SlideShare una empresa de Scribd logo

Hackingcon google

Eliana Corcuy
Eliana Corcuy

Este documento discute técnicas de hacking utilizando el motor de búsqueda Google. Explica cómo usar consultas básicas y avanzadas para recopilar información sobre objetivos, identificar vulnerabilidades y explotarlas. También cubre cómo automatizar búsquedas de Google mediante APIs y herramientas, y cómo proteger sitios web evitando su indexación por Google.

Tecnología
1 de 30
Descargar para leer sin conexión
Hacking con Google Dr. Gonzalo Álvarez Marañón
Presentación Introducción El ABC de Google Técnicas básicas de hacking con Google Búsqueda de información con Google Automatizando a Google Cómo evitar a Google Aplicaciones de la criptografía -2- Dr. Gonzalo Álvarez Marañón (CSIC)
Introducción
Proceso de ataque Recopilación de información sobre el objetivo Identificación de vulnerabilidades Explotación de vulnerabilidades Continuación del ataque Aplicaciones de la criptografía -4- Dr. Gonzalo Álvarez Marañón (CSIC)
Abc de Google
Google es mucho más que un simple buscador Aplicaciones de la criptografía -6- Dr. Gonzalo Álvarez Marañón (CSIC)
Consultas básicas Consulta de palabras Consulta de frases Operadores booleanos AND OR NOT Caracteres especiales: + . * Aplicaciones de la criptografía -7- Dr. Gonzalo Álvarez Marañón (CSIC)
Consultas avanzadas Intitle, Allintitle Allintext Inurl, Allinurl Site Filetype Link Inanchor Cache Numrange Aplicaciones de la criptografía Daterange Info Related Author, Group, Insubject, Msgid Stocks Define Phonebook -8- Dr. Gonzalo Álvarez Marañón (CSIC)
El URL de Google q start num filter restrict hl lr ie Etc. Aplicaciones de la criptografía -9- Dr. Gonzalo Álvarez Marañón (CSIC)
Hacking básico con Google
Navegación anónima El caché de Google almacena copias de las páginas indexadas Consulta: site:sitio.com texto Las imágenes y otros objetos no están en el caché Utilizando la propiedad “texto guardado en el caché” no se cargan las imágenes Se necesita utilizar el URL Aplicaciones de la criptografía -11- Dr. Gonzalo Álvarez Marañón (CSIC)
Servidor proxy Un servidor proxy hace las peticiones en lugar del usuario Se utiliza la capacidad de traducción de páginas de Google y otros servicios similares: www.google.es/translate?u=http://www.playboy.com&langpair=en|en No es un proxy anónimo Puede saltarse filtros de contenidos Aplicaciones de la criptografía -12- Dr. Gonzalo Álvarez Marañón (CSIC)
Cabeza de puente Google indexa todo lo que se le diga ¿Qué pasa si se crea una página con URLs de ataque y se le dice a Google que la indexe? Aplicaciones de la criptografía -13- Dr. Gonzalo Álvarez Marañón (CSIC)
Buscando información
Google Hacking Database Mantenida en http://johnny.ihackstuff.com/ Almacena cientos de googledorks Actualizada continuamente Clasificada en varias categorías: Vulnerabilidades Mensajes de error Archivos con contraseñas Portales de entrada Detección de servidor web Archivos sensibles Detección de dispositivos Aplicaciones de la criptografía -15- Dr. Gonzalo Álvarez Marañón (CSIC)
Listados de directorios Contienen información que no debería verse Consulta: intitle:index.of “parent directory” Búsqueda de directorios/archivos específicos intitle:index.of inurl:admin intitle:index.of ws_ftp.log Búsqueda de servidores Apache: intitle:index.of “Apache/*” “server at” IIS: intitle:index.of “Microsoft-IIS/* server at” Técnicas de navegación transversal Aplicaciones de la criptografía -16- Dr. Gonzalo Álvarez Marañón (CSIC)
