ng Mendeley

• Ang pagkakaroon ng isang plug-in para sa Open Office (personal kong hindi nasuri ang pagganap nito)
• Ang kakayahang madaling mag-customize ng maraming bagay bukod sa mga istilo ng bibliograpiya (halimbawa, ang pagkakasunud-sunod kung saan naka-imbak ang mga file sa disk)
• Kakayahang mag-integrate sa mga katulad na sistema, pangunahin ang Zatero
• Maaari kang mag-imbak ng mga card ng iyong sariling mga publikasyon at umaasa na ang iba pang mga gumagamit ng system ay mahahanap ang mga ito kapag naghahanap sa pamamagitan ng mga keyword, gumamit, sumangguni sa at taasan ang iyong index ng pagsipi
• Mayroong isang bersyon ng Mendeley Desktop hindi lamang para sa Windows, kundi pati na rin para sa Linux at MacOS
• Mayroong isang mobile application para sa iPhone
• Na-publish ang API

Mga disadvantages ng Mendeley

Ang ilang mga pagkukulang ay maaaring tawaging "mga tampok", ngunit hindi ko gagamitin ang lansihin na ito.

• Ang paghahanap ng panitikan ay hindi gumagana sa mga mapagkukunan sa wikang Ruso (maghanda upang manu-manong ipasok ang mga ito)
• Kahit na ang desktop na bersyon ay nangangailangan ng koneksyon sa internet. Hindi ibinigay ang offline mode
• Kailangan mong magparehistro, lumikha ng isang account at magtrabaho kasama ito
• Kung ang iyong dokumento ay may mga link sa 100 o higit pang mga mapagkukunan ng literatura at gumawa ka ng isang pag-edit (nagdagdag ng isa pang mapagkukunan, binuksan ang link para sa pag-edit), maghanda para sa ilang paghina ng MS Word
• Ang mga posibilidad ng isang libreng account ay limitado: ang dami ng imbakan ng mga full-text na bersyon ng mga artikulo, ang bilang ng mga nagtatrabaho na grupo at ang bilang ng mga miyembro ng grupo. (Gayunpaman, hindi ako nagli-link ng mga pdf na file sa lahat ng mga artikulong pinagtatrabahuhan ko, at inilalagay ko ang karamihan sa mga ito nang hiwalay, na nagpapahintulot sa akin na malayang gumamit ng isang libreng account)
• Walang app para sa Android at iba pang hindi-apple na mga mobile platform

Konklusyon

Maaaring maging kapaki-pakinabang si Mendeley sa mga mag-aaral, nagtapos na mga mag-aaral, mga mananaliksik at halos kahit sino. Ang paggugol ng kaunting oras sa pag-aaral ng system na ito ay makakapagtipid sa iyo ng maraming nerbiyos kapag nagtatrabaho sa mga listahan ng sanggunian, lalo na kapag ang dalawang subsection ay kailangang ipagpalit sa isang maingat na naka-calibrate na dokumento at ang manu-manong nililinis na sistema ng pagnunumero ng sanggunian ay nasasayang.

Ang artikulong ito ay hindi nag-aangkin na isang kumpleto at komprehensibong pangkalahatang-ideya ng sistema ng Mendeley at nilayon lamang na maakit ang atensyon ng mga interesadong tao sa paggamit ng naturang mga tool sa automation. Personal na kilala ng may-akda ang maraming kilalang siyentipiko (kabilang ang mga mula sa larangan ng mga teknikal na agham) na gumugugol pa rin ng mahalagang oras sa pag-compile ng isang listahan ng mga sanggunian nang manu-mano.

At ipaalam sa amin ang tungkol sa error na napansin mo.

Kailan ko makikita ang artikulo sa site, ayon sa aking kahilingan, na iniwan ko?

Sinusubukang matugunan ang lahat ng iyong mga kahilingan, inilalaan namin ang karapatang piliin ang pinakakawili-wili at orihinal sa mga ito. Kung makakita kami ng sagot sa iyong tanong, ipo-post namin ito sa site. Sundin ang site para sa mga update. Maaari ka ring maghanap sa pamamagitan ng Paghahanap sa site.

Paano magdagdag ng iyong avatar?

Kumpletuhin ang pagpaparehistro ng user sa site.
Pagkatapos ay mag-sign in sa iyong Profile.
Sa field ng Avatar, i-click ang Mag-browse, piliin ang iyong larawan o larawan.
Ilagay ang iyong password at ang code na ipinapakita sa larawan sa ibabang field at pagkatapos ay i-click ang pindutang I-save ang Mga Pagbabago.

Gusto kong ilagay ang iyong button sa aking site, paano ko ito magagawa?

Kami ay magpapasalamat sa iyo para dito!
Narito ang button code:

May RSS ba ang site?

Paano maghanap sa site na KnowKak.ru?

Ang paghahanap ay isinasagawa sa pamamagitan ng mga tag na nakatalaga sa mga artikulo. Samakatuwid, hindi kinakailangang ipasok ang pangalan ng materyal nang buo - o mga parirala mula dito. Pumili ng isang keyword para sa gustong materyal, halimbawa: "mga langis" - kapag naghahanap ng isang kawan ng mahahalagang langis, "football" - kapag naghahanap ng anumang materyal sa football, atbp. Pagkatapos ay alisin ang pagtatapos sa keyword - upang ibukod ang case , panahunan, kasarian (sa katunayan, iwanan lamang ang ugat), - sa aming kaso, halimbawa, ito ay lalabas: "langis" at "football", o "tsokolate" (mula sa tsokolate), "transp" (mula sa transportasyon ), "mga kita" (mula sa mga kita) , atbp. Ilagay ang abbreviation na ito sa field ng paghahanap, at lahat ay mahahanap. Maaari mong bawasan ang bilang ng mga resulta ng paghahanap sa pamamagitan ng paggamit ng dalawa o tatlong magkatulad na pinutol na mga keyword, gaya ng "essential oil", ngunit tandaan na sa kasong ito maaari kang makaligtaan ng ilang artikulo na nauugnay sa iyong interes, dahil ang mga tag sa huli maaaring hindi tinukoy sa buong puwersa. Ngunit tandaan na sa iba't ibang mga kaso ang mga pagtatapos ng ilang mga salita ay maaaring magbago nang malaki, kaya, halimbawa, sa pamamagitan ng pagdadaglat ng "langis" ay hindi ka makakahanap ng mga artikulo na may mga tag na "mga langis" (Sino? Ano?). Kaya siguraduhing suriin ang lahat ng posibleng opsyon. Hindi gaanong mahalaga ang katotohanan na ang ilang mga paksa ay maaaring tawaging naiiba: "Paano mag-ayos ng isang partido" o "Paano magsaya kasama ang mga kaibigan sa Araw ng Bagong Taon" - sa katunayan, ito ay ang parehong bagay. Kaya, isipin kung ano ang maaaring magkaroon ng alternatibong pangalan ng materyal na interesado ka.

