Odhalení Tajemství Google Hacking: Průvodce pro Etické Vyhledávání
Možná vás překvapí, co všechno se dá zjistit pomocí pouhého vyhledávání na Google. Je to pravda! Tato technika se nazývá Google Hacking nebo také Google Dorking.
Jako tvůrce obsahu jsem sám Google Dorky několikrát využil pro SEO a průzkumné účely. Umožňuje mi odhalit specifické příspěvky konkurence a zaměřit se na podceňovaná témata pro vlastní strategii tvorby obsahu.
Podobně i vy můžete využít příkazy Google Dorking podle vašich potřeb. Ale než se pustíte do hlubšího zkoumání, je důležité porozumět různým pojmům, jako jsou Dorky, Recon a dalším. A také si uvědomit, kde leží hranice.
Google Dorking není protizákonný, pokud se shromážděné údaje používají k výzkumným účelům. Ale pokud je využijete k vydírání, rychle sklouznete do nelegální sféry. A to se Googlu nelíbí. Může dokonce penalizovat IP adresu, ze které přicházejí příkazy Dorking. Také vám hrozí trestní stíhání, takže buďte opatrní.
V tomto průvodci Google Dorking, jinak řečeno průvodci etickým hackováním Google, se s vámi podělím o vše, co potřebujete vědět o této pozoruhodné technice a o tom, jak ji můžete využít ve svůj prospěch.
Co je to Google Dorking?
Google Dorking představuje techniku vyhledávání, která odhaluje informace, které se běžně nezobrazují ve standardních výsledcích Google. Využívá pokročilé vyhledávací operátory a speciální řetězce, známé jako dorky.
Zjednodušeně řečeno, Google Dorking je jako zadní vrátka, která umožňují obejít algoritmus Google a najít data, která se obvykle nezobrazují ve výsledcích – například přihlašovací stránky konkrétních firem nebo jejich administrátorské panely.
S pomocí správných příkazů Google Dorking můžete dokonce odhalit důvěrné dokumenty, například PDF soubory, excelové tabulky a další.
Při etickém použití vám Google Dorking pomůže filtrovat nerelevantní výsledky a ušetřit čas, a tak efektivněji nalézt specifické dokumenty nebo webové stránky. Pokud se však tato metoda zneužije, hackeři mohou získat přístup k citlivým datům a souborům jednotlivců i firem, které jsou nedostatečně zabezpečené nebo omylem nahrány na internet.
Záleží tedy jen na vás, jak zodpovědně se k Google Dorkingu postavíte!
Jak Google Dorking Funguje?
Jednotlivci, jako jsme my, mohou Google Dorking využít pro účely výzkumu. Nejčastěji jej ale používají odborníci na kybernetickou bezpečnost, aby odhalili mezery v systémech – jsou to etičtí hackeři, tzv. white-hat hackeři.
Ovšem i black-hat hackeři, tedy ti neetičtí, používají Google Dorking k nalezení webových stránek s bezpečnostními chybami. Vyhledávají citlivá data a soubory o svých cílech a využívají je k nekalým účelům.
(Zdravím fanoušky robotů! 😃)
Již od počátku 21. století se vyhledávače používají pro Google Dorking. A rozsáhlé možnosti procházení webu, které Google nabízí, tuto činnost jen usnadňují.
Se správným Google Dork dotazem mohou útočníci získat přístup k informacím, které by běžným vyhledáváním nezískali. Patří sem:
- Hesla a uživatelská jména
- Seznamy e-mailových adres
- Důvěrné dokumenty
- Osobní údaje (finanční, demografické, údaje o poloze atd.)
- Zranitelnosti webových stránek
Podle statistik Norton je téměř 88 % podniků každý rok terčem kybernetických útoků. To znamená, že jsou firmy terčem téměř každý den.
Etičtí hackeři shromážděné informace využívají k opravě zranitelností ve svých systémech, zatímco neetičtí hackeři je zneužívají k nezákonným aktivitám, jako je kyberkriminalita, kyberterorismus, průmyslová špionáž, krádeže identit a kyberšikana.
Získaná data mohou také prodávat na dark webu za vysoké částky. Zde jsou fáze, které hacker obvykle používá při použití Google Dorking pro krádež osobních údajů:
#1. Průzkum
První fáze spočívá ve shromažďování informací o cíli. Od citlivých dokumentů až po uživatelská jména a hesla – hackeři se snaží najít vše. Tato fáze se také nazývá recon, footprinting nebo fingerprinting.
Google Dorking je forma pasivního průzkumu, kdy hackeři přistupují k veřejně dostupným online souborům.
Veřejně dostupné soubory mohou být online zveřejněny omylem. Například PDF s uživatelskými jmény a hesly nebo webové kamery s otevřeným přístupem.
