Creact

Fai crescere il tuo business con CREACT AGENCY.

Chiamaci +39 081 183 73 153
Contattaci

Google Hacking: la faccia nascosta di Google

30 Luglio 2013 - Partner

A proposito dell’autore

Luigi Marino

Luigi Marino è un rinomato sviluppatore iOS e CEO di Creact, una digital agency specializzata nello sviluppo di soluzioni digitali personalizzate. Con oltre un decennio di esperienza nel settore IT, Luigi si è affermato come leader tecnologico innovativo e esperto in sicurezza informatica, accessibilità e gestione di progetti complessi.

Esperienza e Competenze:
- Sviluppo App iOS: Luigi ha sviluppato oltre 50 applicazioni per vari mercati, utilizzando tecnologie avanzate come SwiftUI e Swift Concurrency. La sua esperienza è supportata da una certificazione Apple, attestando le sue competenze avanzate nello sviluppo di app iOS.

- Sicurezza Informatica: Luigi è un esperto riconosciuto in sicurezza informatica e protezione dei dati nelle app. Ha pubblicato numerosi articoli su come implementare la crittografia e altre misure di sicurezza per garantire la protezione dei dati sensibili nelle applicazioni mobile.

- Accessibilità e Design Inclusivo: Impegnato nella creazione di esperienze digitali accessibili, Luigi adotta best practice e linee guida per garantire che le sue applicazioni siano utilizzabili da tutti, inclusi gli utenti con disabilità.

Come CEO di Creact, Luigi ha guidato team di sviluppo in progetti di successo, applicando metodologie Agile per assicurare efficienza e risultati di alta qualità. La sua capacità di gestire e coordinare team

Scrive articoli per Creact, dove condivide le sue conoscenze su sviluppo web, app e e le ultime tendenze nel settore IT.

Luigi offre approfondimenti preziosi e consigli pratici per aiutare aziende e professionisti a navigare nel mondo digitale e ottenere risultati tangibili. La sua scrittura è caratterizzata da chiarezza, precisione e un approccio orientato ai risultati.

Navigando per la rete mi sono imbattuto in questo ( secondo me ) interessantissimo articolo. La fonte è comunque autorevole visto che si tratta del blog dell’Infosec Institute. Si tratta di una delle più importanti scuole sulla sicurezza informatica presenti in America.

Come sappiamo Google è il motore di ricerca per antonomasia. E’ il più utilizzato al mondo, il più preciso, il più studiato e tutti i professionisti impiegati nella SEO/SEM utilizzano Google come riferimento.
Oltre ad essere una delle banche dati più potenti Google può essere utilizzato ( da maleintenzionati ) per trovare file sensibili, vulnerabilità web, permette l’identificazione di sistemi operativi e può anche essere usato per trovare le password, database e anche tutto il contenuto delle caselle di posta.
Come è possibile? Utilizzando degli operatori che Google mette a disposizione e sfruttando l’immensa capacità di scansione propria del motore di ricerca Google.

Google consente l’utilizzo di tre operatori logici: AND, NOT e OR.
L’AND è utilizzo per includere più keywords in una sola ricerca e può essere sostituito da un unico spazio “”, anche se i risultati differiscono leggermente utilizzando l’una o l’altra modalità

Il NOT è utilizzato per eliminare alcune keywords dal risultato di una ricerca. Questo operatore è equivalente a “-” ad esempio si può effettuare una ricerca per “email service -marketing”.

L’operatore OR è utilizzato per includere nel risultato di una query una parola chiave o un’altra parola chiave, ma non entrambi, ed è equivalente a l’uso di “|”, ad esempio “reverse | engineering”.

In aggiunta a questi tre operatori Google consente anche l’utilizzo di: ~, +, *,””

Tilde “~” : viene utilizzato per includere nel risultato di una query con la parola chiave desiderata, i suoi sinonimi e parole simili

Carattere “+” : Google tende ad ignorare la punteggiature ed eliminare parole quali “noi”, “la”, “e” , “di”. Utilizzando il “+” dopo una parola si richiede a Google di includere quella parola all’interno della ricerca, ad esempio: “la sicurezza non +è mai completa”

Carattere “” : viene utilizzato per ricercare l’esatta frase inserita tra le virgolette

Carattere “*” : detto anche carattere “jolly” è usato per sostituire delle parole che non si vogliono specificare con precisione.

Define:word
Questa query ritorna la definizione di una parola prelevata dalla fonte più attendibile

Filetype:file_extension
Utilizzando Filetype si possono ricerca file con una specifica estensione, restrigendo la ricerca ad un particolare tipo di file. Ad esempio “backup filetype:sql”

Ext :file_extension
L’utilizzo di Ext è molto simile alla direttiva precedente solo che quest’ultima viene utilizzata per tipi di file meno comuni ed effettua una ricerca più approfondita

Intitle:keyword(s)
Ricerca una parola presente all’interno del title delle pagine web

Inurl :keyword
Ricerca una parola presente all’interno dell’url delle pagine web

Intext :keyword / Allintext :keyword1 keyword2 keyword3 …
Ricerca una parola/parole presenti all’interno del body della pagine web

Fino ad ora non c’è niente di male ma vedremo che combinando diversi operatori, diverse parole chiave … i risultati di solito superano le nostre aspettative e soprattutto quando siamo alla ricerca di vulnerabilità o di alcuni dati “privati”. Questo è convenzionalmente chiamato Google Hacking.
Ad esempio potremo utilizzare Google per trovare i file che contengono i nomi degli utenti soltanto scrivendo “allintext: username filetype: log” oppure trovare email soltanto scrivendo “allintext:email OR mail +*gmail.com filetype:txt” e così via…

Google quindi può essere un nostro alleato ma anche un nostro nemico. La sua capacità di scansionare il web può creare dei problemi a chi non prende le giuste precauzioni
Consigli?

Sicuramente l’uso della giusta CHMOD per le directory sensibili e limitare o eliminare l’accesso ai backup caricati.
L’uso del file robots.txt può anche salvare la privacy dei vostri dati, è possibile evitare di Google o qualsiasi altro motore di ricerca di indicizzare il tuo sito web, i file o le directory rimpiendo correttamente un file robots.txt.

Avviso sui cookie di WordPress da parte di Real Cookie Banner