Ang Google search engine (www.google.com) ay nagbibigay ng maraming mga opsyon sa paghahanap. Ang lahat ng mga tampok na ito ay isang napakahalagang tool sa paghahanap para sa isang unang beses na gumagamit ng Internet at sa parehong oras ay isang mas malakas na sandata ng pagsalakay at pagkawasak sa mga kamay ng mga taong may masamang intensyon, kabilang hindi lamang ang mga hacker, kundi pati na rin ang mga hindi computer na kriminal. at maging mga terorista.
(9475 view sa 1 linggo)

Denis Batrankov
denisNOSPAMixi.ru

Pansin:Ang artikulong ito ay hindi isang gabay sa pagkilos. Ang artikulong ito ay isinulat para sa iyo, mga tagapangasiwa ng WEB server, upang mawala ang maling pakiramdam na ikaw ay ligtas, at sa wakas ay mauunawaan mo ang pagiging mapanlinlang ng pamamaraang ito ng pagkuha ng impormasyon at itakda ang tungkol sa pagprotekta sa iyong site.

Panimula

Halimbawa, nakakita ako ng 1670 na pahina sa loob ng 0.14 segundo!

2. Magpasok tayo ng isa pang linya, halimbawa:

inurl:"auth_user_file.txt"

medyo mas kaunti, ngunit ito ay sapat na para sa libreng pag-download at para sa paghula ng mga password (gamit ang parehong John The Ripper). Sa ibaba ay magbibigay ako ng ilang higit pang mga halimbawa.

Kaya, kailangan mong mapagtanto na binisita ng search engine ng Google ang karamihan sa mga site sa Internet at na-cache ang impormasyong nakapaloob sa mga ito. Ang naka-cache na impormasyon na ito ay nagbibigay-daan sa iyo na makakuha ng impormasyon tungkol sa site at sa nilalaman ng site nang walang direktang koneksyon sa site, paghuhukay lamang sa impormasyong panloob na iniimbak ng Google. Bukod dito, kung ang impormasyon sa site ay hindi na magagamit, kung gayon ang impormasyon sa cache ay maaari pa ring mapanatili. Ang kailangan lang para sa pamamaraang ito ay malaman ang ilang mga keyword sa Google. Ang pamamaraang ito ay tinatawag na Google Hacking.

Sa unang pagkakataon, lumabas ang impormasyon tungkol sa Google Hacking sa mailing list ng Bugtruck 3 taon na ang nakakaraan. Noong 2001, ang paksang ito ay itinaas ng isang mag-aaral na Pranses. Narito ang isang link sa liham na ito http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html . Nagbibigay ito ng mga unang halimbawa ng mga naturang kahilingan:

1) Index ng /admin
2) Index ng /password
3) Index ng /mail
4) Index ng / +banques +filetype:xls (para sa france...)
5) Index ng / +passwd
6) Index ng/password.txt

Ang paksang ito ay gumawa ng maraming ingay sa bahagi ng Internet na nagbabasa ng Ingles kamakailan lamang: pagkatapos ng isang artikulo ni Johnny Long na inilathala noong Mayo 7, 2004. Para sa isang mas kumpletong pag-aaral ng Google Hacking, ipinapayo ko sa iyo na pumunta sa site ng may-akda na ito http://johnny.ihackstuff.com. Sa artikulong ito, gusto ko lang ipaalam sa iyo ang napapanahon.

Sino ang maaaring gumamit nito:
- Maaaring gamitin ito ng mga mamamahayag, espiya at lahat ng taong gustong idikit ang kanilang ilong sa negosyo ng ibang tao upang maghanap ng nakakakompromisong ebidensya.
- Mga hacker na naghahanap ng angkop na mga target para sa pag-hack.

Paano gumagana ang Google.

Upang ipagpatuloy ang pag-uusap, hayaan mong ipaalala ko sa iyo ang ilan sa mga keyword na ginamit sa mga query sa Google.

Maghanap gamit ang + sign

Ibinubukod ng Google ang hindi mahalaga, sa opinyon nito, mga salita mula sa paghahanap. Halimbawa, mga salitang interogatibo, pang-ukol at artikulo sa Ingles: halimbawa ay, ng, saan. Sa Russian, tila isinasaalang-alang ng Google ang lahat ng mga salita na mahalaga. Kung ang salita ay hindi kasama sa paghahanap, pagkatapos ay isusulat ng Google ang tungkol dito. Upang magsimulang maghanap ang Google ng mga page na may mga salitang ito, kailangan mong magdagdag ng + sign bago ang mga ito nang walang puwang bago ang salita. Halimbawa:

alas + ng base

Maghanap sa pamamagitan ng tanda -

Kung nakahanap ang Google ng malaking bilang ng mga page kung saan kinakailangan na ibukod ang mga page na may ilang partikular na paksa, maaari mong pilitin ang Google na maghanap lamang ng mga page na hindi naglalaman ng ilang partikular na salita. Upang gawin ito, kailangan mong ipahiwatig ang mga salitang ito sa pamamagitan ng paglalagay ng isang palatandaan sa harap ng bawat isa - nang walang puwang bago ang salita. Halimbawa:

pangingisda - vodka

Maghanap gamit ang ~ sign

Maaaring gusto mong hanapin hindi lamang ang tinukoy na salita, kundi pati na rin ang mga kasingkahulugan nito. Upang gawin ito, unahan ang salita na may simbolo na ~.

Paghahanap ng eksaktong parirala gamit ang double quotes

Naghahanap ang Google sa bawat pahina para sa lahat ng paglitaw ng mga salita na iyong isinulat sa string ng query, at walang pakialam sa kamag-anak na posisyon ng mga salita, ang pangunahing bagay ay ang lahat ng tinukoy na salita ay nasa pahina nang sabay-sabay ( ito ang default na aksyon). Upang mahanap ang eksaktong parirala, kailangan mong ilagay ito sa mga panipi. Halimbawa:

"bookend"

Upang magkaroon ng hindi bababa sa isa sa mga tinukoy na salita, dapat mong tahasang tukuyin ang lohikal na operasyon: O. Halimbawa:

kaligtasan ng libro O proteksyon

Bilang karagdagan, maaari mong gamitin ang * sign sa string ng paghahanap upang tukuyin ang anumang salita at. upang kumatawan sa anumang karakter.