#2. Skenování
V této fázi hacker shromáždil data – URL adresy webů, PDF soubory, excelové tabulky, seznamy emailů atd. Následně je skenuje, otevírá a čte soubory, analyzuje odkazy nebo používá skenovací nástroje k získání požadovaných informací.
#3. Získání Přístupu
V této fázi využívá hacker shromážděných informací, aby se dostal do systému nebo databáze.
#4. Udržování Přístupu
Hacker naváže spojení (dočasné nebo trvalé) se systémem nebo databází, aby se mohl v případě potřeby snadno znovu připojit.
Pokud se spojení přeruší nebo se hacker chce do systému/databáze vrátit později, může toto spojení využít.
#5. Výstup
V této fázi hacker smaže své stopy a opustí systém/databázi. Odstraní všechny stopy po exploitech a zadních vrátkách a vymaže záznamy z logů.
Zákonnost Google Dorkingu
Jak už jsem zmínil, samotné používání Google Dorkingu pro výzkumné účely není protizákonné.
Ve skutečnosti je pouze 1. fáze (průzkum) Google Dorking – tedy vyhledávání pomocí pokročilých vyhledávacích řetězců a operátorů.
Ve chvíli, kdy kliknete na výsledky vyhledávání, vstoupíte na URL adresu, stáhnete dokument nebo přistoupíte na odkazy bez řádného povolení, dostáváte se do 2. fáze. Od této chvíle můžete být zodpovědní za počítačovou kriminalitu, která je trestná.
Proto si dávejte pozor, na co klikáte a chovejte se eticky 👍.
Google Dorking vám umožňuje filtrovat nerelevantní výsledky vyhledávání a najít přesně to, co hledáte.
Google Dork Query – Význam a Příklady
Běžné dotazovací operace v Google Dorkingu vám umožní najít konkrétní informace a zároveň filtrovat nerelevantní výsledky.
Některé z těchto Google Dork dotazů, například allintitle, inurl, filetype, pravidelně používám při analýze SERP pro různá témata. Pomáhá mi to přesně definovat obsahovou strategii pro dané téma.
Podělím se o nejběžnější a nejužitečnější Google Dork dotazy. Popíšu funkci dotazu, jeho výsledky a jak můžete získané informace využít ve svůj prospěch. Zde jsou některé z nejběžnějších operátorů používaných v Google Dorking:
#1. site:
Chcete-li vyhledávat pouze na konkrétním webu, použijte operátor site:. Tento dotaz omezí vyhledávání na danou webovou stránku, doménu nejvyšší úrovně nebo subdoménu.
Dotaz vám zobrazí veřejné stránky daného webu, domény nejvyšší úrovně nebo subdomény. Můžete ho kombinovat s dalšími dotazy, abyste byli ještě konkrétnější.
#2. intitle:/allintitle:
Použití primárního klíčového slova v SEO názvu (meta title) je osvědčená a účinná SEO strategie. Dotazem intitle: dork najdete webové stránky, které mají dané klíčové slovo v SEO názvu.
Tento dotaz můžete zkombinovat s dotazem site: pro získání ještě specifických výsledků. Například, pokud chcete najít články na etechblog.cz, které se zabývají tématem Windows 10, můžete zadat tento dotaz:
Tato metoda Google Dorking je velmi užitečná, když hledáte výsledky pro konkrétní výraz. V kombinaci s dalšími dotazy získáte kvalitní analýzu SERP.
Alternativně můžete použít dotaz allintitle: pokud máte více hledaných výrazů a chcete je mít všechny v názvu výsledků. Pak použijte dotaz allintitle: místo intitle:.
#3. inurl:/allinurl:
Příkaz inurl: dork je podobný příkazu intitle:. Rozdíl je v tom, že tento dotaz hledá specifický výraz v URL adresách webových stránek.
Můžete také použít dotaz allinurl: k nalezení URL adres s více hledanými výrazy. Tento dotaz vám zobrazí URL adresy, které obsahují všechny uvedené výrazy.
Například primární klíčové slovo v URL adrese a optimalizovaná struktura URL jsou důležité pro hodnocení na Google. Pokud jsem nová digitální marketingová agentura v New Yorku a chci znát svou místní konkurenci, můžu to snadno zjistit pomocí příkazu allinurl:.
Můžete zahrnout i další operátor, například „- (minus)“, abyste vyloučili výsledky z určitého zdroje. Totéž můžete udělat s dotazem allintitle:. Zde je příklad:
Dotazy inurl: / allinurl: dork vám pomohou odhadnout, kolik webových stránek budete muset překonat, abyste se umístili na daný výraz, a jakou autoritu domény pro daný výraz potřebujete.
#4. intext:
Dotaz intext: Dork najde webové stránky, které mají hledaný výraz v textu stránky. Pro SEO experty je užitečné najít webové stránky konkurence s konkrétními klíčovými slovy.