Reconocimiento de red Araña: site:sitio.com Objetivo: conocer subdominios Consulta: site:sitio.com -site:www.sitio.com Herramientas automatizadas: SP-DNS-mine.pl www.sensepost.com/restricted/SPDNS-mine.pl Aplicaciones de la criptografía -17- Dr. Gonzalo Álvarez Marañón (CSIC)
SO y servidor web Listado de directorios Aplicaciones/documentación de ejemplo del servidor web Mensajes de error del servidor web Mensajes de error de aplicaciones web Aplicaciones de la criptografía -18- Dr. Gonzalo Álvarez Marañón (CSIC)
Búsqueda de sitios vulnerables Páginas de demostración del fabricante Código fuente Escaneo CGI Aplicaciones de la criptografía -19- Dr. Gonzalo Álvarez Marañón (CSIC)
Información de base de datos Nombres de usuario “acces denied for user” “using password” Estructura de la base de datos filetype:sql “# dumping data for table” Inyección de SQL “Unclosed quotation mark before the character string” Código fuente SQL intitle:"Error Occurred" "The error occurred in” “incorrect syntax near” Contraseñas filetype:inc intext:mysql_connect filetype:sql "identified by" -cvs Detección de archivos la base de datos filetype:mdb inurl:users.mdb filetype:mdb inurl:email inurl:backup Aplicaciones de la criptografía -20- Dr. Gonzalo Álvarez Marañón (CSIC)
Nombres usuario/contraseñas intitle:index.of passwd intitle:"Index.of..etc" passwd intitle:index.of pwd.db passwd intitle:index.of ws_ftp.ini intitle:index.of people.lst intitle:index.of passlist intitle:index.of .htpasswd intitle:index.of “.htpasswd” htpasswd.bak filetype:reg reg intext:"internet account manager“ filetype:mdb inurl:profiles “http://*:*@www” Aplicaciones de la criptografía -21- Dr. Gonzalo Álvarez Marañón (CSIC)
Automatizando a Google
Google API Servicio web gratuito para consulta remota a Google Incorpora la potencia de Google a cualquier programa Soporta las mismas funciones que el URL Limitaciones: Exige registrarse 1000 consultas/día 10 resultados/consulta Aplicaciones de la criptografía -23- Dr. Gonzalo Álvarez Marañón (CSIC)
SiteDigger Creado por Foundstone www.foundstone.com Utiliza la Google API Exige la instalación de .NET Framework 1.1 Utiliza la base de datos FSDB o GHDB Genera bonitos informes en HTML Aplicaciones de la criptografía -24- Dr. Gonzalo Álvarez Marañón (CSIC)
Wikto Creada por Sensepost www.sensepost.com Herramienta de análisis de seguridad web de propósito general Módulo de hacking Google similar a Sitedigger Requiere Google API Utiliza GHDB Modo de operación automático o manual Aplicaciones de la criptografía -25- Dr. Gonzalo Álvarez Marañón (CSIC)
Athena Creada por SnakeOil Labs snakeoillabs.com No utiliza la Google API, por lo que viola los términos de uso de Google Requiere el .NET Framework Utiliza archivos de configuración XML Aplicaciones de la criptografía -26- Dr. Gonzalo Álvarez Marañón (CSIC)
Cómo evitar a Google
Proteger el servidor web Bloqueo de buscadores mediante robots.txt User-agent: googlebot Disallow: /directorio/archivos No indexar: <META NAME="GOOGLEBOT" CONTENT="NOINDEX, NOFOLLOW"> No almacenar en caché: <META NAME=“GOOGLEBOT” CONTENT=“NOARCHIVE”> <META NAME=“GOOGLEBOT” CONTENT=“NOSNIPPET”> Aplicaciones de la criptografía -28- Dr. Gonzalo Álvarez Marañón (CSIC)
Eliminación de páginas de Google Eliminación de la caché de Google desde la página de eliminaciones services.google.com/urlconsole/controller Dirigirle al archivo robots.txt Utilizar una directiva META Opción de eliminación de enlaces antiguos Aplicaciones de la criptografía -29- Dr. Gonzalo Álvarez Marañón (CSIC)
http://www.iec.csic.es/~gonzalo/ Preguntas