Paghahanap ng mga salita na may karagdagang mga operator

Mayroong mga operator ng paghahanap na tinukoy sa string ng paghahanap sa format:

operator:search_term

Ang mga puwang sa tabi ng colon ay hindi kailangan. Kung maglalagay ka ng espasyo pagkatapos ng tutuldok, makakakita ka ng mensahe ng error, at bago nito, gagamitin ng Google ang mga ito bilang normal na string ng paghahanap.
Mayroong mga grupo ng karagdagang mga operator ng paghahanap: mga wika - ipahiwatig kung aling wika ang nais mong makita ang resulta, petsa - limitahan ang mga resulta sa nakalipas na tatlo, anim o 12 buwan, mga pangyayari - ipahiwatig kung saan sa dokumento ang kailangan mong hanapin ang string: saanman, sa pamagat, sa URL, mga domain - hanapin ang tinukoy na site o vice versa ibukod ito mula sa paghahanap, ligtas na paghahanap - harangan ang mga site na naglalaman ng tinukoy na uri ng impormasyon at alisin ang mga ito mula sa mga pahina ng resulta ng paghahanap.
Gayunpaman, ang ilang mga operator ay hindi nangangailangan ng karagdagang parameter, halimbawa, ang query na " cache:www.google.com" ay maaaring tawaging isang buong string ng paghahanap, at ang ilang mga keyword, sa kabaligtaran, ay nangangailangan ng isang salita sa paghahanap, halimbawa " site:www.google.com tulong". Sa liwanag ng aming paksa, tingnan natin ang mga sumusunod na operator:

Operator	Paglalarawan	Nangangailangan ng karagdagang parameter?
	hanapin lamang ang site na tinukoy sa search_term
	maghanap lamang sa mga dokumento na may uri ng search_term
	maghanap ng mga pahinang naglalaman ng search_term sa pamagat
	maghanap ng mga pahinang naglalaman ng lahat ng mga salitang search_term sa pamagat
	maghanap ng mga pahinang naglalaman ng salitang search_term sa kanilang address
	maghanap ng mga pahinang naglalaman ng lahat ng mga salitang search_term sa kanilang address

Operator lugar: nililimitahan lamang ang paghahanap sa tinukoy na site, at maaari mong tukuyin hindi lamang ang domain name, kundi pati na rin ang IP address. Halimbawa, ipasok ang:

Operator uri ng file: nililimitahan ang mga paghahanap sa mga file ng isang partikular na uri. Halimbawa:

Sa petsa ng artikulong ito, maaaring maghanap ang Google sa loob ng 13 iba't ibang format ng file:

• Adobe Portable Document Format (pdf)
• Adobe PostScript (ps)
• Lotus 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
• Lotus Word Pro (lwp)
• MacWrite(mw)
• Microsoft Excel (xls)
• Microsoft PowerPoint (ppt)
• Microsoft Word (doc)
• Microsoft Works (wks, wps, wdb)
• Microsoft Write (wri)
• Rich Text Format (rtf)
• Shockwave Flash (swf)
• Text (ans, txt)

Operator link: ipinapakita ang lahat ng pahinang tumuturo sa tinukoy na pahina.
Dapat palaging kawili-wiling makita kung gaano karaming mga lugar sa Internet ang nakakaalam tungkol sa iyo. Subukan namin:

Operator cache: ipinapakita ang naka-cache na bersyon ng site ng Google sa hitsura nito noong huling binisita ng Google ang pahina. Kinukuha namin ang anumang madalas na pagbabago ng site at tinitingnan namin ang:

Operator pamagat: naghahanap ng tinukoy na salita sa pamagat ng pahina. Operator allintitle: ay isang extension - hinahanap nito ang lahat ng tinukoy na ilang salita sa pamagat ng pahina. Ihambing:

intitle:flight to mars
intitle:flight intitle:on intitle:mars
allintitle:flight to mars

Operator inurl: nagiging dahilan upang ipakita ng Google ang lahat ng pahinang naglalaman ng tinukoy na string sa URL. allinurl: naghahanap ng lahat ng salita sa isang URL. Halimbawa:

allinurl:acid_stat_alerts.php

Ang utos na ito ay lalong kapaki-pakinabang para sa mga walang SNORT - hindi bababa sa nakikita nila kung paano ito gumagana sa isang tunay na sistema.

Mga Paraan ng Pag-hack ng Google

Kaya, nalaman namin na, gamit ang kumbinasyon ng mga operator at keyword sa itaas, sinuman ay maaaring mangolekta ng kinakailangang impormasyon at maghanap ng mga kahinaan. Ang mga diskarteng ito ay madalas na tinutukoy bilang Google Hacking.

mapa ng site

Maaari mong gamitin ang site: statement upang makita ang lahat ng mga link na natagpuan ng Google sa site. Karaniwan, ang mga pahina na dynamic na nilikha ng mga script ay hindi na-index gamit ang mga parameter, kaya ang ilang mga site ay gumagamit ng mga filter ng ISAPI upang ang mga link ay wala sa anyo /article.asp?num=10&dst=5, ngunit may mga slash /article/abc/num/10/dst/5. Ginagawa ito upang matiyak na ang site ay karaniwang na-index ng mga search engine.

Subukan Natin:

site:www.whitehouse.gov whitehouse

Iniisip ng Google na ang bawat pahina sa isang site ay naglalaman ng salitang whitehouse. Ito ang ginagamit namin upang makuha ang lahat ng mga pahina.
Mayroon ding pinasimple na bersyon:

site:whitehouse.gov

At ang pinakamagandang bahagi ay hindi alam ng mga kasama mula sa whitehouse.gov na tiningnan namin ang istraktura ng kanilang site at kahit na tumingin sa mga naka-cache na pahina na na-download mismo ng Google. Magagamit ito upang pag-aralan ang istruktura ng mga site at tingnan ang nilalaman nang hindi napapansin pansamantala.

