구글해킹 이란?
구글 검색 연산자 또는 명령을 사용하여 Google 검색 엔진에서 수신하는 정보를 필터링하는 컴퓨터기술로 정의할수 있다. 웹사이트에서 사용되는 구성 및 소스코드에서 보안허점을 찾는데 사용할 수 있다.
2002년 Johnny Long이 사용하기 시작했으며 그당시 Johnny Long은 Google 검색엔진에서 작동하는 취약점을 찾거나 민감하거나 숨겨진 정보를 찾아 데이터화 했으며 이러한 정보들이 모여 현재 Google Hacking database 가 만들어 졌다.
구글 해킹은 타겟 사이트에 대한 관리자페이지까지 검색결과에 노출되기도 한다. 심지어 검색만으로 기업 내에서 주고받은 문서나 개인정보가 노출되기도 한다. 전화번호만 입력하면 그 사람의 과거 행적을 조사할 수 있을 정도로 많은 결과를 보여주었는데 지금은 전화번호 관련 검색결과를 필터링 해 주고 있다.
기본 연산자
연산자 | 설명 | 예시 |
" " | 큰따옴표 안에 검색어를 입력하면 검색어를 반드시 포함하는 결괏값만 표시 | “구글” |
OR | 반드시 대문자로 표기해야 하며, 두 가지의 검색어중 하나의 검색어라도 일치하는 결괏값을 보여줌 | 구글 OR 네이버 |
| | OR 대신 사용할 수 있는 동일한 기능 | 구글 | 네이버 |
– | 특정 단어를 제외한 나머지 검색 결과를 보여줍니다 | 안드로이드 -구글 |
* | 어떤 단어와도 매치되는 기능이며 정확한 검색어를 모를 때 유용 | 구글 * 콘솔 |
#..# | .. 앞뒤로 지정된 숫자(혹은 날짜) 범위 안에 있는 결괏값을 보여주지만 정확도가 다소 떨어짐 | 구글 업데이트 2010..2017 |
in | 단위 변환을 쉽게 할 수 있는 명령어이지만 한글로는 작동하지 않 | 1USD in KRW |
고급 검색 연산자
연산자 | 설명 | 예시 |
define: | 기본적으로 구글에 내장된 사전의 기능을 하는 명령어이며 검색어에 대한 정의가 표시 | define: 해킹 |
site: | 해당 웹사이트에서 색인된 결과만을 보여줌 | 기후통계 site:https://data.kma.go.kr/ |
cache: | 해당 명령어 뒤에 URL을 추가하여 검색하면 구글에 가장 최근 색인된 해당 웹페이지의 캐시 버전을 보여줌 | cache:www.naver.com |
intitle: | 페이지 제목(타이틀 태그)에 특정 검색어가 포함된 페이지를 찾도록 명령하는 기능 | intitle:자율주행 |
allintitle: | intitle: 명령어와 같은 기능을 하지만 여러 개의 검색어를 모두 포함된 결과만을 표시 | allintitle:자율주행 시장동향 |
inurl: | 페이지 URL에 특정 검색어가 포함된 페이지를 찾도록 명령하는 기능 | inurl:sensor |
allinurl: | inurl: 명령어와 같은 기능을 하지만 여러 개의 검색어가 모두 포함된 결과만을 표시 | allinurl:sensor tech |
intext: | 본문에 검색어를 포함하는 페이지를 찾도록 명령하는 기능 | intext:자율주행 |
allintext: | intext: 명령어와 같은 기능을 하지만 여러 개의 검색어가 모두 포함된 결과만을 표시 | allintext:자율주행 산업동향 |
filetype: | 검색 결과를 특정 파일 확장자로 제한하는 명령어이며 “ext:”로 대체할 수 있음 |
시장동향 filetype:pdf |
related: | 특정 웹사이트와 비슷한 웹사이트를 찾아주는 명령어 | related:https://www.youtube.com/ |
AROUND(X) | 두 검색어의 간격이 X 개의 단어 또는 구 이하인 결과를 표시 | twinword AROUND(2) lsi) |
간단하면서 유용한 검색문 10가지
- site
- intitle:index.of
- error | warning
- login | logon
- username | userid | employee.id \ “your username is”
- password | passcode | “your password is”
- admin | administrator
- -ext:html -ext:htm -ext:shtml -ext:asp -ext:php
- inurl:temp | inurl:tmp | inurl:backup | inurl:bak
- intranet | help.desk
'Web Hacking > Web' 카테고리의 다른 글
HackerOne 공개 취약점 보고서 (0) | 2022.08.11 |
---|---|
SSRF Bypass LIST (0) | 2022.08.10 |
서브도메인 검색에 사용되는 도구모음 (0) | 2022.07.28 |
OSINT/OSINF 를 활용한 공격과 방어 (0) | 2022.07.28 |
웹해킹 공부시 참고할만한 문서들 (0) | 2022.07.13 |