2017. 2. 23.

[웹 취약점] 구글 해킹 유용한 명령어

구글해킹의 가장 큰 목적은 정보수집이다. 악의적인 사용자가 취약한 불특정 다수의 홈페이지를 탐색할 때 이용 할 수 도 있겠고 필자와 같이 취약점 점검 인력이 점검하려는 사이트의 정보를 수집하려고 할때 이용 할 수도 있다. 구글링을 통해 다양한 정보를 수집하고 이러한 정보를 기반으로 타겟 취약점을 보다 쉽게 공략할 수 있다.

# 명령어 목록

1. intitle:문자열  // 제목에 '문자열'이 포함된 웹 페이지를 찾아서 보여준다. 주로 index of 등과 같이 사용되어 디렉토리 리스팅 취약점을 검색할 때 사용된다.

  • intitle:index of
    • 소스상에서 <title>index of / </title> 으로 되어 있는 페이지를 검색한다.
  • intitle:admin site:kr
    • 타이틀에 admin이 포함된 kr 사이트를 검색한다.
  • intitle / inurl:admin
  • intitle:관리자페이지 site:kr
2. inurl:문자열 // URL에 '문자열' 이 포함된 페이지를 찾는다. 주로 admin.asp 와 같이 관리자 페이지를 찾을 때 사용된다.
  • inurl:admin.asp
    • URL에 'admin.asp' 가 포함된 페이지를 찾는다.
  • inurl:/admin/login.asp
  • inurl:/adm/login.php
3. Filetype:파일타입 // 특정 확장자에 대한 검색, 중요 파일 획득 시 사용
  • Filetype:bak,xls
  • Filetype:xls intext:보안
    • '보안' 이라는 문자를 포함하고 있는 xls 파일 검색
  • Filetype:xls "패스워드"
    • '패스워드' 완전한 문구 포함

4. Site:특정 사이트  // 해당 사이트에 대한 검색
  • Site:test.co.kr
5. intext:문자열 // 본문에 특정 '문자열' 이 포함된 페이지를 찾을 때
  • intext:ID
    • 자신의 아이디 노출 여부를 확인 할 때 사용된다.
  • intext:휴대폰 번호
    • 자신의 휴대폰 번호 노출 여부를 확인 할 때 사용된다.
6. numrange: <최소숫자>-<최대숫자> // 주로 주민등록번호 노출 여부를 할 때 사용한다.
  • numrange:700101-791231 site:abc.go.kr  
    • abc.go.kr 사이트에서 70년대에 출생한 사람들의 주민등록번호 노출 여부를 검사하고자 할 때 사용
    • :(쌍따옴표)뒤에 띄어쓰기 없이 바로 숫자를 입력해야 한다.
7. link:페이지로의 링크를 찾는다.
  • link:i2sec.co.kr
8. info:사이트에 대한 요약 정보를 출력하며 사이트와 관련된 다른 구글 검색으로의 링크를 제공 (파라미터를 포함한 완벽한 URL 이나 HOST NAME을 입력하여야 올바른 결과를 얻을 수 있다.)
  • info:www.i2sec.co.kr
9. related:특정사이트와 관련되어 있다고 판단되는 사이트 검색
  • related:www.i2sec.co.kr
10. " " 완전한 문구 포함
  • "password file" filetype:txt
11. * 모든 단어 검색
  • sport[*]
12. or 
  • filetype:bak inurl:"asp|jsp|php|php3"
13. 검색 결과에서 제외
  • site:kr inurl:edu -intitle:seoul

# 용도에 따른 분류

1) 관리자 로그인 페이지 찾기

- site:kr intitle:관리자페이지
- site:kr inurl:admin.asp, inurl:/admin/login.asp, inurl:/adm/login.php, inurl:/manager/login.asp

2) 자신의 개인정보 노출 여부를 확인
- intext:ID
- intext:hp Number

3) bak, inc, txt, xls, hwp와 같은 주요 파일 찾기
- filetype:inc dbcon
- filetype:hwp intext:나의 장점은

# 해결 방안

:: robots.txt 를 통한인터넷 검색 엔진 배제 표준 적용
** robots.txt 파일 생성은 웹 콘텐츠 최상위 디렉터리(/) 에 위치하도록 한다.

# 참고
  • http://blog.naver.com/siren258/141387599
  • http://qerogram.tistory.com/entry/4-%EA%B5%AC%EA%B8%80%EB%A7%81%EA%B5%AC%EA%B8%80%ED%95%B4%ED%82%B9