Listahan ng mga file sa mga direktoryo

Ang mga WEB server ay maaaring magpakita ng mga listahan ng direktoryo ng server sa halip na mga regular na HTML na pahina. Karaniwan itong ginagawa upang pilitin ang mga user na pumili at mag-download ng mga partikular na file. Gayunpaman, sa maraming mga kaso ang mga administrator ay walang intensyon na ipakita ang mga nilalaman ng isang direktoryo. Ito ay dahil sa maling pagsasaayos ng server o kawalan ng master page sa direktoryo. Bilang isang resulta, ang hacker ay may pagkakataon na makahanap ng isang bagay na kawili-wili sa direktoryo at gamitin ito para sa kanyang sariling mga layunin. Upang mahanap ang lahat ng naturang pahina, sapat na mapansin na lahat sila ay naglalaman ng mga salita: index ng sa kanilang pamagat. Ngunit dahil ang index ng mga salita ay naglalaman ng hindi lamang ganoong mga pahina, kailangan nating pinuhin ang query at isaalang-alang ang mga keyword sa mismong pahina, kaya ang mga query tulad ng:

intitle:index.of parent directory
intitle:index.ng laki ng pangalan

Dahil ang karamihan sa mga listahan ng direktoryo ay sinadya, maaaring nahihirapan kang maghanap ng mga naliligaw na listahan sa unang pagkakataon. Ngunit hindi bababa sa magagawa mong gamitin ang mga listahan upang matukoy ang bersyon ng WEB server, tulad ng inilarawan sa ibaba.

Pagkuha ng bersyon ng WEB server.

Ang pag-alam sa bersyon ng WEB server ay palaging nakakatulong bago simulan ang anumang pag-atake ng hacker. Muli, salamat sa Google, maaari mong makuha ang impormasyong ito nang hindi kumokonekta sa isang server. Kung titingnan mong mabuti ang listahan ng direktoryo, makikita mo na ang pangalan ng WEB server at ang bersyon nito ay ipinapakita doon.

Apache1.3.29 - ProXad Server sa trf296.free.fr Port 80

Maaaring baguhin ng isang may karanasang administrator ang impormasyong ito, ngunit, bilang panuntunan, ito ay totoo. Kaya, upang makuha ang impormasyong ito, sapat na upang magpadala ng isang kahilingan:

intitle:index.of server.at

Upang makakuha ng impormasyon para sa isang partikular na server, pinipino namin ang kahilingan:

intitle:index.of server.at site:ibm.com

O vice versa, naghahanap kami ng mga server na tumatakbo sa isang partikular na bersyon ng server:

intitle:index.of Apache/2.0.40 Server sa

Ang pamamaraan na ito ay maaaring gamitin ng isang hacker upang makahanap ng biktima. Kung, halimbawa, mayroon siyang pagsasamantala para sa isang partikular na bersyon ng WEB server, mahahanap niya ito at subukan ang umiiral na pagsasamantala.

Makukuha mo rin ang bersyon ng server sa pamamagitan ng pagtingin sa mga page na naka-install bilang default kapag nag-i-install ng bagong bersyon ng WEB server. Halimbawa, para makita ang Apache 1.2.6 test page, i-type lang

intitle:Test.Page.for.Apache it.worked!

Bukod dito, ang ilang mga operating system ay agad na nag-install at naglulunsad ng WEB server sa panahon ng pag-install. Gayunpaman, ang ilang mga gumagamit ay hindi kahit na alam ito. Naturally, kung nakita mo na ang isang tao ay hindi tinanggal ang default na pahina, pagkatapos ay lohikal na ipagpalagay na ang computer ay hindi sumailalim sa anumang pagsasaayos at malamang na mahina sa mga pag-atake.

Subukang maghanap ng mga pahina ng IIS 5.0

allintitle:Welcome sa Windows 2000 Internet Services

Sa kaso ng IIS, matutukoy mo hindi lamang ang bersyon ng server, kundi pati na rin ang bersyon ng Windows at Service Pack.

Ang isa pang paraan upang matukoy ang bersyon ng WEB server ay ang maghanap ng mga manual (mga pahina ng tulong) at mga halimbawa na maaaring i-install sa site bilang default. Ang mga hacker ay nakahanap ng ilang paraan upang gamitin ang mga bahaging ito upang makakuha ng pribilehiyong pag-access sa site. Iyon ang dahilan kung bakit kailangan mong alisin ang mga bahaging ito sa site ng produksyon. Hindi sa banggitin ang katotohanan na sa pagkakaroon ng mga sangkap na ito maaari kang makakuha ng impormasyon tungkol sa uri ng server at ang bersyon nito. Halimbawa, hanapin natin ang manual ng apache:

inurl:manu-manong apache directives modules

Gamit ang Google bilang isang CGI scanner.

Ang CGI scanner o WEB scanner ay isang utility para sa paghahanap ng mga mahihinang script at program sa server ng biktima. Ang mga utility na ito ay kailangang malaman kung ano ang hahanapin, para dito mayroon silang isang buong listahan ng mga mahihinang file, halimbawa:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

Mahahanap namin ang bawat isa sa mga file na ito gamit ang Google, bukod pa rito gamit ang mga salitang index ng o inurl na may pangalan ng file sa search bar: mahahanap namin ang mga site na may mga mahihinang script, halimbawa:

allinurl:/random_banner/index.cgi

Sa karagdagang kaalaman, maaaring samantalahin ng isang hacker ang isang kahinaan ng script at gamitin ang kahinaan upang pilitin ang script na ihatid ang anumang file na nakaimbak sa server. Halimbawa ng password file.

Paano protektahan ang iyong sarili mula sa pag-hack sa pamamagitan ng Google.

1. Huwag mag-upload ng mahalagang data sa WEB server.

Kahit na pansamantala mong nai-post ang data, maaari mong kalimutan ang tungkol dito o magkakaroon ng oras ang isang tao na hanapin at kunin ang data na ito bago mo ito burahin. Huwag gawin ito. Mayroong maraming iba pang mga paraan upang maglipat ng data na nagpoprotekta dito mula sa pagnanakaw.

2. Suriin ang iyong site.

Gamitin ang mga inilarawang pamamaraan para saliksikin ang iyong site. Suriin ang iyong site nang pana-panahon para sa mga bagong pamamaraan na lumilitaw sa site na http://johnny.ihackstuff.com. Tandaan na kung gusto mong i-automate ang iyong mga aksyon, kailangan mong makakuha ng espesyal na pahintulot mula sa Google. Kung babasahin mong mabuti http://www.google.com/terms_of_service.html, pagkatapos ay makikita mo ang pariralang: Hindi ka maaaring magpadala ng mga awtomatikong query ng anumang uri sa system ng Google nang walang malinaw na pahintulot nang maaga mula sa Google.

