اگر اطلاعاتی در مورد وجود آن به مخاطبان هدف خود منتقل نکنید، حتی بهترین محتوا نیز سود چندانی نخواهد داشت. به همین دلیل است که بذر محتوا یکی از وظایف کلیدی یک بازاریاب است.

بله، اجرای چنین کاری اصلا آسان نیست. با این حال، اگر همه چیز درست شود، نتیجه می‌تواند حتی از انتظارات بسیار جسورانه هم فراتر رود - نمونه‌های زیادی وجود دارد که چگونه فقط یک مقاله با کیفیت بالا می‌تواند هزاران کلیک را برای یک سایت از منابع مختلف ایجاد کند.

امروز به شما خواهم گفت که چگونه سایت های کاشت را جستجو کنید، با چه معیارهایی آنها را انتخاب کنید، و تعدادی از منابع جالب را به اشتراک خواهم گذاشت که مطمئنم بسیاری از خوانندگان من حتی از وجود آنها اطلاعی نداشتند.

کانال های اصلی کاشت محتوا

هر منبعی که بتواند توجه مخاطبان هدف شما را به خود جلب کند و انتقال اضافی به سایت ارائه دهد مناسب است.

به کانال هایی مانند:

• منابع موضوعی محبوب در جایگاه شما؛
• بسترها و جوامع وبلاگ نویسی؛
• انجمن ها
• توزیع ایمیل؛
• رسانه های اجتماعی؛
• یوتیوب.

توسعه خوب حتی یکی از این حوزه ها می تواند تعداد بازدیدکنندگان مناسبی را برای مقاله شما فراهم کند. و همه آنها می توانند به ایجاد یک جریان واقعی از ترافیک ارجاع به سایت کمک کنند، که می تواند به فروش، سرنخ تبدیل شود، یا افزایش قابل توجهی در نفوذ و شکل گیری یک تصویر متخصص در اختیار صاحب منبع قرار دهد.

سایت ها بر چه اساسی انتخاب می شوند؟

تنها دو مورد از آنها وجود دارد - مطابقت با موضوع مقاله ای که قرار است منتشر شود و حضور مخاطبان هدف زیادی.

با پلتفرم‌های اجتماعی، همه چیز مشخص است. اما اگر در مورد سایت ها و انجمن ها صحبت می کنیم، به ترافیک توجه کنید، زیرا احمقانه است که از منبعی که 1000 نفر در ماه بازدید می کنند، انتظار تعداد زیادی انتقال داشته باشیم.

در یکی از مقالات قبلی قبلاً نوشتم که چگونه می توانید بفهمید. در چارچوب اهداف ما، این قطعا برای شما مفید خواهد بود.

اکنون بیایید نگاهی دقیق تر به نمونه هایی از انتخاب مکان برای کاشت برای هر یک از کانال های ذکر شده بیندازیم.

1. سایت های موضوعی

اصل کار: ما به دنبال یک سایت مناسب برای موضوع با ترافیک خوب هستیم و مطالبی را با پیوند به منبع خود یا مقاله منتشر شده در آن روی آن قرار می دهیم. برای اینکه تا حد امکان طبیعی به نظر برسد، می‌توانید مثلاً چیزی را خلاصه کنید و به سادگی پیوندی به عزیزتان را به عنوان یکی از موارد فهرست اضافه کنید.

به عنوان مثال، ما مقاله ای با عنوان "5 بهترین برنامه مترجم برای آیفون" می نویسیم که در آن یک برنامه توسعه یافته توسط مشتری خود را قرار می دهیم و پیوندی مانند "بررسی دقیق برنامه را در اینجا بخوانید".

ساده ترین راه برای یافتن سایت هایی برای ارسال پست، کاتالوگ سایت های موجود در تبادل مقاله Miralinks است. نکته منفی این است که تعداد خود سایت ها محدود است و اعتبار بسیاری از آنها به دلیل اینکه صاحبان آنها مقالات پولی را به صورت دسته ای ارسال می کنند، مشکوک است.

راه دوم تجزیه و تحلیل منابع برتر در جایگاه و رقبا برای ترافیک ارجاع است. می توانید این کار را با استفاده از Similarweb.com انجام دهید. فقط آدرس سایت مورد نظر را وارد کنید و به تب "ارجاعات" نگاه کنید:

و سومین، پیچیده ترین و زمان برترین، اما در عین حال موثرترین روش، جستجوی نتایج جستجو برای جستجوهای اطلاعاتی در موضوع خود است. بنابراین، می توانید برای قرار دادن پیوند خود در مقاله ای که قبلاً در بالای موتورهای جستجو قرار دارد، مذاکره کنید:

2. پلتفرم ها و جوامع وبلاگ نویسی

پلتفرم هایی مانند LiveInternet.ru و LiveJournal.com به طور فعال توسط بسیاری از کاربران برای نگهداری وبلاگ های شخصی در موضوعات مختلف استفاده می شود. با هزینه اندکی (اگرچه نه همیشه)، می توانید موافقت کنید که مقاله خود را در یادداشت موضوعی ذکر کنید، که به شما امکان می دهد از خوانندگان علاقه مند کلیک کنید.

همچنین می‌توانید انجمن‌های مختلفی را برای یک جایگاه خاص پیدا کنید، به عنوان مثال، HabraHabr.ru برای محصولات و خدمات فناوری اطلاعات، و Babyblog.ru برای ارتقاء در مبحث "خانه و خانواده". این شامل خدمات مختلف پرسش و پاسخ نیز می شود.

3. انجمن ها

در اینجا بهتر است از روش بازاریابی جمعی استفاده کنید، زیرا پیوند به یک مقاله اطلاعاتی با کیفیت بالا را می توان به راحتی در یک موضوع موضوعی در انجمن گذاشت و در عین حال، در چارچوب بحث کاملاً ارگانیک به نظر می رسد. . اما پیوند یک محصول در یک فروشگاه آنلاین یا یک صفحه خدمات به سرعت توسط ناظران پاک می شد، در این شکی نیست.

یک حرکت حیله گرانه تر این است که ترتیبی دهید که یکی از کاربران انجمن معتبر پیوند مورد نیاز خود را ارسال کند، در این صورت قطعا چیزی برای حفاری وجود نخواهد داشت. خوب، در برخی موارد، قرار دادن پولی توجیه می شود - مدیریت بسیاری از انجمن ها به شما امکان می دهد موضوع مورد نیاز خود را به عنوان یک موضوع جداگانه ایجاد کنید.

برای جمع آوری پایگاه داده از سایت ها، نتایج جستجو را با استفاده از یک پرس و جو تجزیه و تحلیل می کنیم inurl:forum "کلید واژه" مثلاً به این صورت:

علاوه بر این، می توانید نتایج جستجو را بر اساس زمان فیلتر کنید.

4. خبرنامه ایمیل

5. شبکه های اجتماعی

روش مورد علاقه من برای کاشت محتوا که تقریباً در هر موضوعی عالی عمل می کند. به طور کلی، تصور بازاریابی محتوای مدرن بدون کار فعالانه با شبکه های اجتماعی دشوار است.

در این مورد، می توانید از چندین روش استفاده کنید:

نتیجه می تواند به سادگی عالی باشد:

جستجوی جوامع برای ارسال در VKontakte بسیار ساده است - کلمه کلیدی مورد نظر را در جستجو وارد کنید، روی "همه نتایج" کلیک کنید و مورد "Communities" را در نوار کناری سمت راست بررسی کنید. در پارامترهای جستجو، می‌توانید نوع جامعه و نحوه مرتب‌سازی نتایج را نیز مشخص کنید:

سپس ما به سادگی موارد مورد نیاز خود را انتخاب می کنیم و پیشنهاد خود را برای مدیران می نویسیم.

همچنین می توانید از صرافی رسمی برای انجام این کار استفاده کنید، پس از ورود به نمایه VKontakte، در منوی سمت چپ در پایین، روی "تبلیغات" کلیک کنید و به تب "تبلیغات در جوامع" بروید. پس از ایجاد یک پست تبلیغاتی، به مجموعه عظیمی از پلتفرم های قرار دادن دسترسی خواهید داشت:

با فیس بوک، همه چیز بسیار پیچیده تر است. هیچ جستجوی معمولی برای جوامع در خود شبکه اجتماعی وجود ندارد، بنابراین باید آنها را با استفاده از رتبه‌بندی/برترین‌های خاص، به عنوان مثال، رتبه‌بندی انجمن فیس‌بوک، با قابلیت مرتب‌سازی بر اساس کشورهای مختلف، جستجو کنید.

