구글 해킹
- 구글을 해킹하는 것이 아닌, 구글을 통해 해킹에 필요한 정보들을 찾아주는 과정
- 구글 검색을 잘 이용하여 원하는 정보를 쉽게 찾을 수 있는 능력이 해킹에서 아주 강력한 기술 능력
- 구글 검색 엔진은 검색할 때 특정 조건으로 필터링 할 수 있도록 검색 연산자가 있음
site.youtube.com
- 검색명 site.youtube.com 를 사용하면 검색명이 들어간 글을 포스팅한 티스토리 블로그만 검색
inurl:검색명
- inurl:academy 를 사용하면 url에academy가 들어간 url을 검색
link:url
- 티스토리 link:https://segfaulthub.com 등을 사용하여 링크 및 관련 하위 도메인도 검색 가능
- (크리덴셜 등 노출 가능)
- filetype:pdf (검색할 때 파일유형 검색 확인)
- 아래는 네이버 filetype:pdf를 이용하여 네이버와 관련된 PDF 파일들 검색
- "검색어"
- 검색하고 싶은 언어를 " " 사이에 넣으면 그 부분이 무조건 들어간 것만 출력
- * (검색 키워드 사이에 *사용) > 티스토리 * 종료
- 티스토리와 종료라는 단어 사이에 들어있는 모든 키워드 검색
구글 해킹 활용
- 특정 도메인의 사이트, 페이지들 검색
site:*.targetSystem.com
- 구글검색에서 *를 통해 targetSystem.com의 하위 도메인까지 모두 다 나옴
ex) 삭제되거나 예전에 사용하지 않아 관리가 되지 않는 사이트들이 나오고 그 부분은 매우취약함
- 타겟 도메인 중 특정 경로를 가지고 있는 페이지들 찾아낼 때
site:*.targetSystemc.om inurl:admin (관리자 페이지등을 찾기 위해)
- 특정 회사의 Amazon S3 버킷을 찾아낼 때
site:s3.amazonaws.com TagetName
- 타겟 도메인 사이트에서 text 파일 중 password 단어 검색
site:*.targetSystem.com ext:txt password
- LFI 취약점 사이트 검색 (site: 연산 추가)
inurl:/etc/passwd root:x:0:0:root:/root:/bin/bash
디렉토리 리스팅 취약점 검색 (site:연산 추가)
intitle:index of (index of가 들어가면 높은 확률로 디렉토리 리스팅)
GHDB (Google Hacking DB, https://www.exploit-db.com/google-hacking-database)
- 구글로 인하여 찾아 볼 수 있는 해킹 관련 검색 구문이 많음
결론
정보 수집과 수동 탐색을 먼저 포스팅 하려고 했는데 그 부분 보다는 사람들에게 더 도움 되는 것이 구글 해킹과 구글 해킹활용이라고 생각이 되어 이 부분을 포스팅했다. 구글검색 연산자의 활용법 및 키워드가 생각이 안난다면 GHDB(Google Hacking DB)를 즐겨찾기 해두고 해킹 관련 검색 구문을 찾아 보는 것도 좋을 것 같다. 해킹뿐만 아니랑 일상에서 검색할 때 도 많은 사람들이 잘 활용 했으면 좋겠다.
'정보보안 > 버그헌팅' 카테고리의 다른 글
| 사이버 킬 체인(Cyber Kill Chain), 사이버 공격의 단계와 방어 전략 (2) | 2024.07.03 |
|---|---|
| [버그헌팅] 취약점 공개 정책 (VDP) (0) | 2024.06.10 |
| [버그헌팅] 취약점 리스크 산정화 방법 (0) | 2024.06.10 |
| [버그헌팅] 윤리적 해킹 및 해커의 종류 (0) | 2024.06.05 |
| [버그헌팅] 버그헌팅 기초 및 버그바운티 (0) | 2024.06.04 |