پرده ي اول
اول از همه از دستوراتي شروع مي کنم که هم ساده ست هم خيلي قابلِ فهم و در عين حال ضروري براي داشتنِ يک search کامل.. اين موارد در موردِ هر نوع جستجو (در هر سايتي) قابلِ اجراست:
1- هميشه ترتيب اولويت رُ برين..!! خيلي از سايت ها به صورتِ هوشمند با توجه به واژه هاي Search شده و خلاصه تجربه ي کاري شون(!) يه سري فاکتورها رُ هم در نظر مي گيرن (که Secret هست و همين باعث برتري فلان موتور جستجوگر نسبت به اون يکي ميشه!) مثلاً شما اگه واژه ي YAHOO رُ جستجو کنين و گزينه ي انتخاب شانسي (I am feeling lucky) رُ بزنين؛ حتماً ميره تو سايتِ اصلي ياهو!!!
2- از دستورات استفاده کنين. چند تا از عمومي ترين دستورها رُ که تو اکثر موتورهاي جستجو قابلِ اجراست، مي نويسم:
" ، اين علامت واژه ي مورد نظر رُ مشخص مي کنه. مثلاً اگه شما کلمه ي ملکوت رُ search کنين تمامي نتيجه هاي ملکوتي، ملکوتيان و غيره هم در نظر گرفته ميشه درحالي که به Search "ملکوت" فقط واژه ي ملکوت search ميشه..
+ يا and ، مثلاً وقتي دنبالِ وبلاگِ من مي گردين، مي تونين "ملکوت" + "اِدنا" رُ search کنين و اون وقت نتيجه عبارت خواهد بود از همه ي صفحه هايي که در آنِ واحد هر دو تا واژه رُ داشته باشن (دو تا واژه يا بيشتر، هيچ کدوم از اين دستورات محدوديتي نداره!)
or ، نتيجه ي "ملکوت" or "کوت" تمامي صفحاتي رُ شامل ميشه که حداقل يکي از واژه هاي فوق توش به کار رفته باشه
- ، علامتِ منها (همون جمع و ضرب و تفريق..) هم صفحه اي رُ پيدا مي کنه که توش "موردِ اول" باشه اما "موردِ دوم" نباشه.. نمونه ي خيلي خوب اين دستور وقتي بود که دنبالِ داستانِ واقعي کشتي تايتانيک مي گشتم اما چون همه جا فقط از فيلم جيمز کامرون نوشته بودن search کردم "titanic" + "story" - "leonardo di caprio" - "kate winslet" و تقريباً نتيجه ي دقيقي بهم داد..
دستورِ ديگه link هست که نشون مي ده فلان لينک کجاها اومده (يا کيا بهتون لينک دادن؟) کافيه تايپ کنين: link: www.malakoot.blogspot.com البته واسه ي اين کار سايت هاي بهتري هم هست مثلِ اين. لازمه اضافه کنم که شما به جاي آدرس سايت مي تونين آدرس ايميل رُ هم چک کنين (و خيلي موقع ها از طريق نوشته هاي ثبت شده در فريوم ها يا نظرسنجي ها کلي اطلاعات به دست ميارين!)
بيکاري کامپوتر شما با ارزش تر از آن است که تلف شود!
آيا دوست داريد کامپيوتر خود را هنگامي که از آن استفاده نمي کنيد در اختيار محاسبات علمي پيشرفته قرار دهيد؟
Google Compute يکي از امکانات Google Toolbar مي باشد که کامپيوتر شما را قادر مي سازد در هنگام بيکاري به حل مسائل علمي پيچيده کمک نمايد. وقتي که شما Google Compute را فعال مي کنيد کامپيوتر شما قسمت کوچکي از يک پروژه تحقيقاتي بزرگ را دريافت کرده و محاسباتي را روي آن انجام مي دهد و سپس نتايج حاصل از اين محاسبات و محاسبات انجام شده توسط هزاران کامپيوتر ديگر که کار مشابهي را انجام مي دهند در کنار هم قرار مي گيرد. اين فرآيند به «محاسبه توزيع شده» (Distributed Computing) شناخته مي شود.
