Spionieren über Google
Verfasst: 29. Apr 2006, 03:33
Nein, was ich hier beschreibe ist nicht illegal, nutzt nur die Naivität mancher Zeitgenossen, unfähiger Webmaster oder Systemadministratoren aus.
Google ist die gefährlichste Website im Internet!
Google hat sich zur Suchmaschine Nr. 1 entwickelt. Über Google ist nahezu alles zu finden. Die meisten anderen Suchmaschinen indexieren nur Seiten, die auch angemeldet wurden. Macht Google auch, aber sie möchten auch möglichst aktuell sein und ihr Wissensdurst ist dabei schier unerschöpflich, wogegen ja auch nichts einzuwenden ist.
Die meisten User haben Cookies aktiviert und beim Besuch bei Google fängt man sich erst mal eines ein. Hier wird jede Bewegung im Netz aufgezeichnet und an Google übermittelt. Auf diese Weise werden auch Seiten/Dateien
indexiert, die vielleicht noch nicht angemeldet sind und Google ist immer aktuell. Ist ne feine Sache für Leute, die laufend Webseiten gestalten, man spart sich das Anmelden.
Die Sache hat aber auch einen Haken. Auf manchem Webspace liegen Dinge, die nicht von der Website aus verlinkt sind, also normalerweise gar nicht aufrufbar wären. Dank des Cookies bekommt Google davon trotzdem etwas mit und indexiert diese Inhalte.
Manche und oh Schreck auch Leute, die es eigentlich wissen müssten, hinterlegen auf ihrem Webspace ungeschützt Dinge, meistens als Sicherung, die für die Öffentlichkeit gar nicht bestimmt sind. Das ist schon klasse, an welche Infos man dabei gelangen kann
So hatte ich einmal den gesammten Mailverkehr der Nasa runter laden können, hatte ein Geheimpapier eines bekannten deutschen Automobilherstellers erhascht, in dem Stand, dass ihr Modell xyz eigentlich Schrott sei. Stieß auf ein Gheimpapier ob der Gefährlichkeit eines neuen Produktes. Bin auf Fotos gestossen, die eigentlich nur aus geschützten Bereichen abrufbar wären
Fand Privatfotos, die selbst meine vagsten Fantasien überstiegen
Durch SQL-Injection konnte ich über fremde Mailaccounts Mails versenden, oder es lag die ganze Website frei, die ich nach meinem Willen hätte verändern können.
Die wenigsten Wissen ob der besonderen Suchfunktionen und Operatoren von Google, bzw. wenden sie an.
Nachfolgend beschreibe ich ein paar Möglichkeiten, wie man unter Ausnutzung der Google-Funktionen an diese oder jene Info gelangen kann.
Insider nennen das Google-Hacking um an Firmengeheimnisse oder anderen sensiblen Dateien ran zu kommen.
Firmen erstellen viele Dateien als PowerPoint-Präsentation, oder Word-Dokument. Um an diese zumeist sensiblen Dateien heran zu kommen, geben wir in die Suchleiste folgenden Begriff ein (ppt ggf. durch doc, xls, pdf... o.a. ersetzen):
ext:ppt confidential "for internal use only"
Ruft man ein Verzeichnis ohne die entsprechende Datei auf, erhält man bei guten Providern eine Fehlermeldung. Viele liefern aber eine Seite, in der alle Dateien des Verzeichnisses aufgeführt sind mit dem Titel Index of. Dies machen wir uns zu Nutze und geben als Suchbegriff folgendes ein:
"index of /"
Viel Geduld vorausgesetzt, kommt man hier schon an die dollsten Informationen.
Wer nun nach Musik sucht, kann das erweitern, es werden dann alle Verzeichnisse mit mp3s angezeigt:
"index of /" +MP3
Etliche Faxe und Kopierer sind an das Netz angeschlossen. Diese (hier Xerox) ermitteln wir mit:
intitle:"Home" "Xerox Corporation" "Refresh Status"
Hier muss man probieren, teilweise kann man dann in übermittelte Faxe oder Kopien einsehen.
Manche Leute überwachen ihr Haus oder filmen sich im Schlafzimmer
Diese teils nicht wirklich für die Öffentlichkeit bestimmten Filmchen sucht man unter:
intitle:"my webcamXP server!" inurl:"8080"
Einiges hätte ich noch auf Lager, würde aber den den Rahmen der Legalität sprengen. Die SQL-Injection ' OR ''=' für LogIns funzt heutzutage nicht wirklch mehr
Für die Suchenden hier ein paar Google-Funktionen:
intitle:“Diese Zeile muss im Titel stehen.“
inurl:“www.diese-zeile-muss-in-der-url-stehen.de"
site:“www.musterseite.de“ Dieses_Wort_soll_auf_musterseite.de_gesucht_werden
filetype:html oder
ext:html (Es wird nach Dateien mit dieser Endung gesucht.)
intext:“Dieser Satz muss im Text stehen“
link:musterseite.de (Links auf musterseite.de )
numrange:1920-1980 (Es wird nach Seiten gesucht auf denen Zahlen in diesem Bereich stehten.)
Die Ausnutzung dieser Infos überlasse ich nun der Intelligenz der Leser
Grüsse,
Mikesch
Google ist die gefährlichste Website im Internet!
Google hat sich zur Suchmaschine Nr. 1 entwickelt. Über Google ist nahezu alles zu finden. Die meisten anderen Suchmaschinen indexieren nur Seiten, die auch angemeldet wurden. Macht Google auch, aber sie möchten auch möglichst aktuell sein und ihr Wissensdurst ist dabei schier unerschöpflich, wogegen ja auch nichts einzuwenden ist.
Die meisten User haben Cookies aktiviert und beim Besuch bei Google fängt man sich erst mal eines ein. Hier wird jede Bewegung im Netz aufgezeichnet und an Google übermittelt. Auf diese Weise werden auch Seiten/Dateien
indexiert, die vielleicht noch nicht angemeldet sind und Google ist immer aktuell. Ist ne feine Sache für Leute, die laufend Webseiten gestalten, man spart sich das Anmelden.
Die Sache hat aber auch einen Haken. Auf manchem Webspace liegen Dinge, die nicht von der Website aus verlinkt sind, also normalerweise gar nicht aufrufbar wären. Dank des Cookies bekommt Google davon trotzdem etwas mit und indexiert diese Inhalte.
Manche und oh Schreck auch Leute, die es eigentlich wissen müssten, hinterlegen auf ihrem Webspace ungeschützt Dinge, meistens als Sicherung, die für die Öffentlichkeit gar nicht bestimmt sind. Das ist schon klasse, an welche Infos man dabei gelangen kann