با صفحات آسان تر است - تقریباً هر سایت تبلیغ شده دارای یک صفحه رسمی فیس بوک است و شما می توانید مستقیماً به صاحب آن نامه بنویسید و پیشنهادی برای پست نشریه یا بازنشر خود بدهید.

6. یوتیوب

در بین تمام روش های کاشت ذکر شده در این مقاله، این گزینه کمتر مورد استفاده قرار می گیرد. نه به این دلیل که بی اثر است، بلکه صرفاً به این دلیل که بسیاری از مردم حتی در مورد آن نمی دانند. یک راه عالی برای پیشی گرفتن از رقبای خود و حذف خامه.

ایده ساده است: ما کانال های موضوعی یا ویدیوهای آماده را جستجو می کنیم و موافقت می کنیم که پیوند مورد نیاز خود را در توضیحات قرار دهیم. در مورد کانال، اگر بودجه شما اجازه می دهد، حتی می توانید با یک بررسی ویدیویی منحصراً برای محصول خود موافقت کنید.

به عنوان مثال، ما یک مقاله جالب و مفید در مورد مراقبت از گل رز داریم که در وبلاگ یک فروشگاه اینترنتی فروش بذر و نهال منتشر شده است. ما درخواست مربوطه را در جستجوی YouTube وارد می کنیم:

در صورت لزوم، یک فیلتر زمان تنظیم کنید. ما به دنبال ویدیویی هستیم که بازدیدهای زیادی داشته باشد یا محبوبیت آن در حال افزایش باشد. و، ما با صاحبان کانال موافقت می کنیم که پیوندی به مقاله شما در توضیحات ویدیو قرار دهند، با این توصیه:

برای اطلاع از مخاطبین صاحب یک کانال YouTube، روی نام آن کلیک کنید:

سپس بر روی تب "درباره کانال" کلیک کنید:

و هر چیزی که نیاز دارید از قبل اینجاست:

بیایید آن را جمع بندی کنیم

تکنیک کاشت محتوا که در این مقاله توضیح دادم ممکن است از نظر زمان/پول بسیار پیچیده و پرهزینه به نظر برسد. اما، باور کنید، ارزشش را دارد، و تأثیر آن به مراتب بهتر از هرزنامه‌های دانش‌آموزان خواهد بود که آژانس‌های سئو استریم سعی می‌کنند تحت عنوان «بازاریابی جمعی» به مشتریان خود بفروشند.

کار منظم در این زمینه به برندسازی کمک می کند! و با گذشت زمان، رشد ارگانیک بک لینک ها و ذکرهای مربوط به شرکت را بدون تلاش اضافی از طرف یک متخصص ترویج می کند.

اما نکته اصلی این است که با گذشت زمان می توانید از رقبای خود به سطح تقریباً دست نیافتنی جدا شوید. حداقل، شما با یک مانع در قالب ده ها نشریه، هزاران کلیک و صدها بک لینک از هم جدا خواهید شد. و حتی یک رقیب با بودجه بسیار زیاد نمی تواند به سرعت بر آن غلبه کند.

و ما نباید فراموش کنیم که اساس همه چیز قطعا باید محتوای باکیفیت باشد. اگر سعی کنید مقالات خسته کننده، بی کیفیت و درجه دو را توزیع کنید، به هر حال کسی به آنها توجه نخواهد کرد. حتی اگر بودجه تبلیغاتی شما حاوی چندین صفر باشد.

• قسمت 1.
• قسمت 2.
• قسمت 3.
• قسمت 4.
• قسمت 5. شروع کاشت
• قسمت 6. .

در 32 سالگی، دیگر فکر نمی کردم که نظر شخص دیگری در مورد ظاهر من می تواند نوعی عقده برای من ایجاد کند. اما آنجا نبود.

شروع کردم به بردن دخترم به مهدکودک شهرداری. قبل از آن، او یک سال را در یک خانه خصوصی گذراند، یکی از بهترین ها در مرکز کوچک منطقه ای ما. از آنجایی که شغل من، با وجود اینکه یک شغل اداری است، ارتباطی با مشتری ندارد، هیچ گاه کد لباسی وجود نداشته است. شلوار جین، ژاکت، شلوار لی، تونیک، لباس های اداری ساده - لباس های ساده و راحت، که من آنها را به کت و شلوارهای تجاری و لباس های فوق مد ترجیح می دهم. من با ماشین سر کار می روم، بنابراین کفش ها نیز مناسب هستند - بدون پلت فرم، پاشنه کفش یا سایر موارد اضافی که برای رانندگی ناخوشایند هستند. به دلیل حساسیت چشم‌هایم، در تعطیلات بزرگ به ندرت از لوازم آرایشی استفاده می‌کنم، بنابراین در زندگی روزمره شیک خاصی از خود نشان نمی‌دهم.

در طول سالی که از یک مهدکودک خصوصی بازدید کردم، ظاهر من یک بار باعث سردرگمی، نارضایتی یا محکومیت معلمان یا صاحب موسسه نشد. و بسیاری از مادران دیگر مانند مادران بیش از حد لباس پوشیده به نظر نمی رسیدند و به دلیل شرایط کاری مشابه و سفر مستقل با ماشین شخصی، سادگی و راحتی را ترجیح می دادند.

وقتی به مهدکودک شهرداری رفتم، از مادران شیک و شیک پوش کمی دلسرد شدم. اما من برای آنها خوشحال بودم: ببینید، زندگی مردم در حال بهتر شدن است، به لباس هایی که شروع به پوشیدن کردند نگاه کنید! البته گزینه‌های ساده‌تری هم وجود داشت، اما کیلوگرم ثابت لوازم آرایشی، دنباله جهنمی عطر و کفش‌های پاشنه بلند اجازه نمی‌داد در میل تزلزل ناپذیر به «ایده‌آل» شک کند.

یک غروب طوفانی اکتبر، معلم ما به سمت من آمد و با صدای گریه از من خواست تا به پاک کردن برگ های زمین بازی کمک کنم. مثل اینکه دور تا دور درختان است، سرایداری وجود ندارد (چرا یک داستان جداگانه است) و برگ ها قبلاً کل منطقه را گرفته اند و حتی برای یک بزرگسال هم سخت است که روی آن راه برود چه برسد به بچه های کوچک. اتفاقاً من به عنوان یک پدر و مادر وظیفه شناس، یکی از اعضای کمیته والدین (نه مزخرف!) موافقت کردم که کمک کنم.

روز بعد، به من و یک مادر دیگر یک چنگک، یک بیل برفی کودکان داده شد و محل کار مشخص شد. معلوم شد که کار زیادی است، بنابراین ما وقت نداشتیم همه چیز را چنگک بزنیم، آن را در کیسه هایی (که خودمان آورده بودیم) بسته بندی کنیم و قبل از تاریک شدن هوا به سطل زباله در انتهای دیگر مهد کودک بکشیم و ما از مبارزه خسته شده بودند با قضاوت درست که نصف مقدار کار برای ما دو نفر کافی است و باید حداقل چیزی را به گروه دیگری از داوطلبان بسپاریم، به خانه رفتیم.

روز بعد، به جای قدردانی از کار گزافمان، مجبور شدم به شکایات گوش کنم که "چرا همه چیز حذف نشد؟" بعد، من (I) و معلم (B):

س: چرا شما و یولیا دیروز کل سایت را پاکسازی نکردید؟

من: وقت نداشتیم برای دو نفر طولانی و سخت است. چرا هیچ یک از والدین دیگر برای تمیز کردن نیامدند؟ ما در گروه 30 بچه داریم نه دوتا.

س: چون فقط شما و یولیا غیرقابل نمایش به نظر می رسید. بقیه برای چنگ زدن برگ ها خیلی خوب به نظر می رسند.

به دست آوردن اطلاعات خصوصی همیشه به معنای هک نیست - گاهی اوقات به صورت عمومی منتشر می شود. آگاهی از تنظیمات Google و کمی هوشمندی به شما امکان می دهد چیزهای جالب زیادی پیدا کنید - از شماره کارت اعتباری گرفته تا اسناد FBI.

هشدار

امروزه همه چیز به اینترنت متصل است و نگرانی چندانی برای محدود کردن دسترسی وجود ندارد. بنابراین، بسیاری از داده های خصوصی طعمه موتورهای جستجو می شوند. ربات‌های عنکبوتی دیگر محدود به صفحات وب نیستند، بلکه تمام محتوای موجود در اینترنت را فهرست‌بندی می‌کنند و دائماً اطلاعات غیرعمومی را به پایگاه داده‌های خود اضافه می‌کنند. پیدا کردن این رازها آسان است - فقط باید بدانید که چگونه در مورد آنها بپرسید.

در حال جستجو برای فایل ها

در دستان توانا، گوگل به سرعت هر چیزی را که در اینترنت یافت نمی شود، به عنوان مثال، اطلاعات شخصی و فایل هایی برای استفاده رسمی پیدا می کند. آنها اغلب مانند یک کلید زیر یک فرش پنهان می شوند: هیچ محدودیت دسترسی واقعی وجود ندارد، داده ها به سادگی در پشت سایت قرار دارند، جایی که هیچ پیوندی به آن منتهی نمی شود. رابط وب استاندارد Google فقط تنظیمات اولیه جستجوی پیشرفته را ارائه می دهد، اما حتی اینها نیز کافی خواهند بود.

می‌توانید جستجوی Google خود را با استفاده از دو عملگر به نوع خاصی از فایل محدود کنید: filetype و ext. اولی فرمتی را مشخص می کند که موتور جستجو از عنوان فایل تعیین کرده است، دومی پسوند فایل را بدون توجه به محتوای داخلی آن مشخص می کند. هنگام جستجو در هر دو مورد، فقط باید پسوند را مشخص کنید. در ابتدا، اپراتور ext در مواردی که فایل دارای ویژگی های فرمت خاصی نبود (به عنوان مثال، برای جستجوی فایل های پیکربندی ini و cfg که می تواند حاوی هر چیزی باشد) راحت بود. اکنون الگوریتم های گوگل تغییر کرده اند و هیچ تفاوت قابل مشاهده ای بین اپراتورها وجود ندارد - در بیشتر موارد نتایج یکسان است.

فیلتر کردن نتایج

به طور پیش فرض، گوگل کلمات و به طور کلی هر کاراکتر وارد شده را در تمام فایل های صفحات نمایه شده جستجو می کند. می‌توانید ناحیه جستجو را با دامنه سطح بالا، یک سایت خاص، یا با مکان دنباله جستجو در خود فایل‌ها محدود کنید. برای دو گزینه اول از اپراتور سایت و به دنبال آن نام دامنه یا سایت انتخاب شده استفاده کنید. در مورد سوم، مجموعه کاملی از اپراتورها به شما امکان می دهد اطلاعات را در زمینه های خدمات و ابرداده جستجو کنید. به عنوان مثال، allinurl مورد داده شده را در بدنه خود پیوندها، allinanchor - در متن مجهز به برچسب پیدا می کند. ، allintitle - در عنوان صفحات، allintext - در بدنه صفحات.

برای هر اپراتور یک نسخه سبک وزن با نام کوتاهتر (بدون پیشوند all) وجود دارد. تفاوت این است که allinurl پیوندها را با همه کلمات پیدا می کند و inurl فقط با اولین آنها پیوندها را پیدا می کند. کلمات دوم و بعدی از پرس و جو می توانند در هر نقطه از صفحات وب ظاهر شوند. اپراتور inurl نیز با اپراتور دیگری با معنای مشابه - سایت متفاوت است. اولین مورد همچنین به شما امکان می دهد هر دنباله ای از کاراکترها را در پیوند به سند جستجو شده (به عنوان مثال /cgi-bin/) پیدا کنید، که به طور گسترده برای یافتن مؤلفه هایی با آسیب پذیری های شناخته شده استفاده می شود.

بیایید آن را در عمل امتحان کنیم. فیلتر allintext را می گیریم و درخواست می کنیم لیستی از اعداد و کدهای تأیید کارت های اعتباری را تولید کند که فقط دو سال دیگر منقضی می شوند (یا زمانی که صاحبان آنها از غذا دادن به همه خسته شوند).

Allintext: تاریخ انقضا شماره کارت /2017 cvv

وقتی در اخبار می خوانید که یک هکر جوان به سرورهای پنتاگون یا ناسا "هک" کرده و اطلاعات طبقه بندی شده را می دزدد، در بیشتر موارد ما در مورد چنین تکنیک اساسی استفاده از گوگل صحبت می کنیم. فرض کنید ما به لیستی از کارمندان ناسا و اطلاعات تماس آنها علاقه مند هستیم. مطمئناً چنین فهرستی به صورت الکترونیکی موجود است. برای سهولت یا به دلیل نظارت، ممکن است در خود وب سایت سازمان نیز باشد. منطقی است که در این مورد هیچ پیوندی به آن وجود نخواهد داشت، زیرا برای استفاده داخلی در نظر گرفته شده است. چه کلماتی می تواند در چنین فایلی باشد؟ حداقل - فیلد "آدرس". آزمایش همه این مفروضات آسان است.

Inurl:nasa.gov نوع فایل:xlsx "آدرس"

ما از بوروکراسی استفاده می کنیم

یافته های این چنینی لمس خوبی هستند. یک جلب واقعی، اطلاعات دقیق تری از اپراتورهای گوگل برای مدیران وب، خود شبکه و ویژگی های ساختار آنچه به دنبال آن است، ارائه می دهد. با دانستن جزئیات، می‌توانید به راحتی نتایج را فیلتر کنید و ویژگی‌های فایل‌های لازم را برای به دست آوردن داده‌های واقعا ارزشمند در بقیه اصلاح کنید. خنده دار است که بوروکراسی اینجا به کمک می آید. فرمول‌های استانداردی تولید می‌کند که برای جستجوی اطلاعات محرمانه‌ای که به‌طور تصادفی در اینترنت به بیرون درز کرده‌اند، راحت هستند.

به عنوان مثال، مهر بیانیه توزیع، اجباری در دفتر وزارت دفاع ایالات متحده، به معنای محدودیت های استاندارد در توزیع سند است. حرف A نشان دهنده انتشار عمومی است که در آن هیچ چیز پنهانی وجود ندارد. B - فقط برای استفاده داخلی در نظر گرفته شده است، C - کاملا محرمانه، و به همین ترتیب تا زمانی که F. حرف X به طور جداگانه برجسته می شود، که مشخص کننده اطلاعات بسیار ارزشمندی است که یک راز دولتی در بالاترین سطح را نشان می دهد. اجازه دهید کسانی که قرار است این کار را در حین انجام وظیفه انجام دهند، چنین اسنادی را جستجو کنند، و ما خود را به پرونده هایی با حرف C محدود می کنیم. طبق دستورالعمل DoDI 5230.24، این علامت گذاری به اسنادی اختصاص داده می شود که حاوی شرح فناوری های حیاتی هستند که تحت کنترل صادرات هستند. . شما می توانید چنین اطلاعات محافظت شده ای را در سایت های سطح بالای domain.mil که برای ارتش ایالات متحده اختصاص داده شده است بیابید.

"بیانیه توزیع C" inurl:navy.mil

بسیار راحت است که دامنه .mil فقط دارای سایت هایی از وزارت دفاع ایالات متحده و سازمان های قراردادی آن باشد. نتایج جستجو با محدودیت دامنه بسیار تمیز هستند و عناوین خود گویای آن هستند. جستجوی اسرار روسیه از این طریق عملاً بی فایده است: هرج و مرج در domains.ru و.rf حاکم است و نام بسیاری از سیستم های تسلیحاتی شبیه به سیستم های گیاه شناسی (PP "Kiparis" ، اسلحه های خودکششی "Akatsia") یا حتی افسانه است ( TOS "Buratino").

با مطالعه دقیق هر سندی از یک سایت در دامنه .mil، می توانید نشانگرهای دیگری را برای اصلاح جستجوی خود مشاهده کنید. به عنوان مثال، اشاره به محدودیت های صادراتی "Sec 2751" که برای جستجوی اطلاعات فنی جالب نیز مناسب است. هر از چند گاهی از سایت های رسمی که زمانی ظاهر می شد حذف می شود، بنابراین اگر نمی توانید پیوند جالبی را در نتایج جستجو دنبال کنید، از کش گوگل (اپراتور کش) یا سایت آرشیو اینترنت استفاده کنید.