3. Maaaring hindi mo kailanganin ng Google na i-index ang iyong site o bahagi nito.

Pinapayagan ka ng Google na alisin ang isang link sa iyong site o bahagi nito mula sa database nito, pati na rin alisin ang mga pahina mula sa cache. Bilang karagdagan, maaari mong ipagbawal ang paghahanap ng mga larawan sa iyong site, pagbawalan ang pagpapakita ng mga maikling fragment ng mga pahina sa mga resulta ng paghahanap. Ang lahat ng mga opsyon para sa pagtanggal ng isang site ay inilarawan sa pahina http://www.google.com/remove.html. Upang gawin ito, dapat mong kumpirmahin na ikaw talaga ang may-ari ng site na ito o magpasok ng mga tag sa pahina o

4. Gumamit ng robots.txt

Alam na ang mga search engine ay tumitingin sa robots.txt file sa ugat ng site at hindi ini-index ang mga bahaging iyon na may marka ng salita. Huwag payagan. Magagamit mo ito upang maiwasang ma-index ang bahagi ng site. Halimbawa, upang maiwasan ang pag-index ng buong site, lumikha ng robots.txt file na naglalaman ng dalawang linya:

Ahente ng gumagamit: *
huwag payagan: /

Ano pa ang mangyayari

Upang ang buhay ay hindi parang pulot sa iyo, sasabihin ko sa huli na may mga site na sumusunod sa mga taong iyon, gamit ang mga pamamaraan sa itaas, ay naghahanap ng mga butas sa mga script at WEB server. Ang isang halimbawa ng naturang pahina ay

Apendise.

Medyo matamis. Subukan ang isa sa mga sumusunod para sa iyong sarili:

1. #mysql dump filetype:sql - maghanap ng mySQL database dumps
2. Host Vulnerability Summary Report - ipapakita sa iyo kung anong mga kahinaan ang natagpuan ng ibang tao
3. Ang phpMyAdmin ay tumatakbo sa inurl:main.php - pipilitin nitong isara ang kontrol sa pamamagitan ng phpmyadmin panel
4. Hindi para sa pamamahagi ng kumpidensyal
5. Mga Detalye ng Kahilingan Control Tree Server Variables
6. Tumatakbo sa child mode
7. Ang ulat na ito ay nabuo ng WebLog
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs - baka may nangangailangan ng mga file ng pagsasaayos ng firewall? :)
10. intitle:index.of finances.xls - hmm....
11. intitle:Index ng dbconvert.exe chat - icq chat logs
12. intext:Pagsusuri ng trapiko ng Tobias Oetiker
13. intitle:Mga Istatistika ng Paggamit para sa Binuo ng Webalizer
14. intitle:mga istatistika ng mga advanced na istatistika sa web
15. intitle:index.of ws_ftp.ini - ws ftp config
16. inurl:ipsec.secrets holds shared secrets - secret key - good find
17. inurl:main.php Maligayang pagdating sa phpMyAdmin
18. inurl:server-info Impormasyon ng Server ng Apache
19. site:edu admin grades
20. ORA-00921: hindi inaasahang pagtatapos ng SQL command - kumuha ng mga landas
21. intitle:index.of trillian.ini
22. intitle:Index ng pwd.db
23. intitle:index.of people.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. intitle:Index ng .mysql_history
27. intitle:index ng intext:globals.inc
28. intitle:index.of administrators.pwd
29. intitle:Index.of etc anino
30. intitle:index.of secring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini

"Pag-hack ng Google"

Training center "Informzaschita" http://www.itsecurity.ru - isang nangungunang dalubhasang sentro sa larangan ng pagsasanay sa seguridad ng impormasyon (Lisensya ng Moscow Committee of Education No. 015470, State accreditation No. 004251). Ang tanging awtorisadong sentro ng pagsasanay ng Internet Security Systems at Clearswift sa Russia at mga bansa ng CIS. Awtorisadong sentro ng pagsasanay ng Microsoft (Dalubhasa sa seguridad). Ang mga programa sa pagsasanay ay pinag-ugnay sa Komisyong Teknikal ng Estado ng Russia, FSB (FAPSI). Mga sertipiko ng pagsasanay at mga dokumento ng estado sa advanced na pagsasanay.

Ang SoftKey ay isang natatanging serbisyo para sa mga mamimili, developer, dealer at kaakibat na kasosyo. Bilang karagdagan, ito ay isa sa mga pinakamahusay na online na tindahan ng software sa Russia, Ukraine, Kazakhstan, na nag-aalok sa mga customer ng isang malawak na hanay, maraming mga paraan ng pagbabayad, mabilis (madalas na instant) na pagproseso ng order, pagsubaybay sa proseso ng pagtupad ng order sa personal na seksyon, iba't ibang mga diskwento mula sa tindahan at mga tagagawa ON.

Ang pagtanggap ng pribadong data ay hindi palaging nangangahulugan ng pag-hack - kung minsan ay na-publish ito sa pampublikong domain. Ang pag-alam sa mga setting ng Google at kaunting talino ay magbibigay-daan sa iyong makahanap ng maraming kawili-wiling bagay - mula sa mga numero ng credit card hanggang sa mga dokumento ng FBI.

BABALA

Ang lahat ng impormasyon ay ibinigay para sa mga layuning pang-impormasyon lamang. Ang mga editor o ang may-akda ay walang pananagutan para sa anumang posibleng pinsalang dulot ng mga materyales ng artikulong ito.

Lahat ay konektado sa Internet ngayon, walang pakialam sa paghihigpit sa pag-access. Samakatuwid, maraming pribadong data ang nagiging biktima ng mga search engine. Ang mga spider robot ay hindi na limitado sa mga web page, ngunit ini-index ang lahat ng nilalamang magagamit sa Web at patuloy na nagdaragdag ng kumpidensyal na impormasyon sa kanilang mga database. Ang pag-aaral ng mga lihim na ito ay madali - kailangan mo lang malaman kung paano magtanong tungkol sa mga ito.

Naghahanap ng mga file

Sa mga may kakayahang kamay, mabilis na mahahanap ng Google ang lahat ng masama sa Web, tulad ng personal na impormasyon at mga file para sa opisyal na paggamit. Madalas silang nakatago tulad ng isang susi sa ilalim ng alpombra: walang tunay na mga paghihigpit sa pag-access, ang data ay nasa likod lamang ng site, kung saan ang mga link ay hindi humahantong. Ang karaniwang web interface ng Google ay nagbibigay lamang ng mga pangunahing setting ng advanced na paghahanap, ngunit kahit na ang mga ito ay magiging sapat na.

