171704

Google-Hacks 4 bis 7

23.09.2010 | 13:12 Uhr |

Google Hacks Nr. 4. "Vertrauliches" ganz und gar nicht geheim
Findige Schnüffler kombinieren die Suche nach Dateitypen mit Schlüsselwörtern wie "Vertraulich" oder dem englischen Pendant "Confidential". Gebräuchlich sind auch Ausdrücke wie "für den internen Gebrauch" beziehungsweise "internal use". Es ist schon erstaunlich, wie viele Dokumente, die nicht für fremde Augen bestimmt zu sein scheinen, im Web offen herumliegen. Manche Dateien kann man betrachten, ohne die entsprechende Anwendung installiert zu haben und ohne zum eigentlichen Server Kontakt aufzunehmen. Das ist immer dann der Fall, wenn neben einem Treffer der Link "HTML-Version" steht. Diese wird von Google generiert.

Besonders bei Spammern beliebt sind Suchabfragen wie "mail filetype:csv" oder "mail filetype:xls". Sie fördern Tabellen zutage, die eine Vielzahl an Mailadressen enthalten - von der Mitgliederliste bis hin zur Kundendatenbank. CSV ist übrigens ein sehr simples Dateiformat für Tabellen mit maximaler Kompatibilität, das von vielen Anwendungen gelesen werden kann. Daher wird es gerne zum Dateiaustausch benutzt und auch im Web abgelegt. Viele Ergebnisse erhält beispielsweise auch, wer nach "Lebenslauf filetype:pdf" sucht.

Google Hacks Nr. 5. Suche in fremden Word-, Excel- & Powerpoint-Dateien
Mit dem mächtigen Parameter "filetype:" gefolgt von einer Datei-Endung können Sie gezielt nach bestimmten Dateitypen suchen. Der Ausdruck "filetype:pdf" findet zum Beispiel alle von Google indizierten PDF-Dokumente. Im Test waren das 184 Millionen. Sinnvoll ist die Suche aber erst, wenn sie durch normale Schlüsselwörter oder andere Parameter ergänzt wird. So findet "filetype:pdf Handbuch Linux" eine Menge Dokumentationen zum freien Betriebssystem. Auch Bücher, deren Copyright abgelaufen ist, liegen häufig als PDF-Datei im Web offen herum - auf die Weise können Sie sich manchen Weg in die Bibliothek sparen. Ebenfalls sehr ergiebig ist die Suche nach den weit verbreiteten Datei-Endungen DOC (für Word-Dateien), XLS (Excel) und PPT (Powerpoint).

Google Hacks Nr. 6. Schlüsselwörter in Web-Adressen finden
Der Parameter "inurl:" findet Seiten, bei denen das nachfolgende Suchwort in der Web-Adresse enthalten ist. Mit "inurl:videos" würden Sie Seiten wie www.server1.test/videos/index.html zu Tage fördern. Bei unserem Test kamen wir auf über 45 Millionen Treffer, von denen zumindest die ersten zielsicher zu Bewegtbildern führten. Eine andere Variante wäre "inurl:downloads", um schnell und ohne Umschweife zu den Download-Rubriken von Websites zu gelangen. Inurl lässt sich beliebig mit mehreren Suchbegriffen kombinieren. Die Suche nach "inurl:downloads Freeware" findet Seiten, bei denen der Ausdruck "downloads" in der Adresse und der Begriff "Freeware" irgendwo im Text vorkommt.

Mehrere Schlüsselwörter: Möchten Sie Web-Adressen finden, die mehrere ausgewählte Schlüsselwörter enthalten, verwenden Sie "allinurl:" und schreiben dahinter die Suchbegriffe wie folgt: "allinurl:videos flash". Diese Abfrage können Sie jedoch nicht mit anderen Suchvarianten kombinieren. Abhilfe schafft die mehrfache Verwendung des einfachen "inurl", etwa "lustig inurl:flash inurl:videos".

Google Hacks Nr. 7. Server- Software erkennbar an Standardpfaden
Hacker nutzen "inurl: / allinurl:", um Standardpfade von Webservern zu finden. "inurl:/admin/login.asp" spürt zum Beispiel gezielt Log-in-Formulare für Administrations-Bereiche, "inurl:exchange/logon.asp" solche für Exchange-Mailserver auf. Die Abfrage "inurl:cgi-bin/ultimatebb.cgi?ubb= login" führt zu Anmeldemasken auf Forums-Servern, die die Software Ultimate Bulletin Board benutzen. Confixx ist eine weit verbreitete Software, über die sich Web-Präsenzen konfigurieren lassen. Die Abfrage "inurl:confixx inurl:login|anmeldung" findet Confixx-Log-in-Seiten. Der senkrechte Strich bedeutet "oder". Er ist zu erreichen über "AltGr"-"Spitzklammer". Zwar kann der Hacker mit einem Anmeldeformular alleine noch nichts anfangen. Aber er hat einen Ansatzpunkt. Manchmal gibt es auch Sicherheitslücken, die er ausnutzen kann, um Zugang zu erlangen. Dann hat er die volle Kontrolle über die Web-Präsenz und kann sie entweder lahm legen oder Inhalte austauschen: Auf der Startseite eine Hetzbotschaft platzieren, das Foto des Geschäftsführers gegen ein anderes austauschen ...

PC-WELT Marktplatz

171704