به گفته سايت Google اين فرآيند بر روي فعاليت عادي کامپيوتر شما تاثيري نخواهد گذاشت. جهت کسب اطلاعات بيشتر در اين زمينه و دريافت آن سايت گوگل و نيز FAQ مربوط به اين زمينه را مطالعه کنيد.
سيستم مورد نياز جهت Google Compute عبارتست از يک کامپيوتر با سيستم عامل Microsoft Windows 95/98/ME/NT/2000/XP با ۶۴ مگابايت رم و اينترنت اکسپلورر ۵ به بالا. (ازجرفا)
گوگل خيانتکار ! آيا گوگل دوست هکر هاست ؟ (قسمت اول)
+ مقدمه
+ نظريه استفاده از گوگل در هک کردن وب سايتها
+ اختيارات در گوگل
- Specific file types: *.xls, *.doc, *.pdf *.ps *.ppt *.rtf
- Inurl
- Index of
- Site
- Intitle
- Link
+ سخن آخر
- اطلاعات بيشتر
+ مقدمه
ميليونها سايت توسط رباتهاي جستجوگر گوگل هر روز و هر روز مورد جستجو قرار مي گيرند تا کار را براي
شما که به دنبال اطلاعات هستيد اسان تر کنند . اما در پس پرده اتفاقات جالبي تري نيز براي کاربراني
هم که دوست دارند پا را فراتر از استفاده هاي معمولي يک سرويس بگذارند مي افتد . بسياري از سرويس هاي
داخلي و خارجي مورد پويش هاي گوکل قرار گرفته و مي گيرند اما آيا گوگل مي تواند با پويش هاي خود امنيت
سايتها و اطلاعات خصوصي ميليونها WebSite و سازمان را به خطر بي اندازد ؟
اين سوالي است که اين روزها بيشتر از هر زماني با بزرگ تر شدن گوگل و اضافه شدن سايتهاي جديد فکر
مسولين امنيتي را به خود مشغول کرده .
اگر مي خواهيد ببينيد که چگونه گوگل مي تواند به ميليونها صفحه وب خيانت کند همراه ما باشيد :
هميشه سايتها و منابع جستجوي اينگونه گسترده قادرند به نفوذگران کمک کنند تا قرباني خود را پيدا کنند
خود من نيز در سال پيش توانسته بودم با استفاده از همين امکانات به ا طلاعات جالبي دست پيدا
کنم شما مي توانيد به دنبال کلمات کليدي بگرديدو چيزهاي جالب پيدا کنيد حتي برنامه هاي FileSharing نيز به
شما اين چنين امکاناتي را مي دهند چون در بعضي موارد کاربراني پيدا مي شوند که تمامي ديسک سخت خود
را به راحتي در اشتراک گذاشته اند (به عنوان مثال کاربران برنامه هايي مانند KaZZa) .
در سال 2001 James Middleton از VNUnet’s در مقاله اي اشاره مي کند که چگونه گروهي از هکرهاي با
استفاده از درخواستهاي Search در گوگل موفق به پياده کردن اطلاعات حساسي از يک بانک معتبر شدند :
يک نمونه از اين کارها مربوط به شخصي ميشود که در يکي از گروهاي خبري ادعا کرده بود که توانسته
با استفاده از در خواست 'Index of / +banques +filetype:xls' از گوگل به اطلاعات مهمي به صورت فايلهاي
گسترده Excel دست پيدا کند و قادر است با روشهاي پيشرفته تر به کلمات عبور (Password) نيز دست پيدا کند .
(اطلاعات مربوط به حسابهاي بانکي بودند)
در مقاله اي ديگر که در سايت wired.com اماده به سخنان هکري به نام Adrian Lamo مي پردازد که چگونه
توانسته با استفاده از جستجوي کلمات "Select a database to view"در گوگل به صفحات مديريتي برنامه اي از
گروه FileMaker که کار اداره کردن بانکهاي اطلاعاتي را دارد دست پيدا کند .