Mayroong dalawang operator na maaari mong gamitin upang paghigpitan ang mga paghahanap sa Google sa mga file ng isang partikular na uri: filetype at ext . Ang una ay nagtatakda ng format na tinutukoy ng search engine ng header ng file, ang pangalawa - ang extension ng file, anuman ang panloob na nilalaman nito. Kapag naghahanap sa parehong mga kaso, kailangan mong tukuyin lamang ang extension. Sa una, ang ext operator ay maginhawang gamitin sa mga kaso kung saan walang mga partikular na katangian ng format para sa file (halimbawa, upang maghanap ng mga file ng pagsasaayos ng ini at cfg, sa loob kung saan maaaring mayroong anumang bagay). Ngayon ang mga algorithm ng Google ay nagbago, at walang nakikitang pagkakaiba sa pagitan ng mga operator - ang mga resulta ay pareho sa karamihan ng mga kaso.

Pag-filter ng output

Bilang default, naghahanap ang Google ng mga salita at sa pangkalahatan para sa anumang mga character na ipinasok sa lahat ng mga file sa mga na-index na pahina. Maaari mong limitahan ang saklaw ng paghahanap ayon sa pinakamataas na antas ng domain, isang partikular na site, o sa pamamagitan ng lokasyon ng nais na pagkakasunud-sunod sa mga file mismo. Para sa unang dalawang opsyon, ginagamit ang pahayag ng site, na sinusundan ng pangalan ng domain o ng napiling site. Sa ikatlong kaso, pinapayagan ka ng isang buong hanay ng mga operator na maghanap ng impormasyon sa mga patlang ng serbisyo at metadata. Halimbawa, mahahanap ng allinurl ang tinukoy sa katawan ng mga link mismo, allinanchor - sa tekstong ibinigay kasama ng tag , allintitle - sa mga header ng pahina, allintext - sa katawan ng mga pahina.

Para sa bawat operator mayroong mas magaan na bersyon na may mas maikling pangalan (nang walang prefix na lahat). Ang pagkakaiba ay ang allinurl ay makakahanap ng mga link sa lahat ng mga salita, habang ang inurl ay makakahanap lamang ng mga link sa una sa kanila. Ang pangalawa at kasunod na mga salita mula sa query ay maaaring lumabas kahit saan sa mga web page. Ang inurl operator ay naiiba din sa isa pang katulad sa kahulugan - site. Ang una ay nagbibigay-daan din sa iyo na makahanap ng anumang pagkakasunud-sunod ng mga character sa link sa nais na dokumento (halimbawa, /cgi-bin/), na malawakang ginagamit upang maghanap ng mga bahagi na may kilalang mga kahinaan.

Subukan natin ito sa pagsasanay. Kinukuha namin ang allintext na filter at ibabalik ang query ng isang listahan ng mga numero ng credit card at verification code, na mag-e-expire lamang pagkalipas ng dalawang taon (o kapag napagod ang kanilang mga may-ari sa pagpapakain sa lahat ng magkakasunod).

Allintext: petsa ng pag-expire ng numero ng card /2017 cvv

Kapag nabasa mo sa balita na ang isang batang hacker ay "na-hack sa mga server" ng Pentagon o NASA, na nagnakaw ng classified na impormasyon, kung gayon sa karamihan ng mga kaso ito ay tiyak na ito elementarya na pamamaraan ng paggamit ng Google. Ipagpalagay na interesado kami sa isang listahan ng mga empleyado ng NASA at ang kanilang mga detalye sa pakikipag-ugnayan. Tiyak na ang naturang listahan ay nasa elektronikong anyo. Para sa kaginhawahan o dahil sa isang oversight, maaari rin itong magsinungaling sa website mismo ng organisasyon. Ito ay lohikal na sa kasong ito ay walang mga sanggunian dito, dahil ito ay inilaan para sa panloob na paggamit. Anong mga salita ang maaaring nasa ganoong file? Hindi bababa sa - ang patlang na "address". Madaling subukan ang lahat ng mga pagpapalagay na ito.

inurl:nasa.gov filetype:xlsx "address"

Gumagamit kami ng burukrasya

Ang ganitong mga paghahanap ay isang kaaya-ayang bagay. Ang talagang solid catch ay nagmumula sa isang mas detalyadong kaalaman sa Google Webmaster Operators, sa Web mismo, at sa istruktura ng iyong hinahanap. Alam ang mga detalye, madali mong ma-filter ang output at pinuhin ang mga katangian ng mga file na kailangan mo upang makakuha ng talagang mahalagang data sa iba. Nakakatuwa na bureaucracy comes to the rescue dito. Gumagawa ito ng mga tipikal na pormulasyon na ginagawang maginhawa upang maghanap ng lihim na impormasyon na hindi sinasadyang tumagas sa Web.

Halimbawa, ang Distribution statement, na sapilitan sa opisina ng US Department of Defense, ay nangangahulugan ng standardized na mga paghihigpit sa pamamahagi ng isang dokumento. Ang titik A ay nagmamarka ng mga pampublikong paglabas kung saan walang lihim; B - inilaan para sa panloob na paggamit lamang, C - mahigpit na kumpidensyal, at iba pa hanggang sa F. Hiwalay, mayroong titik X, na nagmamarka ng partikular na mahalagang impormasyon na kumakatawan sa isang lihim ng estado ng pinakamataas na antas. Hayaan ang mga dapat na gagawa nito sa tungkulin na maghanap ng mga naturang dokumento, at lilimitahan natin ang ating sarili sa mga file na may titik C. Ayon sa DoDI 5230.24, ang naturang pagmamarka ay itinalaga sa mga dokumentong naglalaman ng paglalarawan ng mga kritikal na teknolohiya na nasa ilalim ng kontrol sa pag-export. Makakakita ka ng ganoong maingat na binabantayang impormasyon sa mga site sa .mil na top-level na domain na inilaan sa US Army.

"DISTRIBUTION STATEMENT C" inurl:navy.mil

Napakaginhawa na ang mga site lamang mula sa US Department of Defense at mga kontratang organisasyon nito ang kinokolekta sa .mil na domain. Ang mga resulta ng paghahanap na limitado sa domain ay napakalinis, at ang mga pamagat ay nagsasalita para sa kanilang sarili. Halos walang silbi ang paghahanap ng mga sikretong Ruso sa ganitong paraan: ang kaguluhan ay naghahari sa .ru at .rf na mga domain, at ang mga pangalan ng maraming sistema ng armas ay parang botanikal (PP "Kiparis", self-propelled na baril "Acacia") o kahit na. hindi kapani-paniwala (TOS "Pinocchio").

