Google Dorks

Een Google dork-zoekopdracht, of gewoon Google-dorking is een zoekreeks die geavanceerde zoekoperatoren gebruikt om informatie te vinden die niet direct beschikbaar is op een website. Deze zoekreeksen en/of operatoren die Google kunnen helpen/dwingen een specifiek soort resultaat te retourneren.

Het principe achter Google hacken (dorking) is redelijk eenvoudig. Google indexeert webpagina’s en zoveel mogelijk relevante informatie die daarbij hoort. Maar Google indexeert soms meer van uw webpagina dan u weet en wilt. De geïndexeerde informatie kan dus ook gevoelige informatie bevatten. Hackers gebruiken geavanceerde query’s om deze informatie te achterhalen en misbruiken. Deze geavanceerde query’s noemen we “Google Dorks”. Bovendien kan iedereen informatie over jouw te weten komen.

Google dorking, ook wel bekend als Google-hacking, kan informatie retourneren die moeilijk te vinden is door middel van eenvoudige zoekopdrachten. Die beschrijving bevat informatie die niet bedoeld is om aan het publiek te worden getoond, maar die niet voldoende is beschermd.

Als passieve aanvalsmethode kan Google Dorking gebruikersnamen en wachtwoorden, e-maillijsten, gevoelige documenten, persoonlijk identificeerbare financiële informatie en website-kwetsbaarheden retourneren. Die informatie kan worden gebruikt voor een onbeperkt aantal illegale activiteiten, waaronder cyberterrorisme, bedrijfsspionage, identiteitsdiefstal en cyberstalking.

Veelgebruikte Zoekoperatoren
  • inurl:%zoekwoord%:
    Met de inurl operator zal Google resultaten genereren waarbij het opgegeven zoekwoord voorkomt in de URL van de webpagina.
  • intext:%zoekwoord%:
    Met de intext operator zal Google resultaten genereren waarbij het opgegeven zoekwoord voorkomt in de tekst van de webpagina.
  • intitle:%zoekwoord%:
    Met de intitle operator zal Google resultaten genereren waarbij het opgegeven zoekwoord voorkomt in de titel van de webpagina.
  • filetype:%extensie%:
    Met de filetype operator zal Google resultaten genereren waarbij de opgegeven extensie overeenkomt met het doeldocument. Zoals DOC, PDF, XLS en INI. Meerdere bestandstypen kunnen tegelijkertijd worden doorzocht door extensies te scheiden met “|”.
  • site:%url%:
    Met de site operator zoeken we alleen naar resultaten in Google van de website of domein bevinden die opgegeven wordt achter de “site” operator.
  • cache%url%:
    De cache operator zorgt ervoor dat de gevraagde pagina in het zoekresultaat de gecachte (meestal oudere) variant van de webpagina is.

Er kunnen meerdere parameters worden gebruikt om bijvoorbeeld naar bestanden van een bepaald type op een bepaalde website of domein te zoeken. De Public Intelligence-website geeft dit voorbeeld: site:facebook.com inurl:login

Uiteraard zijn dit slechts enkele van de vele beschikbare zoekoperatoren. Voor een volledige lijst verwijs ik je graag door naar volgende website: http://www.googleguide.com/advanced_operators_reference.html

Waarom is dit gevaarlijk?

Nu we weten wat zoekoperators zijn kunnen we zelf een Google Dork programmeren. We nemen volgende zoekopdracht als voorbeeld:

site:facebook.com inurl:login

Bovenstaande query is redelijk onschuldig. De resultaten van deze query laten de inlogpagina van Facebook zien. Dit kan handig zijn als je naar iets specifiek opzoek bent, maar op vlak van cybersecurity ben je hier niets mee. Uiteraard kunnen we de zoekopdracht wat gaan aanpassen. Hieronder is nog een voorbeeld:

inurl:logon.html

Bij deze zoekopdracht krijgen we een resultaat waar een hacker al iets meer mee kan. De resultaatpagina laat nu alle webpagina’s zien waarvan de inlog URL “login.html” is. Een hacker achterhaald op deze manier dus eenvoudig de login URL van een webpagina. Het resultaat van bovenstaande query somt al duizenden potentiële (gemakkelijke) slachtoffers op. Scoren op de resultatenpagina van bovenstaande query vormt nog geen direct gevaar maar wel een verhoogd risico. 

We gaan nog een stapje verder: 

intext:phpMyAdmin SQL Dump filetype:sql intext:INSERT INTO `admin` (`id`, `user`, `password`) VALUES

Deze query is opgebouwd uit de volgende waardes:
intext:phpMyAdmin SQL Dump
intext:INSERT INTO `admin` (`id`, `user`, `password`) VALUES
filetype:sql

Er wordt dus gezocht naar geïndexeerde SQL bestanden (dump bestanden van de database) waarbij het dumpbestand de tekst bevat met o.a. user + password. User + password zijn de kolomnamen. Als deze kolomnamen aanwezig zijn dan is de kans groot dat de kolomnamen ook gebruikt zijn en dat het dumpbestand dus ook werkelijke gebruikersnamen en wachtwoorden bevat.

Op deze dork wil je dus niet gevonden worden. Want de kans is groot dat je jouw gebruikersnaam + wachtwoord niet hebt aangepast. De hacker kan deze dus gaan gebruiken om in te loggen op jouw website.

Jammer genoeg is dit nog niet het ergste. Ik geef nog een laatste voorbeeld:

filetype:env “DB_PASSWORD”

Er wordt dus gezocht naar ENV files (environment files van een server of applicatie). In deze files staan vaak wachtwoorden van databases, API keys, … opgeslagen. Voor iemand met slechte bedoelingen is het dus kinderspel om hier data van te stelen.

Deze bovenstaande voorbeelden zijn slechts een kleine greep uit een lijst van ernstige en of schadelijke zoekopdrachten. Wanneer je hier niet attent op bent kan dit een ernstig beveiligingsrisico met zich meebrengen.

Conclusie

Google zoekqueries kunnen heel gevaarlijk zijn en kunnen gebruikt worden om zwakke plekken in een website te vinden. Hier moet je je zeker van bewust zijn. Weet je niet zeker hoe veilig jouw organisatie is? test het dan eens uit of huur een expert in.

De meest gekende Google Dorks worden verzameld in de zogenaamde GHDB (Google Hacking Database). Neem er maar eens een kijkje op.

Tell us about your thoughtsWrite message

Back to Top
Close Zoom
Context Menu is disabled :).