بالا رفتن از ابرها

علاوه بر اسناد دولتی که به‌طور تصادفی از طبقه‌بندی خارج شده‌اند، پیوندهایی به فایل‌های شخصی از Dropbox و سایر سرویس‌های ذخیره‌سازی داده که پیوندهای «خصوصی» به داده‌های منتشر شده عمومی ایجاد می‌کنند، گهگاه در حافظه پنهان Google ظاهر می‌شوند. با خدمات جایگزین و خانگی بدتر است. به عنوان مثال، کوئری زیر داده‌هایی را برای همه مشتریان Verizon که یک سرور FTP نصب کرده‌اند و به طور فعال از روتر خود استفاده می‌کنند، پیدا می‌کند.

Allinurl:ftp://verizon.net

اکنون بیش از چهل هزار نفر از این افراد باهوش وجود دارند و در بهار سال 2015 تعداد آنها بسیار بیشتر بود. به جای Verizon.net، می‌توانید نام هر ارائه‌دهنده معروفی را جایگزین کنید، و هر چه معروف‌تر باشد، اندازه‌گیری بزرگ‌تر می‌شود. از طریق سرور FTP داخلی، می توانید فایل ها را در یک دستگاه ذخیره سازی خارجی متصل به روتر مشاهده کنید. معمولاً این یک NAS برای کار از راه دور، یک ابر شخصی یا نوعی دانلود فایل همتا به همتا است. تمامی محتویات این رسانه ها توسط گوگل و سایر موتورهای جستجو ایندکس می شوند، بنابراین می توانید از طریق یک لینک مستقیم به فایل های ذخیره شده در درایوهای خارجی دسترسی داشته باشید.

نگاه کردن به تنظیمات

قبل از مهاجرت گسترده به فضای ابری، سرورهای ساده FTP به عنوان ذخیره‌سازی از راه دور حکمفرما بودند که آسیب‌پذیری‌های زیادی نیز داشتند. بسیاری از آنها هنوز هم مربوط به امروز هستند. به عنوان مثال، برنامه محبوب WS_FTP Professional داده های پیکربندی، حساب های کاربری و رمزهای عبور را در فایل ws_ftp.ini ذخیره می کند. یافتن و خواندن آن آسان است، زیرا همه رکوردها در قالب متن ذخیره می شوند و رمزهای عبور با الگوریتم Triple DES پس از حداقل مبهم سازی رمزگذاری می شوند. در اکثر نسخه ها، صرفاً دور انداختن بایت اول کافی است.

رمزگشایی چنین رمزهای عبور با استفاده از ابزار WS_FTP Password Decryptor یا یک سرویس وب رایگان آسان است.

وقتی صحبت از هک کردن یک وب سایت دلخواه می شود، معمولاً به معنای دریافت رمز عبور از لاگ ها و پشتیبان گیری از فایل های پیکربندی CMS یا برنامه های تجارت الکترونیک است. اگر ساختار معمولی آنها را بدانید، می توانید به راحتی کلمات کلیدی را مشخص کنید. خطوطی مانند خطوط موجود در ws_ftp.ini بسیار رایج هستند. به عنوان مثال، در دروپال و پرستاشاپ همیشه یک شناسه کاربری (UID) و یک رمز عبور مربوطه (pwd) وجود دارد و تمام اطلاعات در فایل هایی با پسوند inc ذخیره می شود. می توانید آنها را به صورت زیر جستجو کنید:

"pwd=" "UID=" ext:inc

فاش کردن رمزهای عبور DBMS

در فایل‌های پیکربندی سرورهای SQL، نام‌های کاربری و آدرس‌های ایمیل به صورت متن شفاف ذخیره می‌شوند و هش‌های MD5 آن‌ها به جای رمز عبور نوشته می‌شوند. به عبارت دقیق تر، رمزگشایی آنها غیرممکن است، اما می توانید در بین جفت های شناخته شده هش-گذرواژه مطابقت پیدا کنید.

هنوز DBMS هایی وجود دارند که حتی از هش رمز عبور استفاده نمی کنند. فایل های پیکربندی هر یک از آنها را می توان به سادگی در مرورگر مشاهده کرد.

Intext:DB_PASSWORD نوع فایل: env

با ظهور سرورهای ویندوز، جای فایل های پیکربندی تا حدی توسط رجیستری گرفته شد. شما می توانید در شاخه های آن دقیقاً به همین روش جستجو کنید و از reg به عنوان نوع فایل استفاده کنید. به عنوان مثال، مانند این:

نوع فایل:reg HKEY_CURRENT_USER "Password"=

بدیهیات را فراموش نکنیم

گاهی اوقات می توان با استفاده از داده هایی که به طور تصادفی باز شده و مورد توجه گوگل قرار گرفته اند، به اطلاعات طبقه بندی شده دست یافت. گزینه ایده آل یافتن لیستی از رمزهای عبور در برخی از قالب های رایج است. فقط افراد ناامید می توانند اطلاعات حساب را در یک فایل متنی، سند Word یا صفحه گسترده اکسل ذخیره کنند، اما همیشه تعداد کافی از آنها وجود دارد.

نوع فایل:xls inurl:password

از یک طرف، ابزارهای زیادی برای جلوگیری از چنین حوادثی وجود دارد. لازم است حقوق دسترسی کافی در htaccess مشخص شود، CMS وصله شود، از اسکریپت های چپ استفاده نشود و حفره های دیگر بسته شود. همچنین فایلی با لیستی از استثناهای robots.txt وجود دارد که موتورهای جستجو را از ایندکس کردن فایل ها و دایرکتوری های مشخص شده در آن منع می کند. از طرف دیگر، اگر ساختار robots.txt در برخی از سرورها با ساختار استاندارد متفاوت باشد، بلافاصله مشخص می شود که آنها سعی دارند چه چیزی را روی آن پنهان کنند.

فهرست دایرکتوری‌ها و فایل‌ها در هر سایتی با نمایه استاندارد قبل از آن قرار می‌گیرد. از آنجایی که برای اهداف خدماتی باید در عنوان ظاهر شود، منطقی است که جستجوی آن را به عملگر intitle محدود کنیم. چیزهای جالبی در دایرکتوری های /admin/، /personal/، /etc/ و حتی /secret/ وجود دارد.

منتظر بروزرسانی ها باشید

ارتباط در اینجا بسیار مهم است: آسیب پذیری های قدیمی بسیار آهسته بسته می شوند، اما گوگل و نتایج جستجوی آن دائما در حال تغییر هستند. حتی بین فیلتر «ثانیه آخر» (&tbs=qdr:s در انتهای URL درخواست) و فیلتر «زمان واقعی» (&tbs=qdr:1) تفاوت وجود دارد.

فاصله زمانی تاریخ آخرین به روز رسانی فایل نیز به طور ضمنی توسط گوگل مشخص شده است. از طریق رابط گرافیکی وب، می توانید یکی از دوره های استاندارد (ساعت، روز، هفته و ...) را انتخاب کنید یا محدوده تاریخ را تعیین کنید، اما این روش برای اتوماسیون مناسب نیست.

از ظاهر نوار آدرس، فقط می‌توانید روشی را برای محدود کردن خروجی نتایج با استفاده از ساخت &tbs=qdr: حدس بزنید. حرف y بعد از تعیین حد یک سال (&tbs=qdr:y)، m نتایج ماه گذشته، w - برای هفته، d - برای روز گذشته، h - برای ساعت آخر، n - را نشان می دهد. برای دقیقه، و s - برای یک ثانیه به من بدهید. جدیدترین نتایجی که گوگل به تازگی اعلام کرده است با استفاده از فیلتر &tbs=qdr:1 یافت می شود.

اگر نیاز به نوشتن یک اسکریپت هوشمندانه دارید، مفید خواهد بود که بدانید محدوده تاریخ در گوگل با فرمت Julian با استفاده از عملگر daterange تنظیم شده است. به عنوان مثال، به این ترتیب می توانید لیستی از اسناد PDF با کلمه محرمانه را که از 1 ژانویه تا 1 ژوئیه 2015 دانلود شده است، پیدا کنید.

نوع فایل محرمانه: pdf daterange: 2457024-2457205

محدوده در قالب تاریخ جولیان بدون در نظر گرفتن قسمت کسری نشان داده شده است. ترجمه دستی آنها از تقویم میلادی ناخوشایند است. استفاده از مبدل تاریخ آسانتر است.