Sa pamamagitan ng maingat na pagsusuri sa anumang dokumento mula sa isang site sa .mil na domain, maaari mong makita ang iba pang mga marker upang pinuhin ang iyong paghahanap. Halimbawa, isang sanggunian sa mga paghihigpit sa pag-export na "Sec 2751", na maginhawa ring maghanap ng kawili-wiling teknikal na impormasyon. Paminsan-minsan, ito ay inalis mula sa mga opisyal na site, kung saan ito minsan ay lumitaw, kaya kung hindi mo masundan ang isang kawili-wiling link sa mga resulta ng paghahanap, gamitin ang Google cache (cache operator) o ang Internet Archive website.

Umakyat kami sa mga ulap

Bilang karagdagan sa mga hindi sinasadyang na-declassify na mga dokumento mula sa mga departamento ng gobyerno, ang mga link sa mga personal na file mula sa Dropbox at iba pang mga serbisyo sa pag-iimbak ng data na lumilikha ng "pribado" na mga link sa pampublikong nai-publish na data ay paminsan-minsan ay lumalabas sa cache ng Google. Ito ay mas masahol pa sa mga alternatibo at self-made na serbisyo. Halimbawa, hinahanap ng sumusunod na query ang data ng lahat ng kliyente ng Verizon na may naka-install na FTP server at aktibong gumagamit ng router sa kanilang router.

Allinurl:ftp://verizon.net

Mayroon na ngayong higit sa apatnapung libong tulad ng matalinong mga tao, at sa tagsibol ng 2015 mayroong isang order ng magnitude na higit pa. Sa halip na Verizon.net, maaari mong palitan ang pangalan ng anumang kilalang provider, at kung mas sikat ito, mas malaki ang makukuha. Sa pamamagitan ng built-in na FTP server, maaari mong makita ang mga file sa isang panlabas na drive na konektado sa router. Kadalasan ito ay isang NAS para sa malayong trabaho, isang personal na ulap, o ilang uri ng pag-download ng peer-to-peer na file. Ang lahat ng nilalaman ng naturang media ay ini-index ng Google at iba pang mga search engine, upang ma-access mo ang mga file na nakaimbak sa mga panlabas na drive sa pamamagitan ng isang direktang link.

Sumilip ng mga config

Bago ang pakyawan na paglipat sa mga ulap, ang mga simpleng FTP server, na kulang din sa mga kahinaan, ay pinasiyahan bilang mga malalayong imbakan. Marami sa kanila ay may kaugnayan pa rin ngayon. Halimbawa, ang sikat na WS_FTP Professional program ay nag-iimbak ng data ng configuration, user account, at password sa ws_ftp.ini file. Madaling hanapin at basahin dahil ang lahat ng mga entry ay naka-imbak sa plain text at ang mga password ay naka-encrypt gamit ang Triple DES algorithm pagkatapos ng kaunting obfuscation. Sa karamihan ng mga bersyon, sapat na ang pag-discard sa unang byte.

Ang pag-decrypting ng mga naturang password ay madali gamit ang WS_FTP Password Decryptor utility o isang libreng serbisyo sa web.

Kapag pinag-uusapan ang tungkol sa pag-hack ng isang di-makatwirang site, kadalasan ay nangangahulugan sila ng pagkuha ng password mula sa mga log at pag-backup ng mga file ng configuration ng CMS o e-commerce na application. Kung alam mo ang kanilang karaniwang istraktura, madali mong maipahiwatig ang mga keyword. Ang mga linyang tulad ng matatagpuan sa ws_ftp.ini ay napakakaraniwan. Halimbawa, ang Drupal at PrestaShop ay palaging may user ID (UID) at isang kaukulang password (pwd), at lahat ng impormasyon ay nakaimbak sa mga file na may extension na .inc. Maaari mong hanapin ang mga ito tulad nito:

"pwd=" "UID=" ext:inc

Ibinubunyag namin ang mga password mula sa DBMS

Sa mga configuration file ng mga SQL server, ang mga user name at email address ay iniimbak sa malinaw na text, at sa halip na mga password, ang kanilang mga MD5 na hash ay naitala. Imposibleng i-decrypt ang mga ito, sa mahigpit na pagsasalita, ngunit makakahanap ka ng tugma sa mga kilalang pares ng hash-password.

Hanggang ngayon, may mga DBMS na hindi man lang gumagamit ng password hashing. Ang mga file ng pagsasaayos ng alinman sa mga ito ay maaaring tingnan lamang sa browser.

Intext:DB_PASSWORD filetype:env

Sa pagdating ng mga server ng Windows, ang lugar ng mga file ng pagsasaayos ay bahagyang kinuha ng pagpapatala. Maaari kang maghanap sa mga sangay nito sa eksaktong parehong paraan, gamit ang reg bilang uri ng file. Halimbawa, tulad nito:

Filetype:reg HKEY_CURRENT_USER "Password"=

Huwag Kalimutan ang Obvious

Minsan posibleng makarating sa classified na impormasyon sa tulong ng data na aksidenteng nabuksan at nahuli ng Google. Ang perpektong opsyon ay ang maghanap ng listahan ng mga password sa ilang karaniwang format. Ang mga desperado lang na tao ang makakapag-imbak ng impormasyon ng account sa isang text file, isang dokumento ng Word, o isang spreadsheet ng Excel, ngunit palaging may sapat na mga ito.

Uri ng file:xls inurl:password

Sa isang banda, maraming paraan para maiwasan ang mga ganitong insidente. Kinakailangang tukuyin ang sapat na mga karapatan sa pag-access sa htaccess, patch CMS, huwag gumamit ng mga kaliwang script at isara ang iba pang mga butas. Mayroon ding file na may listahan ng pagbubukod ng robots.txt, na nagbabawal sa mga search engine na i-index ang mga file at direktoryo na tinukoy dito. Sa kabilang banda, kung ang istruktura ng robots.txt sa ilang server ay naiiba sa karaniwang isa, pagkatapos ay magiging malinaw kaagad kung ano ang sinusubukan nilang itago dito.

Ang listahan ng mga direktoryo at mga file sa anumang site ay nauuna sa karaniwang inskripsiyong index ng. Dahil dapat itong lumitaw sa pamagat para sa mga layunin ng serbisyo, makatuwirang limitahan ang paghahanap nito sa intitle operator. Ang mga kawili-wiling bagay ay matatagpuan sa /admin/, /personal/, /etc/ at kahit na /secret/ na mga direktoryo.