او همچنين اشاره مي کند که :
" گوگل مي تواند کارايي بيشتري در مقابل بسياري از ابزراها و برنامه هاي نفوذگري داشته باشد و ادامه مي دهد
آژير خطر در مورد اينگونه حملات به صدا در آمده است "
آن چيزي که روشن است اين است که نفوذگران بي تجربه مي توانند با گذاشتن وقتي در حدود دو دقيقه يک
سايت را با استفاده از گوگل به راحتي Deface کنند ! اين مشکل در مورد سايتهاي ايراني نيز به شدت به چشم
مي خورد و ممکن است سايتهاي ايراني شاهد افزايش حملاتي باشند که اميد است با بالا بردن سطح امنيتي
فايلهاي تحت وب خود قدمي ديگر در راه افزايش امنيت بردارند .
* اين سري مقالات تجربيات شخصي من از اين روش و همچنين ترجمه قسمتهايي از چند مقاله است .
+ نظريه استفاده از گوگل در هک کردن
اگر شما کمي بيشتر با گوگل کار کرده باشيد مي دانيد روشهايي براي جستجوي دقيقتر نيز وجود دارد تگهاي داخلي
گوگل که به شما امکان اين را مي دهند جستجوي خود را متمرکز تر کنيد . به عنوان مثال تگهايي که به شما اجازه
مي دهند فقط دامنه خاصي از وب سايتها را مورد جستجو قرار دهيد (به عنوان مثال استفاده از تگ Site:) .
در ادامه بايد به اين نکته اشاره شود که بسياري از مدارک اطلاعاتي مانند اخبار ، کلمات عبور ، مشخصات شخصي
افراد ، .... مي توانند به صورت بانکهاي اطلاعاتي (مانند :xls ) با فايلهاي نوشتاري ساده (مانند : TXT و DOC)
ذخيره شده باشند و رباتهاي جستجوگر گوگل نيز آدرس هاي URL انها را که نفوذگران از آن بي خبر مي باشند را
با استفاده از Search پيدا کنند . نکته ديگر که قابل ذکر است استفاده از برنامه هاي اماده تحت وب براي برپايي
انجمن يا ديگر امکانات است اين برنامه ها داراي صفحات مديريتي هستند که در بيشتر آنها کلماتي هميشه وجود
دارند مثل نام شرکت توليدي يا نوشته اي خاص مانند : ASP Forum Modereator وجود چنين صفحاتي بدون در نظر
گرفتن مسائل امنيتي درخواست User و Password مي تواند به نفوذگران کمک کند تا با جستجو خود به آدرس اين
صفحات دست پيدا کنند . آن چيزي که من در اين چند روز در کار با Google متوجه شدم وجود صفحات امارهاي وب
سايت است فراموش نکنيد در امار وب سايتهاي بزرگ هميشه URL هايي پيدا مي شوند که ممکن است بسيار
خطر ساز باشند مانند URL يک صفحه پست Asp که به مديران امکان پست اخبار جديد بر روي سايت را مي دهد .
در چند شب اخير در حالي که درحال جستجوي کلماتي خاص بودم ناگهان به يکي از زير شاخهاي سايت NASA
رسيدم که مي توانستم امار ترافيک شبکه را به راحتي ببينم و به ادرس هاي جديدي نيز دسترسي پيدا کنم شما
هم مي توانيد به اينجا سري بزنيد .
در هر حال ان چيزي که به شما يا نفوذگران کمک مي کند تا به چيزهايي که نبايد اجازه دسترسي به آنها را داشته
باشيد دست پيدا کنيد تنها يک چيز است فکري خلاق و مشتاق اين نکته اي است که هکر ها را از کاربران معمولي
جدا ميکند.
+ اختيارات در گوگل
- Specific file types: *.xls, *.doc, *.pdf *.ps *.ppt *.rtf
گوگل به شما اجازه مي دهد همانطور که به دنبال بسياري از فايلهاي HTML و وب مي گرديد يک نوع فايل خاص را
جستجو کنيد به عنوان مثال مي توانيد به روش زير عمل کنيد :
Filetype:xls filetype:doc
البته گوگل به شما اجازه جستجوي فايلهايي مانند MDB و يا DB را به اين راحتي نميدهد اما شما مي توانيد به دنبال
فايلهايي از نوع Dat يا pwd و CFG باشيد و به نتايج جالبي نيز دست پيدا خواهيد کرد .