دوباره هدف گذاری و فیلتر کردن

علاوه بر مشخص کردن اپراتورهای اضافی در عبارت جستجو، می توان آنها را مستقیماً در متن پیوند ارسال کرد. برای مثال، مشخصات filetype:pdf با ساختار as_filetype=pdf مطابقت دارد. این باعث می‌شود که درخواست هر گونه توضیح راحت باشد. بیایید بگوییم که خروجی نتایج فقط از جمهوری هندوراس با افزودن ساختار cr=countryHN به URL جستجو مشخص می شود و فقط از شهر Bobruisk - gcs=Bobruisk. شما می توانید یک لیست کامل را در بخش توسعه دهندگان پیدا کنید.

ابزارهای اتوماسیون گوگل برای آسان‌تر کردن زندگی طراحی شده‌اند، اما اغلب مشکلاتی را اضافه می‌کنند. به عنوان مثال، شهر کاربر توسط IP کاربر از طریق WHOIS تعیین می شود. بر اساس این اطلاعات، گوگل نه تنها بار بین سرورها را متعادل می کند، بلکه نتایج جستجو را نیز تغییر می دهد. بسته به منطقه، برای همان درخواست، نتایج مختلفی در صفحه اول ظاهر می شود و ممکن است برخی از آنها کاملاً پنهان شوند. کد دو حرفی بعد از دستورالعمل gl=country به شما کمک می کند احساس کنید که یک جهان وطن هستید و به دنبال اطلاعات هر کشوری باشید. به عنوان مثال، کد هلند NL است، اما واتیکان و کره شمالی کد خود را در گوگل ندارند.

اغلب، نتایج جستجو حتی پس از استفاده از چندین فیلتر پیشرفته به هم ریخته می شوند. در این حالت می توان با افزودن چند کلمه استثنا به آن درخواست را روشن کرد (در مقابل هر یک علامت منفی قرار داده شده است). به عنوان مثال، بانکداری، نام ها و آموزش اغلب با کلمه Personal استفاده می شود. بنابراین، نتایج جستجوی تمیزتر نه با یک نمونه کتاب درسی از یک پرس و جو، بلکه با یک نمونه تصفیه شده نشان داده می شود:

عنوان:"شاخص /شخصی/" -نام ها -آموزش -بانکداری

یک نمونه آخر

یک هکر پیشرفته با این واقعیت متمایز می شود که هر آنچه را که نیاز دارد به تنهایی برای خود فراهم می کند. به عنوان مثال، VPN یک چیز راحت است، اما یا گران است، یا موقت و با محدودیت. ثبت نام برای اشتراک برای خودتان بسیار گران است. خوب است که اشتراک های گروهی وجود دارد و با کمک گوگل می توان به راحتی عضو یک گروه شد. برای انجام این کار، فقط فایل پیکربندی Cisco VPN را پیدا کنید که دارای پسوند PCF نسبتاً غیر استاندارد و یک مسیر قابل تشخیص است: Program Files\Cisco Systems\VPN Client\Profiles. یک درخواست و به عنوان مثال به تیم دوستانه دانشگاه بن ملحق می شوید.

نوع فایل: pcf vpn OR Group

اطلاعات

گوگل فایل های پیکربندی رمز عبور را پیدا می کند، اما بسیاری از آنها رمزگذاری شده یا با هش جایگزین شده اند. اگر رشته هایی با طول ثابت مشاهده کردید، فوراً به دنبال یک سرویس رمزگشایی باشید.

رمزهای عبور به صورت رمزگذاری شده ذخیره می شوند، اما موریس ماسارد قبلاً برنامه ای برای رمزگشایی آنها نوشته و آن را به صورت رایگان از طریق thecampusgeeks.com ارائه کرده است.

گوگل صدها نوع مختلف حمله و تست نفوذ را اجرا می کند. گزینه های زیادی وجود دارد که بر برنامه های محبوب، فرمت های اصلی پایگاه داده، آسیب پذیری های متعدد PHP، ابرها و غیره تأثیر می گذارد. دانستن اینکه دقیقاً به دنبال چه چیزی هستید، یافتن اطلاعات مورد نیازتان را بسیار آسان تر می کند (مخصوصاً اطلاعاتی که قصد نداشتید عمومی کنید). شودان تنها کسی نیست که با ایده های جالب تغذیه می شود، بلکه هر پایگاه داده ای از منابع شبکه نمایه شده است!

این مقاله در درجه اول برای بهینه سازان مبتدی مفید خواهد بود، زیرا افراد پیشرفته تر باید همه چیز را در مورد آنها بدانند. برای استفاده از این مقاله با حداکثر کارایی، توصیه می شود دقیقاً بدانید که کدام کلمات باید در جایگاه های مناسب قرار گیرند. اگر هنوز از لیست کلمات مطمئن نیستید یا از سرویس پیشنهاد کلمات کلیدی استفاده می کنید، کمی گیج کننده است، اما می توانید آن را کشف کنید.

مهم! مطمئن باشید، گوگل به خوبی می‌داند که کاربران عادی از آنها استفاده نخواهند کرد و فقط متخصصان تبلیغات به کمک آنها متوسل می‌شوند. بنابراین، گوگل ممکن است اطلاعات ارائه شده را کمی تحریف کند

اپراتور عنوان:

استفاده:عنوان: کلمه
مثال:عنوان: ارتقای سایت
شرح:هنگام استفاده از این اپراتور، لیستی از صفحاتی را دریافت خواهید کرد که عنوان آنها حاوی کلمه مورد علاقه شما است، در مورد ما این عبارت "پیشبرد سایت" به طور کامل است. لطفا توجه داشته باشید که پس از کولون نباید فاصله ای وجود داشته باشد. عنوان صفحه هنگام رتبه بندی مهم است، بنابراین هنگام نوشتن عنوان خود مراقب باشید. با استفاده از این متغیر می‌توانید تعداد تقریبی رقبای را که می‌خواهند در موقعیت‌های پیشرو برای این کلمه قرار گیرند، تخمین بزنید.

اپراتور Inurl:

استفاده: inurl: عبارت
مثال: inurl: محاسبه هزینه بهینه سازی موتور جستجو
شرح:این دستور سایت ها یا صفحاتی را نشان می دهد که کلمه کلیدی اصلی را در URL خود دارند. لطفا توجه داشته باشید که پس از کولون نباید فاصله ای وجود داشته باشد.

اپراتور Inanchor:

استفاده: inanchor: عبارت
مثال: inanchor: کتاب های سئو
شرح:استفاده از این عملگر به شما کمک می کند تا صفحاتی را ببینید که به کلمه کلیدی مورد استفاده شما پیوند دارند. این یک دستور بسیار مهم است، اما متأسفانه موتورهای جستجو به دلایل واضح تمایلی به به اشتراک گذاشتن این اطلاعات با سئوکاران ندارند. خدمات Linkscape و Majestic SEO وجود دارند که این اطلاعات را با پرداخت هزینه در اختیار شما قرار می دهند، اما مطمئن باشید که اطلاعات ارزشش را دارد.

همچنین، شایان ذکر است که اکنون گوگل بیشتر و بیشتر به "اعتماد" سایت و کمتر و کمتر به جرم پیوند توجه می کند. البته، پیوندها هنوز یکی از مهمترین عوامل هستند، اما «اعتماد» به طور فزاینده ای نقش مهمی ایفا می کند.

ترکیبی از دو متغیر نتایج خوبی می دهد، به عنوان مثال عنوان: promotion inanchor: ارتقای سایت. و آنچه می بینیم، موتور جستجو رقبای اصلی را به ما نشان می دهد که عنوان صفحه آنها حاوی کلمه "ترفیع" و لینک های ورودی با لنگر "پیشبرد سایت" است.

متأسفانه، این ترکیب به شما اجازه نمی دهد تا به "اعتماد" دامنه، که همانطور که قبلاً گفتیم، عامل بسیار مهمی است، پی ببرید. به عنوان مثال، بسیاری از سایت های شرکتی قدیمی به اندازه رقبای جوان تر خود لینک ندارند، اما تعداد زیادی لینک قدیمی دارند که این سایت ها را به بالای نتایج جستجو می کشاند.

اپراتور سایت:

استفاده:سایت: آدرس سایت
مثال:سایت: www.aweb.com.ua
شرح:با استفاده از این دستور می توانید لیستی از صفحاتی که توسط موتور جستجو ایندکس شده و از آنها اطلاع دارد را مشاهده کنید. عمدتاً برای اطلاع از صفحات رقبا و تجزیه و تحلیل آنها استفاده می شود.

