Google est l'encyclopédie d'internet qui apporte la réponse à toutes vos questions et curiosités. Après tout, ce n'est qu'un index Web pour trouver des images, des articles et des vidéos, n'est-ce pas ?

Eh bien, si vous pensez ainsi, vous fermez les yeux sur le potentiel inexploité des capacités d'exploration du moteur de recherche géant. Ce côté de Google est moins connu de l'utilisateur moyen, mais propulsé efficacement par de mauvais acteurs pour détourner des sites Web et voler des données sensibles à des entreprises.

Ici, nous expliquerons comment les professionnels de la sécurité et les pirates utilisent Google comme outil de reconnaissance efficace pour accéder aux données sensibles, pirater des sites Web, etc.

Qu'est-ce que Google Dorking ?

Google dorking ou Google hacking est la technique consistant à envoyer des requêtes de recherche avancées au moteur de recherche Google pour chasser pour les données sensibles telles que le nom d'utilisateur, le mot de passe, les fichiers journaux, etc., des sites Web que Google indexe en raison du site mauvaise configuration. Ces données sont visibles publiquement et, dans certains cas, téléchargeables.

instagram viewer

Une recherche régulière sur Google implique un mot-clé, une phrase ou une question de départ. Mais, dans Google dormant, un attaquant utilise des opérateurs spéciaux pour améliorer la recherche et dicter le robot d'exploration pour rechercher des fichiers ou des répertoires très spécifiques sur Internet. Dans la plupart des cas, il s'agit de fichiers journaux ou de mauvaises configurations de sites Web.

Comment les pirates utilisent Google Dorking pour pirater des sites Web

Google Dorking implique l'utilisation de paramètres spéciaux et d'opérateurs de recherche appelés "dorks" pour affiner les résultats de recherche et rechercher les données sensibles exposées et les failles de sécurité dans les sites Web.

Les paramètres et les opérateurs indiquent au robot d'exploration de rechercher des types de fichiers spécifiques dans n'importe quelle URL spécifiée. Les résultats de recherche de la requête incluent, mais ne sont pas limités à :

  • Ouvrir Serveurs FTP.
  • Les documents internes d'une entreprise.
  • Caméras IP accessibles.
  • Documents gouvernementaux.
  • Fichiers journaux du serveur contenant des mots de passe et d'autres données sensibles qui peuvent être exploitées pour infiltrer ou perturber une organisation.

Opérateurs Google Dorking les plus utilisés

Bien qu'il existe des tonnes d'opérateurs et de paramètres que l'on peut appliquer à une requête de recherche, il suffit d'une poignée d'entre eux pour répondre aux besoins d'un professionnel de la sécurité. Voici quelques requêtes couramment utilisées :

  1. inurl : Indique au robot d'exploration de rechercher des URL contenant un mot-clé spécifié.
  2. allintext: Ce paramètre recherche le texte spécifié par l'utilisateur dans une page Web.
  3. Type de fichier: Ce paramètre indique au crawler de rechercher et d'afficher un type de fichier spécifique.
  4. titre : Scrape pour les sites contenant des mots-clés spécifiés dans le titre.
  5. site: Répertorie toutes les URL indexées pour le site spécifié.
  6. cache : Lorsqu'il est associé au paramètre site, celui-ci affiche le cache ou ancienne version d'un site web.
  7. Opérateur de tuyauterie (|): Cet opérateur logique répertorie les résultats contenant l'un des deux termes de recherche spécifiés.
  8. Opérateur générique (*) : Il s'agit d'un opérateur générique qui recherche les pages contenant tout ce qui est lié à votre terme de recherche.
  9. Opérateur de soustraction (-): Cela élimine les résultats indésirables de votre recherche.

Google Dorking est-il illégal ?

Bien que cela puisse sembler intimidant, Google Dorking ne vous mènera pas derrière les barreaux, étant donné que vous ne l'utilisez que pour affiner vos résultats de recherche et non pour infiltrer une organisation.

C'est un mal nécessaire et, en fait, une pratique encouragée parmi les utilisateurs expérimentés. Gardez à l'esprit que Google suit vos recherches en permanence, donc si vous accédez à des données sensibles ou effectuez une recherche avec une intention malveillante, Google vous signalera comme un acteur de la menace.

Si vous effectuez un test d'intrusion ou une chasse aux bug bounty, assurez-vous que vous êtes pleinement autorisé et soutenu par l'organisation. Sinon, si vous vous faites prendre, les choses peuvent tourner au pire, et on peut même vous gifler avec un procès.

Comment protéger votre site contre le piratage de Google

En tant que webmaster, vous devez mettre en place des contre-mesures défensives spécifiques pour lutter contre Google Dorking. Une approche très simple serait d'ajouter un robots.txt fichier et interdire l'accès à tous les répertoires sensibles. Cela empêchera les robots des moteurs de recherche d'indexer les fichiers, répertoires et URL sensibles au fur et à mesure que vous les répertoriez.

Ajout d'un robots.txt fichier dans le répertoire racine est une bonne pratique générale et essentielle pour la sécurité globale de votre site Web. En savoir plus sur pourquoi la sécurité du site Web est cruciale.

D'autres moyens d'atténuer cette menace consisteraient à chiffrer les données sensibles telles que les noms d'utilisateur, les mots de passe, les informations de paiement, etc., et à utiliser Google Search Console pour supprimer des pages des résultats de recherche.

Devenez un utilisateur expérimenté de Google avec Google Dorking

Alors que la plupart d'entre nous utilisons Google tous les jours, nous ne profitons presque jamais de son véritable potentiel. Vous pouvez exploiter le pouvoir souvent négligé de Google dorking de manière éthique pour affiner votre Google-fu et trouver à peu près n'importe quoi sur Internet.

Avec les paramètres et les mots-clés appropriés en place, la réponse à toutes vos curiosités et questions sera à portée de main, en une seule pression de touche. En savoir plus sur les meilleurs trucs et astuces pour tirer le meilleur parti de votre recherche Google.

10 trucs et astuces pour utiliser la recherche Google plus efficacement

Lire la suite

PartagerTweeterPartagerE-mail

Rubriques connexes

  • Sécurité
  • Google
  • Recherche Google
  • Le piratage
  • La cyber-sécurité
  • Sécurité en ligne

A propos de l'auteur

Debarshi Das (11 articles publiés)

J'aime casser des choses et faire des choses qui m'aident à casser des choses. Lorsque les écrans sont éteints, vous pouvez me trouver sur le terrain de football ou en train de me battre au club d'échecs local.

Plus de Debarshi Das

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner