描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787302476528丛书名: 网络空间安全前沿技术丛书
Google是当前*流行的搜索引擎,但Google的搜索能力是如此之大,以至于有人会搜索到没打算在网上公开的内容,包括社会保险号码、*号、商业秘密和政府机密文件。本书向您展示专业安全人员和系统管理员如何利用Google来查找此类敏感信息,并对自己的企业进行“自我警戒”。
通过本书你将学习到google地图和google地球如何提供军用级的高精度,看看入侵者是如何利用google来打造超蠕虫,看他们如何将谷歌与Facebook,LinkedIn混合在一起进行无源侦察。
本书包含了所有新的黑客攻击方法,诸如google脚本,还有如何把google与其他搜索引擎和API一起使用进行黑客攻击。本书作者还将向你提供所有需要进行极限开源侦察和渗透测试的工具。
网络渗透性测试对于大多数普通用户来说都显得过于专业和复杂。网络安全和个人隐私信息的防护不单是IT系统管理员的职责,它与每个个人用户都息息相关。本书从普通用户上网使用*为频繁的搜索引擎入手,向大家展示如何在网络中保护个人信息。
本书的原作者都是专业黑客和网络安全研究者,译者长期从事电信云计算平台的研发工作,是*先同时通过CCIE和HCIE认证的网络专家之一。
本书从普通用户上网使用*为频繁的搜索引擎入手,向大家展示如何在网络中保护个人信息。本书包含了所有新的黑客攻击方法,诸如google脚本,还有如何把google与其他搜索引擎和API一起使用进行黑客攻击。
·
目录
第1章Google搜索基础
摘要
关键词
介绍
探索Google的Web界面
总结
要点速查
第2章高级运算符
摘要
关键词
介绍
运算符语法
语法排错
引入Google的高级运算符
INTITLE和ALLINTITLE:在页面标题中搜索
ALLINTEXT:在页面文本中查找字符串
INURL和ALLINURL: 在一个URL中查找文本
SITE: 把搜索精确到特定的网站
FILETYPE: 搜索特定类型的文件
LINK: 搜索一个网页的链接
INANCHOR: 在链接文本中寻找文本
CACHE: 显示页面缓存版本
NUMRANGE: 搜索一个数字
DATERANGE: 搜索在特定日期范围内发布的页面
INFO: 显示Google的总结信息
RELATED: 显示相关站点
STOCKS: 搜索股票信息
DEFINE: 显示一个术语的定义
运算符的冲突和失败的搜索(bad searchfu)
总结
要点速查
网站链接
第3章Google Hacking基础
摘要
关键词
介绍
缓存访问的匿名性
目录列表
查找目录列表
查找特定的目录
查找特定的文件
服务器版本
与众不同:
遍历技术
总结
要点速查
第4章文档细分和数据挖掘
摘要
关键词
介绍
配置文件
查找文件
日志文件
Office文档
数据库挖掘
登录入口
支持文件
错误消息
数据库转储
真实的数据库文件
自动细化
总结
要点速查
第5章Google在一个信息收集框架中的身影
摘要
关键词
介绍
自动化搜索的原理
原始搜索项
扩展搜索项
使用“特别的”运算符
从数据源中获取数据
自行挖掘:
请求和接收响应
自行挖掘:
解析结果
使用其他搜索引擎
解析数据
后期处理
收集搜索项
总结
第6章查找漏洞寻找目标
摘要
关键词
介绍
查找漏洞代码
查找公开的漏洞网站
利用常见代码字符串查找漏洞
查找易受攻击的目标
总结
第7章10个简单有效的安全搜索
摘要
关键词
介绍
site
intitle:index.of
error|warning
login|logon
username|userid|employee.ID “your username is”
password|passcode|”your password
is”
admin|administrator
ext:htmlext:htmext:shtmlext:aspext:php
inurl:temp inurl:tmp inurl:backup inurl:bak
intranet|help.desk
总结
第8章追踪Web服务器、登录入口和网络硬件
摘要
关键词
介绍
查找和分析Web服务器
查找登录入口
使用和查找各种Web工具
定位开启Web的网络设备
查找网络报告
查找网络硬件
总结
第9章用户名、密码和其他秘密信息
摘要
关键词
介绍
搜索用户名
搜索密码
搜索信用卡号码、社会保险号码以及更多
社会保险号码
个人财务数据
搜索其他有用的数据
总结
第10章入侵Google服务
摘要
关键词
日历
Google快讯
Google Coop
Google自定义搜索引擎
第11章入侵Google案例
摘要
关键词
介绍
极客
公开的网络设备
公开的应用程序
摄像头
电信设备
电源
敏感信息
总结
第12章保护自己免遭Google骇客攻击
摘要
关键词
介绍
一个优质可靠的安全策略
Web服务器安全防护
软件默认设置和程序
入侵你自己的网站
Wikto
Advanced dork
从Google获得帮助
总结
要点速查
网站链接
主题索引
·
·
译者序
若干年前,我第一次利用装有Codenomicon Defensics的Kali Linux测试平台对公司的产品进行渗透性测试,从此开启了我职业信息安全从业者的生涯。当我第一次发现了产品漏洞并提交给系统工程师后,出于好奇心,我多问了自己一个“为什么?”。通过学习相关IP协议以及产品架构,我先于产品开发的码农兄弟们发现了系统漏洞的位置以及成因,这让我获得了自信,也体会到了这项工作的乐趣。特别是当我发现,作为各安全论坛中小白进阶必备技能的WiFi密码破解法也能让我来点澎湃,要是能重来,我会早选网安。
初入信息安全领域你会发现有大量的工具可以扩充你的军械库,特别是当你装完Kali Linux,发现系统已经很贴心地预装了很多骇客软件,让你瞬间感觉屠龙宝刀如此易得,在江湖上一番血雨腥风之后,武林盟主的位子也近在咫尺,从此将走上迎娶白富美的人生之巅。但IT领域通常有个定律,免费的东西既是诱惑也是陷阱。所谓诱惑,你会成为一个发现满地是玩具的小男孩,玩具琳琅满目,各有精巧之处,总能发现更好的,却总也找不到一件最趁手的。所谓陷阱,你会陷于各种奇技淫巧,会用各种工具去实现一些零碎的小功能而忽略了对知识体系本身的理解和钻研,炫技多于实干,浮夸多于务实。
每个行走江湖的大侠都有自己的独门兵器,于杨过就是玄铁重剑,于李寻欢就是小李飞刀,所谓一招鲜吃遍天。在信息安全领域也有这么一柄使用门槛极低却又威力无穷的“倚天剑”——Google。它那简洁的搜索入口,会让你深刻体会到,大道应该至简,知易行也不难。如果你是小白,可以搜索“信息安全从入门到精通”;
如果你是电商系统管理员,可以搜索“如何从数据库转储中找到用户名和密码”;
如果你是信息安全爱好者,可以搜索“如何使用Google创建超级蠕虫”。林林总总只有你想不到没有你找不到,总有一款适合你。当然这些都只是Google的初级玩法,为了发挥这柄利剑在情报搜集领域中的真正威力和潜能,作者在书中介绍了Google专用的搜索语言及其语法。使用了这门专用语言,你的思想会与Google开发者更加契合,你的搜索会更加高效与精准。比如,用Goolge搜索book,你会得到数以亿计的结果。面对如此浩如烟海的网络世界,一种无力感顿时涌上心头。但如果你这样搜: intitle:book,inurl:book,allintext:book,site:book,link:book,inanchor:book,cache:book,info:book,related:book,stocks:book,define:book (具体含义详见本书,哈哈!)Google就会更懂你,能给出更精确的结果。如果还不过瘾,利用脚本实现的自动化搜索,信息分类、检索,网络抓取等更劲爆的功能还在等着你。除了搜集信息,Google还能为你提供开源工具的绝大多数功能。当然还有数不清的解决方案,在线讨论、代码模块、漏洞报告,它简直就是你居家生活、养生保健的必备良药。如果你刚开始对使用Google搜索语言还不自信,或者还无法准确地用它表达出自己的搜索意图,没关系,广大热情的网友还自发地维护着一个叫GHDB的数据库,你可以从中“借鉴”到很多有效的已被优化的最新的搜索语句。原来一个搜索引擎在信息安全领域也能如此高端!