- Inurl
يکي ديگر از اين اختيارات اين است که شما مي توانيد به دنبال کلماتي خاص در يک URL بگرديد همين يه شما کمک
ميکند تا به Folder هاي مورد نظر دست پيدا کنيد اين دستور مي تواند با “index of” نيز ترکيب شود .
به عنوا مثال استفاده از دستور inurl:admin به شما تمامي ادرسهايي را نشان مي دهد که در URL انها از کلمه
Admin استفاده شده است.
- Index of
شما مي توانيد با استفاده از اين درخواست به Directory (شاخه هاي) باز يک Web Server دست پيدا کنيد و از
فايلهاي درون آن ليست بگيريد . به عنوا مثال :
index of admin يا index.of.admin
به شما تمام پوشه هاي باز ي را نشان مي دهد که مربوط به شاخه Admin مي باشند . البته اين Option توسط
سازندگان گوگل به وجود نيامده است اما در حال حاظر مي توان از آن به عنوان يک ابزار استفاده کرد .
- Site
با استفاده از Site مي توانيد تنها يم سايت خاص يا قسمت خاصي از دامنه ها را (Domain) مورد بررسي قرار رهيد
به عنوان مثال :
site:edu ---------> بررسي تمام وب سايتها که دامنه آنها به edu ختم مي شوند (سايتهاي دانشگاهي)
Site:www.aud.com --------> تنها بررسي سايت دانشگاه AUD
- Intitle
Intitle به شما اجازه مي دهد که در موضوع صفحات به جستجو بپردازيد بيشتر صفحات مديريتي ممکن است داراي
موضوعاتي مانند مدير و مديريتي باشند (moderator و Admin ) .
- Link
Link گزينه ديگر است که به شما امکان اين را مي دهد که ببينيد چه سايتهايي به يک سايت خاص لينک داده اند .
اين گزينه هم مي تواند خطرناک باشد و شما بتوانيد سايتهاي مديريت Domain ان سايت را پيدا کنيد . در بيشتر
موارد اين صفحات مديريتي لينکي هم به خانه دارند که همان ادرس سايت اصلي مي باشد .
+ سخن آخر
در اين مقاله تنها به قسمتهايي از کارکرد گوگل و استفاده از آن براي حملات اشاره شد . در مقالات بعد سعي ميشود
تا در صورت امکان به بررسي مثالهايي از مشکلات امنيتي در سايتهاي ايراني با ترکيب همين فرمان ها اشاره کنيم و
همچنين چگونگي افزايش امنيت با چند راه حل ساده براي مديران وب سايتها .
نويسنده : Black_Hat
تاريخ:4:08 PM 6/19/2003
- اطلاعات بيشتر
1. Google not 'hackers' best friend',James Middleton, VNUnet.com, 2001
http://www.vnunet.com/News/1127162
2. Google: Net Hacker Tool du Jour, Christopher Null, wired.com, 2003
http://www.wired.com/news/infostructure/0,1377,57897,00.html
Google: A Hacker's Best Friend 2003 .3
http://neworder.box.sk/newsread.php?newsid=8203
پايان قسمت اول(ازblack hat)
امکاناتِ ديگر گوگل:
قدرتمندترين موتور جستجوي اينترنت اعلام نمود كه يك ماشين حساب رياضي را به امكانات سرويس جستجوي خود افزوده است كه به كاربران اين امكان را مي دهد تا مسائل رياضي خود رامستقيماً در قسمت جستجوي گوگل وارد نمايند و سريعاً جواب آن را از گوگل بگيرند. ماشين حساب گوگل طوري طراحي شده است كه علاوه بر اعداد، كلمات را نيز تشخيص مي دهد در نتيجه كاربر مي تواند به جاي نوشتن۸+7-4 عبارات ٍٍEight plus seven minus four يا ۸ plus7minus4 را وارد كادر جستجوي گوگل نمايد و در هر ۳ حالت جواب ۱۱ را بگيرد.