Můžete použít i další operátor – uvozovky („“), pro nalezení webových stránek s přesným hledaným výrazem v textu. Můžete ho kombinovat s dotazem site: pro zobrazení výsledků specifického webu.
Tento Google vyhledávací trik je jedním z těch, které používá většina SEO expertů. 😉
#5. filetype:
Pomocí operátoru filetype: můžete najít soubory jako PDF, XLS, Doc atd. Tento dotaz je obzvláště užitečný, když hledáte konkrétní zprávy, manuály nebo studie.
V Google Dorkingu patří příkaz filetype: k nejčastěji používaným příkazům hackerů k nalezení náhodně uniklých důvěrných dokumentů, které mohou obsahovat citlivé informace jako jsou IP adresy, hesla atd.
Hackeři tyto informace používají pro penetrační testování (pentesting) a obcházení paywallů, aby získali přístup ke zdrojům.
#6. cache:
Příkaz Cache: Google načte poslední uloženou kopii konkrétní webové stránky (tzv. cache Google), pokud existuje. Hodí se k opětovnému zobrazení webu před výpadkem nebo poslední aktualizací.
Kdykoli uživatel přistoupí na web pomocí Googlu, v systému Google se vytvoří verze této stránky uložená v mezipaměti. K této verzi se dostanete příkazem cache:, pokud je původní web dočasně mimo provoz nebo chcete zobrazit starší verzi stránky.
#7. link:
Dotaz link: Google Dork je užitečný, pokud chcete zjistit, které webové stránky odkazují na konkrétní URL adresu.
Pokud chcete analyzovat zpětné odkazy vedoucí na váš web, můžete použít nástroje jako Semrush nebo Ahrefs.
Pokud ale nechcete investovat do těchto nástrojů, tak je tato metoda Google Dorking bezplatný a užitečný způsob, jak analyzovat, odkud vaše zpětné odkazy pocházejí.
#8. map:
Příkaz map: vám umožní najít mapu daného místa. Vyhledávání Google vám přímo zobrazí mapu místo webové stránky.
V macOS se vám může zobrazit výzva k otevření aplikace Mapy. Tento dotaz je užitečný pro rychlé nalezení mapy určitého místa.
Databáze hackerů Google je úložiště, kde uživatelé sdílejí různé řetězce vyhledávacích operátorů, které můžete využít pro Google Dorking.
Doporučuji vám však používat tyto vyhledávací řetězce s opatrností, protože některé z nich vás mohou dovést k webovým kamerám a přihlašovacím stránkám firem.
Jak se Chránit Před Google Dorking?
Ať už jste jednotlivec nebo firma, je důležité chránit se před Google Dorkingem. Zde jsou kroky, které můžete podniknout pro zabezpečení vašich dat na internetu:
- Zabezpečte soukromé stránky a dokumenty heslem.
- Zaveďte omezení na základě IP adres.
- Šifrujte citlivé informace – uživatelská jména, hesla, e-mailové adresy, telefonní čísla atd.
- Vyhledejte a deaktivujte Google Dorky pomocí nástrojů pro skenování zranitelností.
- Pravidelně provádějte sami na svém webu „hloupé dotazy“, abyste našli a opravili zranitelnosti dříve, než je najdou útočníci.
- Použijte Google Search Console k odstranění citlivého obsahu ze svého webu.
- Použijte soubor robots.txt ke skrytí a zablokování přístupu robotů k citlivým souborům.
Ačkoli 100% internetová bezpečnost je mýtus, můžete minimalizovat riziko, že se stanete obětí neetického hackování.
Penalizace Google Dorking od Společnosti Google
Google Dorking vám může poskytnout cenné informace tím, že odfiltruje zbytečné nebo nesouvisející výsledky vyhledávání. Ale pokud ho používáte neeticky, můžete na sebe upozornit orgány činné v trestním řízení.
Pokud s Dorkingem zacházíte neopatrně, Google vás většinou nejprve upozorní. Začne ověřovat vaše vyhledávací dotazy. Pokud budete pokračovat, může Google zakázat vaši IP adresu.
Dorkovat, nebo nedorkovat?
V tomto průvodci Google Dorking jsme probrali vše o této výkonné technice vyhledávání, která vám umožní odhalit specifické informace a veřejně odhalené zranitelnosti. Pro penetrační testery je to každodenní chléb.
V databázi Google hackingu najdete sbírku předpřipravených Google Dorků. Ale znovu bych vás rád upozornil na etické používání Dorkingu a vždy s povolením.
Při použití Dorkingu pro bezpečnostní audity dodržujte etické zásady a vždy si vyžádejte souhlas.
Pokud je etické hackování vaše vášeň, podívejte se i na článek o tom, jak se stát lovcem chyb v roce 2023?