So hatte ich einmal den gesammten Mailverkehr der Nasa runter laden können, hatte ein Geheimpapier eines bekannten deutschen Automobilherstellers erhascht, in dem Stand, dass ihr Modell xyz eigentlich Schrott sei. Stieß auf ein Gheimpapier ob der Gefährlichkeit eines neuen Produktes. Bin auf Fotos gestossen, die eigentlich nur aus geschützten Bereichen abrufbar wären

Fand Privatfotos, die selbst meine vagsten Fantasien überstiegen

Durch SQL-Injection konnte ich über fremde Mailaccounts Mails versenden, oder es lag die ganze Website frei, die ich nach meinem Willen hätte verändern können.
Die wenigsten Wissen ob der besonderen Suchfunktionen und Operatoren von Google, bzw. wenden sie an.
Nachfolgend beschreibe ich ein paar Möglichkeiten, wie man unter Ausnutzung der Google-Funktionen an diese oder jene Info gelangen kann.
Insider nennen das Google-Hacking um an Firmengeheimnisse oder anderen sensiblen Dateien ran zu kommen.
Firmen erstellen viele Dateien als PowerPoint-Präsentation, oder Word-Dokument. Um an diese zumeist sensiblen Dateien heran zu kommen, geben wir in die Suchleiste folgenden Begriff ein (ppt ggf. durch doc, xls, pdf... o.a. ersetzen):
ext:ppt confidential "for internal use only"
Ruft man ein Verzeichnis ohne die entsprechende Datei auf, erhält man bei guten Providern eine Fehlermeldung. Viele liefern aber eine Seite, in der alle Dateien des Verzeichnisses aufgeführt sind mit dem Titel Index of. Dies machen wir uns zu Nutze und geben als Suchbegriff folgendes ein:
"index of /"
Viel Geduld vorausgesetzt, kommt man hier schon an die dollsten Informationen.
Wer nun nach Musik sucht, kann das erweitern, es werden dann alle Verzeichnisse mit mp3s angezeigt:
"index of /" +MP3
Etliche Faxe und Kopierer sind an das Netz angeschlossen. Diese (hier Xerox) ermitteln wir mit:
intitle:"Home" "Xerox Corporation" "Refresh Status"
Hier muss man probieren, teilweise kann man dann in übermittelte Faxe oder Kopien einsehen.
Manche Leute überwachen ihr Haus oder filmen sich im Schlafzimmer

Diese teils nicht wirklich für die Öffentlichkeit bestimmten Filmchen sucht man unter:
intitle:"my webcamXP server!" inurl:"8080"
Einiges hätte ich noch auf Lager, würde aber den den Rahmen der Legalität sprengen. Die SQL-Injection ' OR ''=' für LogIns funzt heutzutage nicht wirklch mehr

Für die Suchenden hier ein paar Google-Funktionen:
intitle:“Diese Zeile muss im Titel stehen.“
inurl:“www.diese-zeile-muss-in-der-url-stehen.de"
site:“www.musterseite.de“ Dieses_Wort_soll_auf_musterseite.de_gesucht_werden
filetype:html oder
ext:html (Es wird nach Dateien mit dieser Endung gesucht.)
intext:“Dieser Satz muss im Text stehen“
link:musterseite.de (Links auf musterseite.de )
numrange:1920-1980 (Es wird nach Seiten gesucht auf denen Zahlen in diesem Bereich stehten.)
Die Ausnutzung dieser Infos überlasse ich nun der Intelligenz der Leser

Grüsse,
Mikesch