суббота, 6 августа 2011 г.

Как проверить не "сливает" ли Ваш сайт информацию в поисковик

Недавняя шумиха, произошедшая с "утечкой" сперва SMS, отправленных с сайта Мегафона, а потом и разной другой информации из секс-шопов, билетных онлайн-касс и проч. стал каким-то откровением пожалуй только для неискушенной публики, да рядовых граждан. Специалисты уже давно осведомлены о возможностях индексации разнообразной интересной информации в поисковых системах и вопрос применения различных хитрых запросов для ее извлечения обсуждается уже оооочень много лет.

Не знаю началось ли это с него, но человеком прославившимся на гугло-хакинге (Google Hacking) был хакер по имени Johny Long, известный под ником j0hnny (вот тут краткая статья о нем из wikipedia). Он в свое время активно развивал эту тему и даже создал базу данных различных запросов, позволяющих добывать интересную информацию из поисковика. База жива до сих пор, хотя Джонни отошел от дел и сейчас занимается благотворительностью в рамках организации Hackers for Charity.

Очень хорошая книжка есть о гугло-хакинге, которая так и называется Google Hacking for Penetration Testers (посмотреть можно тут). К этой книге также приложил руку Джонни.

Но запросы запросами, а хакеры народ ленивый и им руками набивать все не хочется, поэтому периодически в сети стали появляться различные инструменты, позволяющие используя базу запросов искать проиндексированную информацию. Большинство из этих инструментов уже давно не работают из-за изменений в Google API.

Последним на моей памяти работающим инструментом был Goolag, разработанный хакерской группой Cult of the Dead Cow. Но он похоже уже тоже приказал долго жить.

И вот буквально на днях на хакерской конференции BlackHat 2011 были представлены новые инструменты для поиска информации через запросы к поисковикам Bing и Google - Google Hacking Diggity Project.

Используя эти инструменты у вас есть реальная возможность посмотреть что же интересного утекло/утекает с Вашего сайта в публичный доступ (поисковик).

Интерфейс программы выглядит следующим образом:




P.S. Аналогичных инструментов для отправки запросов в Яндекс я не встречал, если кто-то знает, напишите, очень интересно.

P.P.S Да и еще, очень много пишется что нужно прописать запрет на индексацию в robots.txt и будет все отлично. Господа, конечно от поискового бота это спасет, но реальный злоумышленник заглянув в этот файл сразу поймет где вы от него что прячете. Поэтому правьте сайт, а не файл robots.txt !!!


4 комментария:

  1. Не совсем понятно зачем для этого использовать какой-то инструмент, который (вполне возможно) сливает инфу его разработчику. Можно же и самому это сделать - достаточно ограничить область поиска своим сайтом и сайтами-партнёрами. Я так находил в своем сайте загадочные странички...

    ОтветитьУдалить
  2. > Аналогичных инструментов для отправки
    > запросов в Яндекс я не встречал


    потому что никому он (Яндекс) на фиг не нужен.

    ОтветитьУдалить
  3. Посмотрел язык запросов "Яндекса" и Google. Для ограничения области поиска можно использовать, например, следующие запросы:

    Для Google: "персональные данные site:blogspot.com"
    Для "Яндекса": "персональные данные rhost:com.blogspot.*"

    Надеюсь, понятно, что вместо словосочетания "Персональные данные" нужно вставлять слова, по которым можно найти свою конфиденциалку, а вместо указанных доменов - собственные сайты.

    ОтветитьУдалить
  4. Без покупки ссылок на качественных ресурсах раскрутить сайт чрезвычайно сложно

    ОтветитьУдалить