Sundin ang mga update

Napakahalaga ng kaugnayan dito: ang mga lumang kahinaan ay sarado nang napakabagal, ngunit ang Google at ang mga resulta ng paghahanap nito ay patuloy na nagbabago. Mayroon pa ngang pagkakaiba sa pagitan ng filter na "huling segundo" (&tbs=qdr:s sa dulo ng url ng kahilingan) at ang filter na "real time" (&tbs=qdr:1).

Ang agwat ng oras ng huling petsa ng pag-update ng file mula sa Google ay tahasan ding ipinahiwatig. Sa pamamagitan ng graphical na web interface, maaari kang pumili ng isa sa mga karaniwang panahon (oras, araw, linggo, at iba pa) o magtakda ng hanay ng petsa, ngunit hindi angkop ang paraang ito para sa automation.

Mula sa hitsura ng address bar, maaari lamang hulaan ang tungkol sa isang paraan upang limitahan ang output ng mga resulta gamit ang &tbs=qdr: construct. Ang letrang y pagkatapos nitong tumukoy ng limitasyon ng isang taon (&tbs=qdr:y), m ay nagpapakita ng mga resulta para sa nakaraang buwan, w para sa linggo, d para sa nakaraang araw, h para sa huling oras, n para sa minuto, and s for the give me a sec. Ang mga pinakakamakailang resultang ipinaalam sa Google ay matatagpuan gamit ang &tbs=qdr:1 na filter.

Kung kailangan mong magsulat ng mapanlinlang na script, magiging kapaki-pakinabang na malaman na ang hanay ng petsa ay nakatakda sa Google sa Julian na format sa pamamagitan ng operator ng daterange. Halimbawa, ito ay kung paano mo mahahanap ang isang listahan ng mga PDF na dokumento na may salitang kumpidensyal na na-upload mula Enero 1 hanggang Hulyo 1, 2015.

Kumpidensyal na uri ng file:pdf hanay ng petsa:2457024-2457205

Tinukoy ang hanay sa format ng petsa ng Julian na walang mga decimal. Hindi maginhawang isalin ang mga ito nang manu-mano mula sa kalendaryong Gregorian. Mas madaling gumamit ng date converter.

Pag-target at pag-filter muli

Bilang karagdagan sa pagtukoy ng mga karagdagang operator sa query sa paghahanap, maaari silang direktang ipadala sa katawan ng link. Halimbawa, ang filetype:pdf trait ay tumutugma sa as_filetype=pdf construct. Kaya, ito ay maginhawa upang magtakda ng anumang mga paglilinaw. Sabihin nating ang output ng mga resulta lamang mula sa Republic of Honduras ay itinakda sa pamamagitan ng pagdaragdag ng construction cr=countryHN sa URL ng paghahanap, ngunit mula lamang sa lungsod ng Bobruisk - gcs=Bobruisk . Tingnan ang seksyon ng developer para sa kumpletong listahan ng .

Ang mga tool sa automation ng Google ay idinisenyo upang gawing mas madali ang buhay, ngunit kadalasang nagdaragdag sa abala. Halimbawa, ang lungsod ng gumagamit ay tinutukoy ng IP ng gumagamit sa pamamagitan ng WHOIS. Batay sa impormasyong ito, hindi lamang binabalanse ng Google ang pag-load sa pagitan ng mga server, ngunit binabago rin ang mga resulta ng paghahanap. Depende sa rehiyon, para sa parehong query, magkakaibang mga resulta ang mapupunta sa unang pahina, at ang ilan sa mga ito ay maaaring lumabas na ganap na nakatago. Maging tulad ng isang kosmopolitan at ang paghahanap ng impormasyon mula sa anumang bansa ay makakatulong sa dalawang titik na code nito pagkatapos ng direktiba gl=country . Halimbawa, ang code para sa Netherlands ay NL, habang ang Vatican at North Korea ay walang sariling code sa Google.

Kadalasan ay nagkakalat ang mga resulta ng paghahanap kahit na pagkatapos gumamit ng ilang mga advanced na filter. Sa kasong ito, madaling pinuhin ang query sa pamamagitan ng pagdaragdag ng ilang mga exception na salita dito (bawat isa sa kanila ay pinangungunahan ng minus sign). Halimbawa, ang pagbabangko , mga pangalan , at tutorial ay kadalasang ginagamit sa salitang Personal. Samakatuwid, ang mas malinis na mga resulta ng paghahanap ay hindi magpapakita ng isang textbook na halimbawa ng isang query, ngunit isang pino:

Intitle:"Index ng /Personal/" -mga pangalan -tutorial -banking

Huling Halimbawa

Ang isang sopistikadong hacker ay nakikilala sa pamamagitan ng katotohanan na binibigyan niya ang kanyang sarili ng lahat ng kailangan niya sa kanyang sarili. Halimbawa, ang isang VPN ay isang maginhawang bagay, ngunit mahal o pansamantala at may mga paghihigpit. Ang pag-sign up para sa iyong sarili ay masyadong mahal. Buti na lang may mga group subscription, at sa tulong ng Google madali lang maging bahagi ng isang grupo. Upang gawin ito, hanapin lamang ang Cisco VPN configuration file, na may medyo hindi karaniwang extension ng PCF at isang nakikilalang landas: Program Files\Cisco Systems\VPN Client\Profiles . Isang kahilingan, at sumali ka, halimbawa, ang magiliw na kawani ng Unibersidad ng Bonn.

Uri ng file:pcf vpn O Grupo

IMPORMASYON

Nakahanap ang Google ng mga configuration file na may mga password, ngunit marami sa mga ito ay naka-encrypt o pinapalitan ng mga hash. Kung makakita ka ng mga string na may nakapirming haba, pagkatapos ay maghanap kaagad ng serbisyo sa pag-decryption.

Ang mga password ay naka-imbak sa naka-encrypt na form, ngunit si Maurice Massard ay nagsulat na ng isang programa upang i-decrypt ang mga ito at ibinibigay ito nang libre sa pamamagitan ng thecampusgeeks.com.

Sa tulong ng Google, daan-daang iba't ibang uri ng pag-atake at pagsubok sa pagtagos ang ginagawa. Mayroong maraming mga pagpipilian, nakakaapekto sa mga sikat na programa, pangunahing mga format ng database, maraming mga kahinaan sa PHP, mga ulap, at iba pa. Ang pag-alam nang eksakto kung ano ang iyong hinahanap ay nagpapadali sa pagkuha ng impormasyong kailangan mo (lalo na ang impormasyong hindi mo nilayon na isapubliko). Hindi lamang Shodan ang nagpapakain ng mga kawili-wiling ideya, ngunit anumang database ng mga na-index na mapagkukunan ng network!