为了让本书更接地气,译者把绝大多数搜索都在“仅限搜索简体中文结果”的条件下重新执行,并且用新结果截图替换了书中原图。也改正了书中一些明显的错误,对不符合中文语言习惯的案例也进行了重新“演绎”。力求使各位读者不会因为文化差异而对书中内容产生误解。
在此特别感谢Elsevier的中方版本经理孙偲小姐的推荐和沟通协调。特别感谢清华大学出版社电子信息事业部梁颖主任的热心帮助和专业指导。一向自诩为半个文青的我,在本书责任编辑梁主任的专业水准面前,自信心瞬间被碾压成一地玻璃渣。也要感谢柴文强和徐俊伟两位编辑的中肯建议和细心校对。最后要感谢我的爱人杨芳女士。她是本书的首位读者,也是我的首席错别字校准官,可以想见让整天沉浸在与《琅琊榜》宗主爱恨情仇纠缠中的她,来看这本书会让她多么的无助与无奈。有很多次,她正一边听着网络主播们喊麦,一边享受着清空网络购物车的快感,却会被我强行要求检查几段译文。
这是一个让我充满激情与快乐的领域,我想我应该会一直走下去。除了本书,本人还有几本关于大数据、无线、终端、云计算等方向的信息安全译著将陆续出版。随着接触到的信息安全理论和案例越来越多,我的脑海中不断浮现出留学时曾做过的一个小项目。当年ABB为了提高流水线上机械臂的响应速度,根据那些机器人特定的计算方式,让我们在FPGA上为其定制了一个硬件加速器。在即将到来的IOT社会,在各种移动设备已逐渐衍化成人类体外器官的时代,
使用现场可编程硬件,在不断变化的应用场景中、在网络的边缘对数据进行快速加解密或对其他重度计算进行加速,然后通过SDN 快速给数据在局域网、公网、公有云和私有云中建立设备间、组织间、区域间、大洲间的路由转发通道,去嫁接各种服务并对其进行测试和应用,同时利用SDN的便利以及FPGA的特性对数据流进行识别、监测、筛选、分发来实现更高效更精准的入侵检测和安全防御,等等,这些都应该是未来万物互联世界中很有趣的事情吧。
此书译完的时候,正值媒体爆料“有关部门破获50亿条公民信息泄露大案”。见此标题,不出意外你我都该是本案的受害者吧……
沈卢斌
2017年7月
于上海
摘要本章涵盖了自动化搜索、数据挖掘和收集有用的搜索项。 关键词自动化搜索数据挖掘收集搜索项
介绍这世间进行入侵的理由各有不同。我们中的大多数听到骇客的时候,都会想到计算机和网络安全。骇客其实是一种精神状态和思维方式而非一种物理属性。人们为什么喜欢非法入侵?有不少的动机,但一个特别的原因就是希望能知道街上普通人不知道的东西。大多数其他的动机都可由此衍生而来。知识就是力量,大家都急迫地想去看看别人正在干什么而不被发现。要理解对知识的渴望是进行入侵的核心理由,考虑一下Google,一部大规模分布式超级电脑,能够访问所有已知信息和拥有颇具欺骗性的简单用户界面,时刻准备着在分秒之间回答任何的查询。Goolge简直就是为骇客们而生的。本书第一版和第二版曝光了很多技术,骇客(或称为渗透性测试者)可能用这些技术来获得在常规安全评估(例如,查找网络、域名、email地址等)中能帮助他/她的信息。在这样的传统安全测试中,其目的通常总是通过破坏安全措施来访问受限信息。然而,这些信息完全可以通过把相关的信息碎片聚集到一起来组成一张更大的图来获得。当然,这并非对所有信息都有效。我在Google上找到超级机密又被双倍加密文档的机率是极其小的,但你可以确信无疑的是获得它的方法最终将包含大量从类似Goolge这样的公共资源获得的信息。如果你正在阅读本书,你有可能已经对信息挖掘感兴趣,以有趣的方式使用搜索引擎来获得最多信息。我希望在这一章里展示如何用有趣而又聪明的方法来干这些事。 自动化搜索的原理计算机能帮助单调乏味的任务实现自动化。聪明的自动化能实现一千个不同的人同时工作也完不成的工作。但是,如果一项工作无法手工完成,那它是无法被自动化的。如果你想写个程序来执行一些工作,你需要亲手完成整个过程,并且该过程每次都能工作。自动化一个有缺陷的过程是没有意义的。一旦手动过程被消化掉,就能用算法来把这个过程翻译成计算机程序。让我们看一个例子。有用户想找出哪些Web站点含有email地址[email protected]。作为开始,该用户打开了Google并在对话框里输入了这个email地址。其结果如图5.1所示。
评论
还没有评论。