اپراتور کش:

استفاده:کش: آدرس صفحه
مثال:حافظه پنهان: www.aweb.com.ua
شرح:این دستور یک عکس فوری از صفحه از لحظه آخرین بازدید ربات از سایت و به طور کلی نحوه مشاهده محتوای صفحه را نشان می دهد. با بررسی تاریخ کش صفحه، می توانید تعیین کنید که ربات ها چند بار از سایت بازدید می کنند. هر چه سایت معتبرتر باشد، ربات‌ها بیشتر از آن بازدید می‌کنند و بر این اساس، هر چه سایت معتبرتر باشد (به گفته گوگل)، ربات‌ها کمتر از صفحه عکس می‌گیرند.

کش هنگام خرید لینک بسیار مهم است. هر چه تاریخ کش صفحه به تاریخ خرید لینک نزدیکتر باشد، لینک شما سریعتر توسط موتور جستجوی گوگل ایندکس می شود. گاهی اوقات امکان یافتن صفحاتی با سن کش 3 ماه وجود داشت. با خرید لینک در چنین سایتی فقط پول خود را هدر خواهید داد، زیرا این امکان وجود دارد که هرگز این لینک ایندکس نشود.

اپراتور پیوند:

استفاده:لینک: آدرس اینترنتی
مثال:لینک: www.aweb.com.ua
شرح:عملگر پیوند: صفحاتی را که به url مشخص شده پیوند دارند را پیدا کرده و نمایش می دهد. این می تواند صفحه اصلی سایت یا صفحه داخلی باشد.

اپراتور مرتبط:

استفاده:مرتبط: آدرس اینترنتی
مثال:مرتبط: www.aweb.com.ua
شرح:عملگر مرتبط: صفحاتی را که موتور جستجو فکر می کند شبیه به صفحه مشخص شده است را برمی گرداند. برای یک فرد، ممکن است تمام صفحات دریافتی مشابهی نداشته باشند، اما برای یک موتور جستجو اینطور است.

اطلاعات اپراتور:

استفاده:اطلاعات: آدرس اینترنتی
مثال:اطلاعات: www.aweb.com.ua
شرح:هنگام استفاده از این عملگر، ما قادر خواهیم بود اطلاعاتی در مورد صفحه ای که برای موتور جستجو شناخته شده است به دست آوریم. این می تواند نویسنده، تاریخ انتشار و موارد دیگر باشد. علاوه بر این، در صفحه جستجو، Google اقدامات متعددی را ارائه می دهد که می تواند با این صفحه انجام دهد. یا به بیان ساده، استفاده از برخی از عملگرهایی را که در بالا توضیح دادیم پیشنهاد می کند.

عملگر Allintitle:

استفاده: allintitle: عبارت
مثال: allintitle: web promotion
شرح:اگر جستجویی را با این کلمه شروع کنیم، لیستی از صفحاتی را دریافت می کنیم که کل عبارت را در عنوان دارند. به عنوان مثال، اگر بخواهیم کلمه allintitle:web promotion را جستجو کنیم، فهرستی از صفحاتی را دریافت خواهیم کرد که در عنوان آنها هر دو کلمه ذکر شده است. و لزوماً مجبور نیستند یکی پس از دیگری بروند.

عملگر Allintext:

استفاده: allintext: word
مثال: allintext:بهینه سازی
شرح:این اپراتور تمام صفحاتی را که کلمه مشخص شده را در متن خود دارند جستجو می کند. اگر بخواهیم از allintext: aweb optimization استفاده کنیم، لیستی از صفحاتی که در متن آنها این کلمات ظاهر می شود را می بینیم. یعنی نه کل عبارت “web optimization”، بلکه هر دو کلمه “optimization” و “web”.

موتور جستجوی گوگل (www.google.com) گزینه های جستجوی زیادی را ارائه می دهد. همه این ویژگی ها ابزار جستجوی ارزشمندی برای کاربر تازه وارد به اینترنت و در عین حال سلاحی قدرتمندتر برای تهاجم و تخریب در دستان افرادی با نیات شیطانی، از جمله نه تنها هکرها، بلکه مجرمان غیر رایانه ای و حتی تروریست ها
(9475 بازدید در 1 هفته)

دنیس بارانکوف
denisNOSPAMixi.ru

توجه:این مقاله راهنمای عمل نیست. این مقاله برای شما مدیران وب سرور نوشته شده است تا احساس کاذب امنیت خود را از دست بدهید و در نهایت موذیانه بودن این روش کسب اطلاعات را درک کرده و وظیفه حفاظت از سایت خود را بر عهده بگیرید.

معرفی

مثلا من 1670 صفحه در 0.14 ثانیه پیدا کردم!

2. بیایید یک خط دیگر را وارد کنیم، برای مثال:

کمی کمتر، اما این برای دانلود رایگان و حدس زدن رمز عبور (با استفاده از همان John The Ripper) کافی است. در زیر تعدادی مثال دیگر را بیان خواهم کرد.

بنابراین، باید بدانید که موتور جستجوی گوگل از اکثر سایت های اینترنتی بازدید کرده و اطلاعات موجود در آنها را در حافظه پنهان ذخیره کرده است. این اطلاعات ذخیره شده به شما این امکان را می دهد که بدون اتصال مستقیم به سایت، تنها با جستجو در اطلاعات ذخیره شده در گوگل، اطلاعاتی در مورد سایت و محتوای سایت به دست آورید. علاوه بر این، اگر اطلاعات موجود در سایت دیگر در دسترس نباشد، ممکن است اطلاعات موجود در حافظه پنهان همچنان حفظ شود. تنها چیزی که برای این روش نیاز دارید دانستن چند کلمه کلیدی گوگل است. این تکنیک هک گوگل نام دارد.

اطلاعات مربوط به هک گوگل برای اولین بار 3 سال پیش در لیست پستی Bugtruck ظاهر شد. در سال 2001 این موضوع توسط یک دانشجوی فرانسوی مطرح شد. اینجا پیوندی به این نامه است http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. این اولین نمونه از چنین پرسش هایی را ارائه می دهد:

1) فهرست /admin
2) فهرست رمز عبور /
3) فهرست /mail
4) فهرست / +banques +filetype:xls (برای فرانسه...)
5) فهرست / +passwd
6) فهرست / password.txt

این موضوع اخیراً موجی را در بخش انگلیسی خواندنی اینترنت ایجاد کرد: پس از مقاله جانی لانگ که در 7 می 2004 منتشر شد. برای مطالعه کامل تر در مورد هک گوگل، به شما توصیه می کنم به وب سایت این نویسنده http://johnny.ihackstuff.com بروید. در این مقاله فقط می خواهم شما را به روز کنم.

چه کسی می تواند از این استفاده کند:
- روزنامه نگاران، جاسوسان و همه افرادی که دوست دارند بینی خود را در تجارت دیگران فرو کنند، می توانند از این برای جستجوی شواهد مجرمانه استفاده کنند.
- هکرها به دنبال اهداف مناسب برای هک هستند.

گوگل چگونه کار می کند

برای ادامه گفتگو، اجازه دهید برخی از کلمات کلیدی مورد استفاده در جستجوهای گوگل را به شما یادآوری کنم.

با استفاده از علامت + جستجو کنید

گوگل کلماتی را که بی اهمیت می داند از جستجو حذف می کند. به عنوان مثال، کلمات پرسشی، حروف اضافه و مقالات در زبان انگلیسی: برای مثال are, of, where. در زبان روسی، به نظر می رسد گوگل همه کلمات را مهم می داند. اگر کلمه ای از جستجو حذف شود، گوگل در مورد آن می نویسد. برای اینکه گوگل شروع به جستجوی صفحاتی با این کلمات کند، باید علامت + بدون فاصله قبل از کلمه اضافه کنید. مثلا:

آس +پایه

جستجو با استفاده از علامت -

اگر گوگل تعداد زیادی صفحه پیدا کند که باید صفحاتی با موضوع خاصی را از آنها حذف کند، می توانید گوگل را مجبور کنید فقط صفحاتی را جستجو کند که حاوی کلمات خاصی نیستند. برای این کار باید این کلمات را با قرار دادن علامتی در مقابل هر کدام - بدون فاصله قبل از کلمه - مشخص کنید. مثلا:

ماهیگیری - ودکا

جستجو با استفاده از ~

ممکن است بخواهید نه تنها کلمه مشخص شده، بلکه مترادف های آن را نیز جستجو کنید. برای انجام این کار، قبل از کلمه با علامت ~ قرار دهید.

