b. Sử dụng [allintitle: "index of /admin”] (không có ngoặc vuông) sẽ liệt kê các liên kết đến các website cho phép duyệt chỉ mục các thư mục giới hạn như “admin” qua giao diện web. Hầu hết các ứng dụng web đôi khi sử dụng tên như “admin” để lưu quyền admin trong đó. Thư mục này đôi khi bao hàm các thông tin nhạy cảm mà có thể dễ dàng tìm được qua các yêu cầu Web đơn giản. Những tìm kiếm tương tự dùng “intitle:” hoặc “allintitle:” kết hợp với các cú pháp khác intitle:"Index of" .sh_history intitle:"Index of" .bash_history intitle:"index of" passwd intitle:"index of" people.lst intitle:"index of" pwd.db intitle:"index of" etc/shadow intitle:"index of" spwd intitle:"index of" master.passwd intitle:"index of" htpasswd intitle:"index of" members OR accounts intitle:"index of" user_carts OR user_cart allintitle: sensitive filetype:doc allintitle: restricted filetype :mail allintitle: restricted filetype:doc site:gov Những truy vấn tìm kiếm thú vị khác Để tìm những site dễ bị tấn công bằng phương pháp Cross-Sites Scripting (XSS): allinurl:/scripts/cart32.exe allinurl:/CuteNews/show_archives.php allinurl:/phpinfo.php Để tìm những site dễ bị tấn công bằng phương pháp SQL Injection: allinurl:/privmsg.php allinurl:/privmsg.php Bảo mật các server hoặc site khỏi sự tấn công của Google Dưới đây là những phương pháp bảo mật mà các quản trị viên và các chuyên gia bảo mật phải đưa vào tài khoản để bảo mật những thông tin then chốt khỏi rơi vào không đúng chỗ: - Cài những bản vá bảo mật mới nhất cho các ứng dụng cũng như hệ điều hành chạy trên máy chủ. - Đừng để những thông tin nhạy cảm và then chốt trên máy chủ mà không có hệ thống xác nhận hợp lệ mà có thể bị truy cập trực tiếp bởi bất kỳ ai trên internet. - Không cho phép duyệt thư mục trên webserver. Duyệt thư mục chỉ nên được cho phép với các thư mục web bạn muốn cho bất kỳ ai trên internet truy cập. - Nếu bạn tìm thấy bất kỳ liên kết nào đến server hoặc site giới hạn của bạn trong kết quả của Google search thì nó phải được xóa đi. Vào liên kết sau để biết thêm chi tiết: http://www.google.com/remove.html - Không cho phép truy cập dấu tên vào webserver qua internet vào các thư mục hệ thống giới hạn. - Cài các công cụ lọc như URLScan cho các máy chủ chạy IIS như là webserver. Kết luận Đôi khi tăng sự phức tạp trong hệ thống tạo ra những sự cố mới. Google trở lên phức tạp hơn có thể được sử dụng bởi bất kỳ anh Tom, anh Dick & Harry nào đó trên internet để đào bới những thông tin nhạy cảm mà thông thường không thể nhìn thấy hoặc với đến bởi bất kỳ ai. Người ta không thể ngăn cản ai đó ngừng tạo ra những giả mạo vì vậy những lựa chọn duy nhất còn lại cho những chuyên gia bảo mật và quản trị hệ thống là bảo vệ hệ thống của họ và làm khó khăn hơn từ sự xâm hại không mong muốn. Về tác giả Không có nhiều điều để tôi có thể nói về chính tôi. Nói một cách ngắn gọn, Tôi dành hầu hết thời gian để nghiên cứu về sự dễ bị tấn công, một tách càfê và internet. Đó là tất cả về tôi. Để biết thêm về tôi xin mời vào www.hackingspirits.com D ebasis Mohanty www.hackingspirits.com Email: debasis_mty@yahoo.com Bạn có thể thấy tôi tại: http://groups.yahoo.com/group/Ring-of-Fire Nhận xét và góp ý xin gửi cho debasis_mty@yahoo.com. Dịch bởi freewarez@ddth.com TÌM KIẾM HIỆU QUẢ VỚI GOOGLE Chắc chúng ta cũng đã từng nghe nhắc đến google hoặc có thể bạn đã từng làm việc với google .Google là một search engine (tạm dịch là cơ chế tìm kiếm) rất mạnh . Với Google,bạn có thể tìm được hầu hết những thứ bạn cần . "©2005 Google - Searching 6,083,324,652 web pages" as of Sunday, February 16, 2003”,hơn 6 tỷ trang web đã được Google viếng thăm,một con số đáng quan tâm đúng không ? Google được xem như máy chủ tìm kiếm lớn nhất và hiệu quả nhất hiện nay,nếu làm chủ được Google thì quả thật là tuyệt vời .Thay vì đãi cát tìm vàng giữa hàng tấn thông tin trên iNet,bạn chỉ tốn vài phút là có thể tìm được tất cả những gì bạn thích trong khi đó nếu không có Google,bạn sẽ tốn hàng ngày,thậm chí cả tuần để làm công việc nhàm chán này . 1.Google căn bản : Để sử dụng Google,máy tính của bạn chỉ cần một trình duyệt căn bản (Internet Explorer,Netscape,…) và một kết nối Internet .Hãy gõ vào thanh Address dòng www.google.com.vn và bắt đầu khám phá . Đầu tiên bạn xác định từ khóa của thông tin muốn tìm kiếm,đây là một bước rất quan trọng,từ khóa thể hiện chủ đề của nguồn thông tin .Một điều cần chú ý đó là đôi khi kết quả trả về quá nhiều ,bạn chỉ cần quan tâm đến 20-30 results đầu tiên thôi . Mặc định google có chứa tóan tử “AND”,nghĩa là nếu bạn không thay đổi từ khóa thì google sẽ tìm kiếm và đánh đấu tất cả những trang chứa từ khóa sau đó trả về trang kết quả . Ví dụ : nhập chuỗi Java ebook ,trang kết quả sẽ trả về tất cả những trang chứa chuỗi Java và ebook ,ví dụ như “java programming ebook” hay “Java certificate ebook”,nghĩa là tất cả những trang chứa đồng thời chữ Java và ebook . Thế nhưng bây giờ yêu cầu của bạn có thay đổi một chút,bạn muốn kết quả trả về chứa một trong hai từ khóa Java hoặc ebook ? Rất may là Google có tóan tử OR ,bạn nhập và form dòng Java OR ebook ,google sẽ tìm kiếm tất cả những trang chứa một trong hai ký tự trong chuỗi từ khóa thôi . Trở về với ví dụ đầu tiên .Giả sử như tôi muốn tìm tất cả những trang chứa cả hai ký tự Java ebook liên tục nhau thì sao nhỉ . Đơn giản là bạn sử dụng dấu “+” : nhập chuỗi Java+ebook và form tìm kiếm,thế là xong . Tip : để kết quả thật sự chính xác,bạn nên dùng dấu “ “ quanh từ khóa,ví dụ “ebook java”,đây là một cách tìm kiếm rất hiệu quả,bạn có thể dễ dàng “khống chế” được độ chính xác của kết quả trả về . 2.Tìm kiếm nâng cao : Intitle : tìm kiếm dựa theo titles của trang web .Trở về với ví dụ trước ,tôi muốn kiếm một ít sách về java ,tôi gõ vào google dòng intitle:“Java ebook” ,kết quả sẽ khả quan hơn bước trên rất nhiều .Nên lưu ý rằng titles luôn phản ánh nội dung của trang web .Vì vậy search với function title sẽ hiệu quả hơn rất nhiều so với cách search keyword đơn giản .Theo mặc định google sẽ đánh giá nội dung trang web,do đó nếu tìm theo titles thông tin sẽ không cô đọng hơn . Inurl : hạn chế kết quả tìm kiếm trong urls . Ví dụ bạn nhập dòng inurl:java world thì kết quả trả về là www.javaworld.com .Đây là một function bạn nên dùng nếu bạn nhớ “mang máng” một url nào đó và muốn tìm lại . Inanchor : tìm kiếm dựa vào phần text chứa liên kết .Vdu bạn nhập vào inanchor : O'Reilly and Associates thì kết quả sẽ tham chiếu đến <a href="http://www.oreilly.com>O'Reilly and Associates</a> Filetype : tìm kiếm theo tên mở rộng file, ở ví dụ đầu tiên tôi muốn tìm kiếm một vài ebook java .Bây giờ để hiệu quả hơn tôi sẽ chỉ ra phần mở rộng của tập tin .Nhập vào google chuỗi sau : Java ebook filetype:chm (chm là chuẩn file help của microsoft và thường được dùng để làm ebook do tính tiện lợi của nó) hoặc java ebook filetype:pdf (pdf là chuẩn file của ebook cũng được dùng làm ebook) .Nice,tôi đã có được thứ cần tìm rồi đó . Cache : xem thông tin của trang web chứa trong cache của google .Đây là một tính năng rất hay của google,mặc dù trang web bạn muốn xem không còn hiện hữu trên Internet nữa nhưng google vẫn lưu lại rất nhiều thông tin bên trong cache .Biết đâu bạn có thể tìm được nhiều thông tin cần thiết bằng cách này thì sao ? cache:www.yahoo.com Trên đây là một số function hay dùng của googles,google còn có một số function . Google,bạn có thể tìm được hầu hết những thứ bạn cần . "© 200 5 Google - Searching 6 ,08 3,324,652 web pages" as of Sunday, February 16 , 200 3”,hơn 6 tỷ trang web đã được Google viếng thăm,một con. thông tin .Một điều cần chú ý đó là đôi khi kết quả trả về quá nhiều ,bạn chỉ cần quan tâm đến 2 0- 3 0 results đầu tiên thôi . Mặc định google có chứa tóan tử “AND”,nghĩa là nếu bạn không thay. chi tiết: http://www.google.com/remove.html - Không cho phép truy cập dấu tên vào webserver qua internet vào các thư mục hệ thống giới hạn. - Cài các công cụ lọc như URLScan cho các máy chủ