googleAdsense_widever


구글 해킹 - inurl, intitle 해킹

구글 해킹의 핵심.
inurl과 intitle

filetype, site 등도 자주 쓰이지만 이 포스트에서 설명하고자 하는 것은 가장 기본적이과 광범위한 부분만이다.

두 말 필요 엄ㅄ다. 
inurl:admin intitle:회원
inurl:admin intitle:통계

등등을 입력해본다.

inurl:[part of URL]은 사이트 주소에 [part of URL] 부분이 포함된 웹사이트만 검색하는 기능.
intitle:[part of title]은 타이틀(브라우저 최상단 부분에 나타나는 제목)에 [part of title]이 포함 된 웹사이트만 검색하는 기능.

즉, url에 admin이 포함되고, 웹 페이지 제목에 "회원"이나 "통계" 가 들어 있는 사이트들을 검색한다.

그 결과는 알아서들 확인ㅋ

주소표시줄에서 admin이 포함된 경우는 두가지로 볼 수 있는데,
1) 그 페이지의 내용이 admin에 대해서 설명하고 있다.(예를 들어 백과 사전에서 admin이라는 카테고리가 있을 때)
2) 관리자가 숨기길 원하는 디렉토리(폴더) 이다.
우리(?)가 원하는 것은 2번이다.

일반적으로 http://url.co.kr/admin/
등으로 접근하면 서버에서 디렉토리 접근을 거부하게 된다.
대부분 그렇다.(아니, 멋도 모를 때 시도해본 결과 전부 그렇다. 헛짓임)
하지만 ../admin/secret.html 등으로 실제 존재하는 파일명까지 요구하면 그 내용이 보여지는 것이다.
물론 이부분도 관리자 인증 후 세션등을 발급하고 확인하는 절차를 거쳐 막을 수 있다. 
(그리고 대망의 세션 하이재킹 @ㅇ@ㅋ)

그러나 대충 만들어진 웹사이트는 그렇지 않다는 것이다.
* 주의 : 대충 만든 사이트라고 무시하지 말라. 그 사이트에 보통 사람들이 가입하고, 그 가입자들의 정보를 캐내, 주민번호/주소/전화번호 등등의 자료를 알아내고, ID와 password가 동일한 경우 거대 포털에 까지 접속하고 그 사람인 척 위장할 수 있다.
(아무 사이트에나 가입하지 말라는 얘기다.)

실제 그 대충.com의 회원 정보 수정 중인 저장된 페이지를 찾아내어,
동일한 id와 password로 야후와 다른 기업협력 사이트에 로그인이 가능했다는 것은
사실이 아니라고 믿어주세요.

본론으로 돌아가서,
inurl과 intitle의 예제는 그냥 구글에서 inurl, intitle을 치셈
그러면 구글의 자동완성기능이 예제들을 보여줄 것임 ㅋ (워낙 사람들이 많이 따라한다 -_-)

덧글

댓글 입력 영역


공지

어서오십시오.
트위터 : @FCliver
기저심리학 : 네이버카페
카카오톡 : FCliver
페이스북 : Fredric Cliver

통계 위젯 (화이트)

116
50
288486

접속자 위치