یافتن یک عبارت دقیق با استفاده از دو نقل قول

گوگل در هر صفحه همه تکرار کلماتی را که در رشته کوئری نوشته اید جستجو می کند و به موقعیت نسبی کلمات اهمیتی نمی دهد تا زمانی که همه کلمات مشخص شده همزمان در صفحه باشند (این عمل پیش فرض). برای یافتن عبارت دقیق، باید آن را در نقل قول قرار دهید. مثلا:

"پایه کتاب"

برای داشتن حداقل یکی از کلمات مشخص شده، باید عملیات منطقی را به صراحت مشخص کنید: OR. مثلا:

ایمنی کتاب یا حفاظت

علاوه بر این، می توانید از علامت * در نوار جستجو برای نشان دادن هر کلمه و. برای نشان دادن هر شخصیت

یافتن کلمات با استفاده از عملگرهای اضافی

عملگرهای جستجویی وجود دارند که در رشته جستجو با فرمت مشخص شده اند:

عملگر:search_term

فضاهای کنار روده بزرگ لازم نیست. اگر یک فاصله بعد از دو نقطه وارد کنید، یک پیام خطا مشاهده می کنید و قبل از آن، گوگل از آنها به عنوان یک رشته جستجوی معمولی استفاده می کند.
گروه‌هایی از اپراتورهای جستجوی اضافی وجود دارد: زبان‌ها - نشان می‌دهد که به کدام زبان می‌خواهید نتیجه را ببینید، تاریخ - محدود کردن نتایج برای سه، شش یا 12 ماه گذشته، موارد - نشان می‌دهد کجا در سند باید جستجو کنید. خط: در همه جا، در عنوان، در URL، دامنه ها - در سایت مشخص شده جستجو کنید یا برعکس، آن را از جستجوی ایمن حذف کنید - سایت های حاوی نوع مشخص شده از اطلاعات را مسدود می کند و آنها را از صفحات نتایج جستجو حذف می کند.
با این حال، برخی از اپراتورها به پارامتر اضافی نیاز ندارند، به عنوان مثال درخواست " حافظه پنهان: www.google.com"را می توان به عنوان یک رشته جستجوی تمام عیار نام برد، و برخی از کلمات کلیدی، برعکس، به یک کلمه جستجو نیاز دارند، به عنوان مثال" سایت:www.google.com helpبا توجه به موضوع ما، اجازه دهید به عملگرهای زیر نگاه کنیم:

اپراتور سایت:جستجو را فقط به سایت مشخص شده محدود می کند و می توانید نه تنها نام دامنه، بلکه آدرس IP را نیز مشخص کنید. برای مثال وارد کنید:

اپراتور نوع فایل:جستجو را به یک نوع فایل خاص محدود می کند. مثلا:

از تاریخ انتشار مقاله، گوگل می تواند در 13 فرمت فایل مختلف جستجو کند:

• فرمت سند قابل حمل Adobe (pdf)
• Adobe PostScript (ps)
• لوتوس 1-2-3 (wk1، wk2، wk3، wk4، wk5، wki، wks، wku)
• Lotus WordPro (lwp)
• مک رایت (mw)
• مایکروسافت اکسل (xls)
• پاورپوینت مایکروسافت (ppt)
• Microsoft Word (doc)
• Microsoft Works (wks، wps، wdb)
• مایکروسافت رایت (wri)
• فرمت متن غنی (rtf)
• Shockwave Flash (swf)
• متن (ans, txt)

اپراتور ارتباط دادن:تمام صفحاتی که به صفحه مشخص شده اشاره می کنند را نشان می دهد.
احتمالاً همیشه جالب است که ببینید چند مکان در اینترنت در مورد شما می‌دانند. بیایید تلاش کنیم:

اپراتور حافظه پنهان:نسخه سایت را در حافظه پنهان Google همانطور که آخرین باری که Google از آن صفحه بازدید کرده بود نشان می دهد. بیایید هر سایتی که اغلب در حال تغییر است را بررسی کنیم و نگاه کنیم:

اپراتور عنوان:کلمه مشخص شده را در عنوان صفحه جستجو می کند. اپراتور allintitle:یک افزونه است - همه چند کلمه مشخص شده در عنوان صفحه را جستجو می کند. مقایسه کنید:

عنوان: پرواز به مریخ
intitle:flight intitle:on intitle:mars
allintitle: پرواز به مریخ

اپراتور inurl:گوگل را مجبور می کند تا تمام صفحات حاوی رشته مشخص شده را در URL نشان دهد. اپراتور allinurl: همه کلمات را در یک URL جستجو می کند. مثلا:

allinurl:acid acid_stat_alerts.php

این دستور به ویژه برای کسانی که SNORT ندارند مفید است - حداقل آنها می توانند ببینند که چگونه در یک سیستم واقعی کار می کند.

روش های هک با استفاده از گوگل

بنابراین، متوجه شدیم که با استفاده از ترکیبی از عملگرها و کلمات کلیدی فوق، هر کسی می تواند اطلاعات لازم را جمع آوری کرده و آسیب پذیری ها را جستجو کند. این تکنیک ها اغلب هک گوگل نامیده می شوند.

نقشه سایت

شما می توانید از عملگر site: برای فهرست کردن تمام پیوندهایی که گوگل در یک سایت پیدا کرده است استفاده کنید. به طور معمول، صفحاتی که به صورت پویا توسط اسکریپت ها ایجاد می شوند، با استفاده از پارامترها ایندکس نمی شوند، بنابراین برخی از سایت ها از فیلترهای ISAPI استفاده می کنند تا لینک ها به شکلی نباشند. /article.asp?num=10&dst=5، و با حروف بریده /article/abc/num/10/dst/5. این کار به این دلیل انجام می شود که سایت به طور کلی توسط موتورهای جستجو ایندکس می شود.

بیایید تلاش کنیم:

سایت: www.whitehouse.gov Whitehouse

گوگل فکر می کند که هر صفحه در یک وب سایت حاوی کلمه Whitehouse است. این چیزی است که ما برای دریافت تمام صفحات استفاده می کنیم.
یک نسخه ساده شده نیز وجود دارد:

سایت:whitehouse.gov

و بهترین بخش این است که رفقای whitehouse.gov حتی نمی‌دانستند که ما به ساختار سایت آنها نگاه کردیم و حتی به صفحات ذخیره‌شده‌ای که گوگل دانلود کرده بود نگاه کردیم. این می تواند برای مطالعه ساختار سایت ها و مشاهده محتوا مورد استفاده قرار گیرد و فعلاً ناشناخته باقی بماند.

مشاهده لیستی از فایل ها در فهرست ها

سرورهای وب می توانند به جای صفحات HTML معمولی، فهرستی از دایرکتوری های سرور را نمایش دهند. این معمولا برای اطمینان از انتخاب و دانلود فایل های خاص توسط کاربران انجام می شود. با این حال، در بسیاری از موارد، مدیران قصد ندارند محتویات یک فهرست را نشان دهند. این به دلیل پیکربندی نادرست سرور یا عدم وجود صفحه اصلی در دایرکتوری رخ می دهد. در نتیجه، هکر این شانس را دارد که چیز جالبی را در فهرست پیدا کند و از آن برای اهداف خود استفاده کند. برای یافتن تمامی چنین صفحاتی، کافی است توجه داشته باشید که همگی حاوی کلمات: index of هستند. اما از آنجایی که فهرست کلمات فقط شامل چنین صفحاتی نمی شود، باید پرس و جو را اصلاح کنیم و کلمات کلیدی موجود در خود صفحه را در نظر بگیریم، بنابراین پرس و جوهایی مانند:

intitle:index.of دایرکتوری والد
intitle:index.of name size

از آنجایی که بیشتر فهرست‌های دایرکتوری عمدی هستند، ممکن است در اولین بار به سختی فهرست‌های نابجا را پیدا کنید. اما حداقل می‌توانید از فهرست‌ها برای تعیین نسخه سرور وب استفاده کنید، همانطور که در زیر توضیح داده شده است.

دریافت نسخه وب سرور.

دانستن نسخه سرور وب همیشه قبل از شروع هر حمله هکری مفید است. باز هم به لطف گوگل، می توانید این اطلاعات را بدون اتصال به سرور دریافت کنید. اگر به فهرست دایرکتوری دقت کنید، می بینید که نام سرور وب و نسخه آن در آنجا نمایش داده می شود.