Recomendados

Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Googlekelly
 
Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"Alonso Caballero
 
Información estrategica
Información estrategicaInformación estrategica
Información estrategicaJean Aguirre Quintanilla
 
Packrat malware iicybersecurity
Packrat malware iicybersecurityPackrat malware iicybersecurity
Packrat malware iicybersecurityDavid Thomas
 
作業標準書について
作業標準書について作業標準書について
作業標準書についてcrane techno consultant
 
Operadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en GoogleOperadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en GoogleEsther Checa
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 

Recomendados

Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Googlekelly
 
Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"Webinar Gratuito "Google Hacking"
Webinar Gratuito "Google Hacking"Alonso Caballero
 
Información estrategica
Información estrategicaInformación estrategica
Información estrategicaJean Aguirre Quintanilla
 
Packrat malware iicybersecurity
Packrat malware iicybersecurityPackrat malware iicybersecurity
Packrat malware iicybersecurityDavid Thomas
 
作業標準書について
作業標準書について作業標準書について
作業標準書についてcrane techno consultant
 
Operadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en GoogleOperadores de Búsqueda avanzados en Google
Operadores de Búsqueda avanzados en GoogleEsther Checa
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Googlekelly
 
C:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon GoogleC:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon Googlekelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Googlekelly
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético WebEduardo Arriols Nuñez
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]Eduardo Arriols Nuñez
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Proteccion Contra Hacking con Google
Proteccion Contra Hacking con GoogleProteccion Contra Hacking con Google
Proteccion Contra Hacking con GoogleConferencias FIST
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesPablo Garaizar
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaLuis Fernando Aguas Bucheli
 
Backtrak guide
Backtrak guideBacktrak guide
Backtrak guideChildren International
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincherasCybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincherasDaniel Garcia (a.k.a cr0hn)
 
Reviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsReviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsAlfonso Muñoz, PhD
 
S5 hack-hacking con google bing y shodan p1
S5 hack-hacking con google bing y shodan p1S5 hack-hacking con google bing y shodan p1
S5 hack-hacking con google bing y shodan p1Luis Fernando Aguas Bucheli
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 

Más contenido relacionado

Similar a Hackingcon google

Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Googlekelly
 
C:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon GoogleC:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon Googlekelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Googlekelly
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Googlekelly
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016Gonzalo Vigo
 
Proteccion Contra Hacking con Google
Proteccion Contra Hacking con GoogleProteccion Contra Hacking con Google
Proteccion Contra Hacking con GoogleConferencias FIST
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesPablo Garaizar
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012iesgrancapitan.org
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaLuis Fernando Aguas Bucheli
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...RootedCON
 
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincherasCybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincherasDaniel Garcia (a.k.a cr0hn)
 
Reviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsReviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsAlfonso Muñoz, PhD
 

Similar a Hackingcon google (20)

Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
 
C:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon GoogleC:\Fakepath\Hackingcon Google
C:\Fakepath\Hackingcon Google
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon GoogleC:\Users\Usuario Acadfadp\Documents\Hackingcon Google
C:\Users\Usuario Acadfadp\Documents\Hackingcon Google
 
Hackingcon Google
Hackingcon GoogleHackingcon Google
Hackingcon Google
 
Hacking Ético Web
Hacking Ético WebHacking Ético Web
Hacking Ético Web
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Taller cybersecurity 2016
Taller cybersecurity 2016Taller cybersecurity 2016
Taller cybersecurity 2016
 
Proteccion Contra Hacking con Google
Proteccion Contra Hacking con GoogleProteccion Contra Hacking con Google
Proteccion Contra Hacking con Google
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012Taller Hacking Ético #Sysmana2012
Taller Hacking Ético #Sysmana2012
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informática
 
Backtrak guide
Backtrak guideBacktrak guide
Backtrak guide
 
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los r...
 
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincherasCybercamp 2015 - Python, hacking y sec-tools desde las trincheras
Cybercamp 2015 - Python, hacking y sec-tools desde las trincheras
 
Reviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsReviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroids
 
S5 hack-hacking con google bing y shodan p1
S5 hack-hacking con google bing y shodan p1S5 hack-hacking con google bing y shodan p1
S5 hack-hacking con google bing y shodan p1
 

Último

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Último (16)

trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Hackingcon google

  • 1. Hacking con Google Dr. Gonzalo Álvarez Marañón
  • 2. Presentación Introducción El ABC de Google Técnicas básicas de hacking con Google Búsqueda de información con Google Automatizando a Google Cómo evitar a Google Aplicaciones de la criptografía -2- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 4. Proceso de ataque Recopilación de información sobre el objetivo Identificación de vulnerabilidades Explotación de vulnerabilidades Continuación del ataque Aplicaciones de la criptografía -4- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 6. Google es mucho más que un simple buscador Aplicaciones de la criptografía -6- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 7. Consultas básicas Consulta de palabras Consulta de frases Operadores booleanos AND OR NOT Caracteres especiales: + . * Aplicaciones de la criptografía -7- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 8. Consultas avanzadas Intitle, Allintitle Allintext Inurl, Allinurl Site Filetype Link Inanchor Cache Numrange Aplicaciones de la criptografía Daterange Info Related Author, Group, Insubject, Msgid Stocks Define Phonebook -8- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 9. El URL de Google q start num filter restrict hl lr ie Etc. Aplicaciones de la criptografía -9- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 11. Navegación anónima El caché de Google almacena copias de las páginas indexadas Consulta: site:sitio.com texto Las imágenes y otros objetos no están en el caché Utilizando la propiedad “texto guardado en el caché” no se cargan las imágenes Se necesita utilizar el URL Aplicaciones de la criptografía -11- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 12. Servidor proxy Un servidor proxy hace las peticiones en lugar del usuario Se utiliza la capacidad de traducción de páginas de Google y otros servicios similares: www.google.es/translate?u=http://www.playboy.com&langpair=en|en No es un proxy anónimo Puede saltarse filtros de contenidos Aplicaciones de la criptografía -12- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 13. Cabeza de puente Google indexa todo lo que se le diga ¿Qué pasa si se crea una página con URLs de ataque y se le dice a Google que la indexe? Aplicaciones de la criptografía -13- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 15. Google Hacking Database Mantenida en http://johnny.ihackstuff.com/ Almacena cientos de googledorks Actualizada continuamente Clasificada en varias categorías: Vulnerabilidades Mensajes de error Archivos con contraseñas Portales de entrada Detección de servidor web Archivos sensibles Detección de dispositivos Aplicaciones de la criptografía -15- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 16. Listados de directorios Contienen información que no debería verse Consulta: intitle:index.of “parent directory” Búsqueda de directorios/archivos específicos intitle:index.of inurl:admin intitle:index.of ws_ftp.log Búsqueda de servidores Apache: intitle:index.of “Apache/*” “server at” IIS: intitle:index.of “Microsoft-IIS/* server at” Técnicas de navegación transversal Aplicaciones de la criptografía -16- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 17. Reconocimiento de red Araña: site:sitio.com Objetivo: conocer subdominios Consulta: site:sitio.com -site:www.sitio.com Herramientas automatizadas: SP-DNS-mine.pl www.sensepost.com/restricted/SPDNS-mine.pl Aplicaciones de la criptografía -17- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 18. SO y servidor web Listado de directorios Aplicaciones/documentación de ejemplo del servidor web Mensajes de error del servidor web Mensajes de error de aplicaciones web Aplicaciones de la criptografía -18- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 19. Búsqueda de sitios vulnerables Páginas de demostración del fabricante Código fuente Escaneo CGI Aplicaciones de la criptografía -19- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 20. Información de base de datos Nombres de usuario “acces denied for user” “using password” Estructura de la base de datos filetype:sql “# dumping data for table” Inyección de SQL “Unclosed quotation mark before the character string” Código fuente SQL intitle:"Error Occurred" "The error occurred in” “incorrect syntax near” Contraseñas filetype:inc intext:mysql_connect filetype:sql "identified by" -cvs Detección de archivos la base de datos filetype:mdb inurl:users.mdb filetype:mdb inurl:email inurl:backup Aplicaciones de la criptografía -20- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 21. Nombres usuario/contraseñas intitle:index.of passwd intitle:"Index.of..etc" passwd intitle:index.of pwd.db passwd intitle:index.of ws_ftp.ini intitle:index.of people.lst intitle:index.of passlist intitle:index.of .htpasswd intitle:index.of “.htpasswd” htpasswd.bak filetype:reg reg intext:"internet account manager“ filetype:mdb inurl:profiles “http://*:*@www” Aplicaciones de la criptografía -21- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 23. Google API Servicio web gratuito para consulta remota a Google Incorpora la potencia de Google a cualquier programa Soporta las mismas funciones que el URL Limitaciones: Exige registrarse 1000 consultas/día 10 resultados/consulta Aplicaciones de la criptografía -23- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 24. SiteDigger Creado por Foundstone www.foundstone.com Utiliza la Google API Exige la instalación de .NET Framework 1.1 Utiliza la base de datos FSDB o GHDB Genera bonitos informes en HTML Aplicaciones de la criptografía -24- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 25. Wikto Creada por Sensepost www.sensepost.com Herramienta de análisis de seguridad web de propósito general Módulo de hacking Google similar a Sitedigger Requiere Google API Utiliza GHDB Modo de operación automático o manual Aplicaciones de la criptografía -25- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 26. Athena Creada por SnakeOil Labs snakeoillabs.com No utiliza la Google API, por lo que viola los términos de uso de Google Requiere el .NET Framework Utiliza archivos de configuración XML Aplicaciones de la criptografía -26- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 28. Proteger el servidor web Bloqueo de buscadores mediante robots.txt User-agent: googlebot Disallow: /directorio/archivos No indexar: <META NAME="GOOGLEBOT" CONTENT="NOINDEX, NOFOLLOW"> No almacenar en caché: <META NAME=“GOOGLEBOT” CONTENT=“NOARCHIVE”> <META NAME=“GOOGLEBOT” CONTENT=“NOSNIPPET”> Aplicaciones de la criptografía -28- Dr. Gonzalo Álvarez Marañón (CSIC)
  • 29. Eliminación de páginas de Google Eliminación de la caché de Google desde la página de eliminaciones services.google.com/urlconsole/controller Dirigirle al archivo robots.txt Utilizar una directiva META Opción de eliminación de enlaces antiguos Aplicaciones de la criptografía -29- Dr. Gonzalo Álvarez Marañón (CSIC)