كاربر مي تواند عبارت رياضي خود را در كادر جستجوي گوگل در سايت اين موتور جستجو وارد كند و يا چنانچه از نوار ابزار گوگل استفاده مي كند آن را مستقيماً در مرورگر خود بنويسد و اگر از مرورگري استفاده مي كند كه نظير Mozilla يا Safari اپل موتور جستجوي داخل آن بر پايه گوگل مي باشد مسئله رياضي خود را در همان مرورگر از گوگل بپرسد.
پس از جستجوي جواب مسئله طرح شده، گوگل علاوه بر نمايش جواب مسئله اقدام به ارائه لينكي مي كند كه چنانچه كاربر قصد جستجو را داشته و هدفش طرح سؤال رياضي نبوده باشد بتواند از طريق آ ن جوا ب هاي جستجوي خود را بگيرد.
ماشين حساب گوگل علاوه بر انجام عمليات رياضي به مكالمات كاربر نيز پاسخ مي دهد. شايد يك آشپز بخواهد بداند كه يك چهارم فنجان چند قاشق چاي خوري است كه با وارد كردن عبارت Quarter cup in teaspoons جواب مي گيرد كه ۱ quarter US cup=12 US teaspoons يا هر يك چهارم فنجان در آمريكا برابر۱۲ قاشق چاي خوري آمريكايي است!
چنانچه نياز باشد تبديل واحدي صورت گيرد مثلاً يك مهندس بخواهد بداند ۱۵ ميليمتر چند اينچ است كافي است مسئله خود را براي گوگل چنين بازگو كند ۱۵mm in inches كه جواب مي گيرد:.15 millimeters = 0.59055 inches
ماشين حساب گوگل پا را از اين فراتر گذاشته و از رياضيات بيرون مي رود و برخي مسائل فيزيك را نيز پاسخ مي دهد و ثابت هاي فيزيكي چون جرم زمين (Mass of earth) شتاب جاذبه (G) و يا سرعت نور (Speed of light) را نيز مي شناسد.
به عنوان نمونه چنانچه كاربر بخواهد سرعت نور را بر مبناي واحد ميليمتر در ثانيه بداند با جستجوي عبارت Speed of light in mm/s پاسخ خود را كه حدود ۳۰۰ ميليارد است را دريافت مي كند(از بازار رضا و همشهري)
پ.ن. من اين مطلب رُ واسه معرفي سايتِ گوگل مي خواستم بنويسم که ديدم خيلي هاش نوشته شده هست و کپي کردم. مي مونه چند تا نکته ي ديگه که مختصر مي گم:
معرفي کردنِ وبلاگ يا سايت تون به گوگل (البته خودش مي گه تضمين نمي کنه به ليست اضافه شين، اما دير يا زود اضافه مي شين!)
toolbar فارسي گوگل؛ شايد همه تون toolbar مالِ yahoo search رُ حداقل يک بار ديده باشين.. اين هم مشابه همونه اما فارسي!
امکانِ ديگه؛ سرويس search فارسي بود (اگه اشتباه نکنم؛ گوگل اولين سايتي بود که اينو عرضه کرد). يعني بعد از اون ويژه برنامه ي شبکه ي 4 (فکر کنم 3 سال پيش.. نوروز 80.. دقيقاً يادم نيست؛ يکي از رئيسانِ(؟) گوگل يه فردِ ايرونيه، نوروز 80 (؟) مياد ايران و خلاصه کلي حرف و حديث.. ثمره ش هم مي شه يک مصاحبه واسه شبکه ي 4 و روزنامه ها + امکانِ جستجوي فارسي و ساپورتِ encoding و toolbar فارسي و غيره..
جالب تر از همه اين بود که امروز شنيدم يکي به جاي /googel/ مي گفت /googleh/ !! کلي خنديدم :))