Apache1.3.29 - سرور ProXad در پورت 80 trf296.free.fr

یک مدیر با تجربه می تواند این اطلاعات را تغییر دهد، اما، به عنوان یک قاعده، درست است. بنابراین، برای به دست آوردن این اطلاعات کافی است یک درخواست ارسال کنید:

intitle:index.of server.at

برای به دست آوردن اطلاعات برای یک سرور خاص، درخواست را روشن می کنیم:

intitle:index.of server.at site:ibm.com

یا برعکس، ما به دنبال سرورهایی هستیم که نسخه خاصی از سرور را اجرا می کنند:

intitle:index.of Apache/2.0.40 Server at

این تکنیک می تواند توسط یک هکر برای یافتن قربانی استفاده شود. به عنوان مثال، اگر او یک اکسپلویت برای نسخه خاصی از وب سرور داشته باشد، می تواند آن را پیدا کند و اکسپلویت موجود را امتحان کند.

همچنین می توانید با مشاهده صفحاتی که به صورت پیش فرض در هنگام نصب آخرین نسخه وب سرور نصب شده اند، نسخه سرور را دریافت کنید. به عنوان مثال، برای دیدن صفحه آزمایشی Apache 1.2.6، فقط تایپ کنید

intitle:Test.Page.for.Apache it.worked!

علاوه بر این، برخی از سیستم عامل ها بلافاصله سرور وب را در هنگام نصب نصب و راه اندازی می کنند. با این حال، برخی از کاربران حتی از این موضوع آگاه نیستند. به طور طبیعی، اگر می بینید که شخصی صفحه پیش فرض را حذف نکرده است، منطقی است که فرض کنیم کامپیوتر اصلاً تحت هیچ گونه سفارشی سازی قرار نگرفته است و احتمالاً در برابر حمله آسیب پذیر است.

سعی کنید صفحات IIS 5.0 را جستجو کنید

allintitle:به Windows 2000 Internet Services خوش آمدید

در مورد IIS، می توانید نه تنها نسخه سرور، بلکه نسخه ویندوز و Service Pack را نیز تعیین کنید.

راه دیگر برای تعیین نسخه WEB Server جستجوی راهنماها (صفحات راهنما) و نمونه هایی است که ممکن است به طور پیش فرض روی سایت نصب شوند. هکرها راه های زیادی برای استفاده از این مؤلفه ها برای دستیابی به دسترسی ممتاز به یک سایت پیدا کرده اند. به همین دلیل است که باید این قطعات را در سایت تولید حذف کنید. ناگفته نماند که وجود این قطعات می تواند اطلاعاتی در مورد نوع سرور و نسخه آن ارائه دهد. به عنوان مثال، بیایید راهنمای آپاچی را پیدا کنیم:

inurl:دستی ماژول های دستورالعمل آپاچی

استفاده از گوگل به عنوان اسکنر CGI.

اسکنر CGI یا WEB scanner ابزاری برای جستجوی اسکریپت ها و برنامه های آسیب پذیر در سرور قربانی است. این ابزارها باید بدانند که به دنبال چه چیزی بگردند، برای این کار آنها یک لیست کامل از فایل های آسیب پذیر دارند، به عنوان مثال:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

ما می‌توانیم هر یک از این فایل‌ها را با استفاده از Google پیدا کنیم، به‌علاوه با استفاده از کلمات index of یا inurl با نام فایل در نوار جستجو: می‌توانیم سایت‌هایی با اسکریپت‌های آسیب‌پذیر پیدا کنیم، برای مثال:

allinurl:/random_banner/index.cgi

با استفاده از دانش اضافی، یک هکر می تواند از آسیب پذیری یک اسکریپت سوء استفاده کند و از این آسیب پذیری برای وادار کردن اسکریپت به انتشار هر فایل ذخیره شده در سرور استفاده کند. به عنوان مثال، یک فایل رمز عبور.

چگونه از خود در برابر هک گوگل محافظت کنیم.

1. داده های مهم را در وب سرور پست نکنید.

حتی اگر داده‌ها را به‌طور موقت پست کرده‌اید، ممکن است آن‌ها را فراموش کنید یا شخصی زمان پیدا کند و قبل از پاک کردن این داده‌ها را بگیرد. این کار را نکن راه های بسیار دیگری برای انتقال داده ها وجود دارد که از آن ها در برابر سرقت محافظت می کند.

2. سایت خود را بررسی کنید.

از روش های توضیح داده شده برای تحقیق در مورد سایت خود استفاده کنید. سایت خود را به صورت دوره ای برای روش های جدیدی که در سایت http://johnny.ihackstuff.com ظاهر می شود بررسی کنید. به یاد داشته باشید که اگر می خواهید اقدامات خود را خودکار کنید، باید مجوز ویژه ای از Google دریافت کنید. اگر با دقت مطالعه کنید http://www.google.com/terms_of_service.html، سپس عبارت را مشاهده می کنید: شما نمی توانید درخواست های خودکار از هر نوع را بدون مجوز صریح از قبل از Google به سیستم Google ارسال کنید.

3. ممکن است نیازی به Google برای ایندکس کردن سایت یا بخشی از آن نداشته باشید.

گوگل به شما این امکان را می دهد که لینک سایت خود یا بخشی از آن را از پایگاه داده خود حذف کنید و همچنین صفحات را از کش حذف کنید. علاوه بر این، می توانید جستجوی تصاویر در سایت خود را ممنوع کنید، از نمایش قطعات کوتاه صفحات در نتایج جستجو جلوگیری کنید http://www.google.com/remove.html. برای انجام این کار، باید تأیید کنید که واقعاً مالک این سایت هستید یا برچسب ها را در صفحه یا

4. از robots.txt استفاده کنید

مشخص است که موتورهای جستجو به فایل robots.txt واقع در ریشه سایت نگاه می کنند و قسمت هایی را که با کلمه مشخص شده اند ایندکس نمی کنند. غیر مجاز. می توانید از این برای جلوگیری از ایندکس شدن بخشی از سایت استفاده کنید. به عنوان مثال، برای جلوگیری از ایندکس شدن کل سایت، یک فایل robots.txt حاوی دو خط ایجاد کنید:

عامل کاربر: *
غیر مجاز:/

چه اتفاقی دیگر می افتد

برای اینکه زندگی برای شما عزیز به نظر نرسد، در نهایت می‌گویم که سایت‌هایی وجود دارند که افرادی هستند که با استفاده از روش‌های ذکر شده در بالا، به دنبال حفره‌هایی در اسکریپت‌ها و سرورهای وب می‌گردند. نمونه ای از چنین صفحه ای است

کاربرد.

کمی شیرین. برخی از موارد زیر را خودتان امتحان کنید:

1. #mysql dump نوع فایل: sql - جستجوی داده‌های پایگاه داده mySQL
2. گزارش خلاصه آسیب پذیری میزبان - به شما نشان می دهد که سایر افراد چه آسیب پذیری هایی پیدا کرده اند
3. phpMyAdmin در حال اجرا بر روی inurl:main.php - این باعث می شود کنترل از طریق پانل phpmyadmin بسته شود.
4. برای توزیع محرمانه نیست
5. درخواست جزئیات کنترل متغیرهای سرور درخت
6. دویدن در حالت کودک
7. این گزارش توسط WebLog ایجاد شده است
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs - شاید کسی به فایل های پیکربندی فایروال نیاز داشته باشد؟ :)
10. intitle:index.of finances.xls – hmm....
11. عنوان: فهرست چت های dbconvert.exe – گزارش های چت icq
12.intext:تجزیه و تحلیل ترافیک Tobias Oetiker
13. عنوان: آمار استفاده برای ایجاد شده توسط Webalizer
14. عنوان: آمار آمار پیشرفته وب
15. intitle:index.of ws_ftp.ini – ws ftp config
16. inurl:ipsec.secrets دارای اسرار مشترک است - کلید مخفی - پیدا کردن خوب
17. inurl:main.php به phpMyAdmin خوش آمدید
18. inurl:server-info اطلاعات سرور آپاچی
19. سایت:edu نمرات مدیریت
20. ORA-00921: پایان غیرمنتظره دستور SQL – گرفتن مسیرها
21. عنوان: index.of trillian.ini
22. عنوان: فهرست pwd.db
23.intitle:index.of people.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. عنوان: فهرست mysql_history
27. intitle:index of intext:globals.inc
28. عنوان:index.of administrators.pwd
29. عنوان: Index.of etc shadow
30.intitle:index.ofsecring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:perform filetype:ini