Google Hacking Hiç Bu Kadar Kolay Olmamıştı

Google interneti indekslerken, karşılaştığı sayfalardaki güvenlik açıkları ile zaafiyetlerini de bulmakta ve bunu aramayı bilenler için büyük bir hazine sunmaktadır. Bu tür özel sonuçlara klasik Google sorguları ile ulaşılamıyor. Bunun için otomatik özel sorgular yapabilen araçlar kullanılabilir.

 

UYARI: Bu yazıda anlatılanları art niyetli olarak yapmaya çalışmak veya suistimal etmek bir suç teşkil edebilir. Bu tür özelleşmiş sorguları hackerlardan daha ziyade, bizzat site sahiplerinin kendi güvenlik açıklıklarını Google yoluyla keşfederek önlem almalarını sağlamak içindir. Bu yüzden okuyucunun yazıda anlatılanları kullanarak gireceği sistem ya da siteleri yasal olmayan bir şekilde kırmış olacağını ve böylelikle suç işleyeceğini, kırılmış alanlarda dolaştığı sistemlerin de log ve IP kayıtlarını tutabiliyor olma ihtimalleri sonucu da karşılaşacağı her türlü hukuki durumdan, vereceği zarar ve kayıptan bizzat kendisinin sorumlu olacağını baştan kabul etmiş sayılır. Bu yazının tamamen bilgilendirme ve önlem almayı sağlama amaçlı olması dolayısıyla bu yazı ve site sahibinin hiçbir sorumluluğunun olmadığı ve okuyucunun da bu durumu baştan onaylamış olduğu varsayılır.

 

Bu yazının konusu aslında tam olarak Google’ın zaten hali hazırda kendisinin sağlamış olduğu standart gelişmiş arama operatörleri değildir. Örneğin sitelerin açık index dizinlerini bulmak için “intitle:”index of” ya da belli dosya tiplerini (doc, docx, xls, xlsx, pdf) aramak için “filetype:ppt tarih” gibi. Burada anlatılanlar daha ziyade gelişmiş arama operatörlerinden birkaçı ve diğer spesifik sorguların korelasyonuyla ortaya çıkmış olan yöntemler ve bunları kullanan programlardır.

 

GOOGLE, BING ve SHODAN HACKING

Google Hacking ile ilgili ilk fitili aslında Johnny Long başlatmıştı. Daha sonraları burası daha da geliştirilip Google Hacking Database (GHDB) isimli ve hali hazırda içinde tam binlerce Google Dork’un bulunduğu muazzam bir veritabanına dönüştü. Tamamen Google’ın spesifik operatörlerine taklalar attırılarak ortaya çıkarılanlar arasında:

  • Web sunucularının içine girmeyi kolaylaştıracak tutunma noktaları,
  • kullanıcı isimlerinin bulunduğu dosyaları,
  • oldukça hassas ve gizli dosyaların bulunduğu web dizinlerini,
  • web sunucu yapılarını,
  • zafiyetli sunucular ile dosyaları,
  • hata mesajlarını (sistem ya da uygulama kurulum hatalarından sızan hassas veriler),
  • şifre ya da kullanıcı adı dışında başka ilginç ve hassas verileri içeren dosyaları,
  • birçok parolayı barındıran dosyaları,
  • hassas online alışveriş bilgilerini,
  • internete bağlı yazıcı, kamera ve diğer cihazları,
  • başka sitelerde yayınlanmış zaafiyet ihbarları ve güvenlik açıklıkları,
  • yedekleme (backup) dosyaları,
  • ve veritabanı yedekleri, hata çıktıları ve kurulum açıklıkları,

gibi oldukça ilginç sonuçlar bulunabilmektedir. İşte size bahsedeceğimiz uygulamaların tümü Google Hacking Database (GHDB) kaynağından faydalanmakta ve buradaki sorguları kolaylık olması açısından otomatikleştirmektedir. Ayrıca her bir programın kendi içinde GHDB’den farklı olarak çok özelleşmiş ilginç arama sorguları da bulunmaktadır. İşte o uygulamalar:

 

1.) SearchDiggity

SearchDiggity

Stach & Liu’nun (şimdiki adı Bishop Fox) çıkardığı, sonradan içine Bing, DLP, Flash, Shodan ile Malware, Kaynak kod ve port taramasının da eklenmiş olduğu Google, Bing ve Shodan üzerinden hacking aracı olan SearchDiggity aracı için şimdiye kadar çıkmış olan en etkili Google Hacking aracıdır diyebiliriz. Zira GHDB’den almış olduğu veritabanı dışında kendisinin yeni eklemiş olduğu Google sorguları ile yapabilecekleriniz sınırı yok denilebilir. Uygulamayı sorunsuz kullanabilmek için öncelikle bir Google CSE (özel arama motoru) API‘sine sahip olmalısınız. Uygulama bütün taramayı sizin kendi üzerinize kayıtlı bulunan API’ler üzerinden gerçekleştirmektedir. Uygulama yapmış olduğunuz bütün aramaları kaydetmenizi ve eğer isterseniz belirli bir web adresi üzerinden Google Hacking araştırması yapmanıza olanak da sağlıyor.

İndirin: http://www.bishopfox.com/download/405/

 

2.) SiteDigger

SiteDigger

SiteDigger, SearchDiggity’ten farklı olarak Web sitelerindeki açıklıklar, hatalar, konfigürasyon sorunları, özel bilgiler ve ilginç güvenlik zaafiyetlerini bulmak için Google’ın önbelleğinde (cache) arama yapan çok ilginç bir araçtır. Programdan kaynaklanacak bütün sorumluluklar yine kullanıcının kendisine aittir, şu an üreticisi olan McAfee hiçbir sorumluluk kabul etmiyor. Uygulama daha çok doğrudan web sitelerinin kendisi üzerindeki zaafiyetlere odaklanıyor.

İndirin: http://www.mcafee.com/us/downloads/free-tools/termsofuse.aspx?url=Downloadthistoolnow#

 

3.) Google Hacks

googlehacks

Google Hacks, aklınıza gelebicek her türlü uygulama, dosya, program, video, müzik ya da görseli çok özel opetörler yoluyla aramanızı sağladığı gibi Google Hacking yöntemleriyle şifre/parola araştırmaları yapabileceğiniz, Google’ı bir proxy olarak kullanabileceğiz ve diğer özel bir takım servislerini kullanabileceğiniz eğitim amaçlı bir uygulamadır. Toplu bir operatör sorgusu sınaması yapmak yerine tek tek arama yaptırmakta ve herhangi bir kayıt tutmamaktadır.

İndirin: https://code.google.com/p/googlehacks/downloads/list

 

Google Hacking ya da arama motorları üzerinden hacking konusu maalesef bu kadarla da sınırlı değil. Ne bulacağınız tamamen sizin hayal gücünüz ve kabiliyetlerinize bağlı.

Ek bağlantılar:

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.