Este documento proporciona una introducción a la técnica de "Google Hacking", que involucra realizar búsquedas avanzadas en Google para encontrar posibles vulnerabilidades en sistemas. Explica brevemente la historia de los principales buscadores, cómo indexan los robots de búsqueda las páginas web, y cómo los archivos robots.txt pueden restringir el acceso. También describe operadores y comandos de búsqueda avanzados en Google, así como el uso de la caché y robots.txt para realizar Google Hacking de manera más
2. CONTENIDOS
Un poco de historia
Cómo indexan los buscadores
User-Agent de buscadores
Los archivos robots.txt
¿Qué es Google Hacking?
La caché
Google Hacking + Robots.txt
Grode
Más sobre Google Hacking
Otros sitios de interés
2
3. UN POCO DE HISTORIA
1995 – Altavista: Crearon un software llamado
«spider» o «crawler». Primeros en implementar
multi idioma gracias al traductor Babel Fish.
1995 – Yahoo!: Es un directorio Web no motor de
búsquedas.
1997 – Google: Introduce el concepto «PageRank»
convirtiendole en líder del sector.
2000 – Yahoo y Google llegan aun acuerdo por el
que el primero adopta el motor del búsquedas de
Google.
2009 – Bing: Microsoft entra en el mercado de
buscadores con el buscador cuya finalidad es ser
fácil e intuitivo.
3
4. CÓMO INDEXAN LOS BUSCADORES
Inspeccionan la red a través de sus
arañas, web crawlers, robots o
rastreadores.
4
6. PROBLEMÁTICA
¿Cómo parar a las arañas?
¿Cómo indicamos que
archivos indexar y cuales no?
¿Seguro que no supone
un problema que visite y
descargue toda tu web?
6
7. LOS ARCHIVOS ROBOTS.TXT
Siguen un estándar.
Indican que directorios o
archivos no pueden las arañas
visitar.
Listan donde esta el Sitemap
Archivos muy sencillos
7
8. User-agent: *
Disallow:
OS ARCHIVOS ROBOTS TXT
Sitemap: http://www.pepeweb.es/sitemap.xml
L
.
Todo accesible para los crawlers
User-agent: *
Disallow: /
Sitemap: http://www.pepeweb.es/sitemap.xml
Todo prohibido para los crawlers
8
11. LOS ARCHIVOS ROBOTS.TXT
Otros ejemplos:
http://www.fuerteventura2000.com/robots.txt
http://www.senado.es/robots.txt
http://google.es/robots.txt
inurl:robots.txt ext:txt
11
12. ¿QUÉ ES GOOGLE HACKING?
Realizar búsquedas que permiten detectar fugas de
información y vulnerabilidades en los sistemas
informáticos.
PCs y portátiles
Fuente: http://www.netmarketshare.com/
Smartphones y tablets
12
14. GOOGLE HACKING
•
•
•
•
•
Comandos
Site: buscamos todo referente a un dominio.
Intitle: Buscamos un término en los títulos de las webs
Intext: Buscamos un término en el cuerpo del
documento.
Inurl: Busca un término en la cadena URL
ext: Búsqueda según el tipo de documento
https://support.google.com/websearch/answer/136861?p=adv_operators&hl=e
14
15. GOOGLE HACKING
Ejemplos de uso
inurl:robots.txt ext:txt
intitle:"Index of" config.php
filetype:xls username password email
inurl:axis-cgi/jpg
inurl:/view.shtml
site:pastebin.com intext:username password
http://www.exploit-db.com/google-dorks/
15
16. LA CACHÉ
Copia de las webs que GoogleBot va visitando y que se
almacena en los servidores de Google, mantiene la copia
guardada hasta que GoogleBot vuelve a visitar dicha
web.
No almacena imágenes, solo el texto.
cache:miwebvictima.es
16
17. GOOGLE HACKING + ROBOTS.TXT
Ejemplos de uso:
http://www.elladodelmal.com/2013/12/lo-que-se-comparte-por-dropbox-al.html
http://www.elladodelmal.com/2013/10/79400-urls-de-gmail-indexadas-en-google.html
http://www.elladodelmal.com/2013/09/facebook-tiene-problemas-con-la.html
http://www.elladodelmal.com/2013/09/problemas-de-privacidad-de-whatsappcon.html
http://www.elladodelmal.com/2013/11/busqueda-de-duenos-de-numeros-de.html
http://www.elladodelmal.com/2013/11/hacking-con-buscadores-en-los.html Charla
del autor de Hacking con buscadores.
17
19. MÁS SOBRE GOOGLE HACKING
http://0xword.com/es/libros/20-libro-hacking-buscadoresgoogle-bing-sodan-robtex.html
Google Hacking for Penetration Testers vol.2
19
20. OTROS SITIOS DE INTERÉS
http://www.elladodelmal.com/
http://Grode.es
http://ensaladadebits.blogspot.com.es/
http://www.robotstxt.org/
20