Inurl php módszer mennyi bevétel. Ajándékszerzési rendszerek. Mennyit keres egy PHP programozó?
Egy kis emlékeztetőt szeretnék közzétenni a kezdő PHP programozók segítségére. Mit és hogyan kell csinálni, hogy megtanulj php-t és pénzt keress a mesterségeddel. Ha az olvasók tanácsot szeretnének adni, kommenteljék.
* Kezdjük egy hasznos tézissel - megtanulhat php-t anélkül, hogy pénzt költene. Minden szükséges anyagokat A php megtalálható az interneten, minden kérdésre a fórumokon a válasz... nem kell tanfolyamra járni, nem kell könyvet venni (általában a könyveket akkor érdemes megvenni, ha lusta vagy anyag után nézni az internet), nem kell pénzt költeni.
* Találja ki a kerékpárokat. Mindig saját maga írja be a kódot – ez segíteni fog a jövőben. Ha vendégkönyv kell, írd meg, ne használd kész opciók, még ha átnézed és megérted is a kódját, ez nem helyettesíti magát a programozást, a hibák keresését, a hibakeresést, az írással kapcsolatos problémák megoldását. Később, amikor profi leszel, használhatsz, sőt kell is használni a harmadik féltől származó kódot, de a tanulási szakaszban ez rossz szolgálatot tesz neked. Használhat példákat, és használhatja valaki más kódját a probléma megoldására vagy a megfelelő algoritmus megtalálására.
* Hozzon létre „kezdőoldalakat”. Ez egy jó edzés. Az Ön” létrehozása és fejlesztése kezdőlap” arra kényszeríti Önt, hogy folyamatosan fejlessze készségeit, keresse a webhely fejlesztésének módjait, és versenyezzen a „kezdőlapok” többi tulajdonosával.
* Csatlakozz csoportokhoz. Próbálja meg létrehozni a projektet nem egyedül, hanem más programozókkal együttműködve. A jobb csapatmunka, mások kódjának megértése és a csapattal való helyes kommunikáció segít megtalálni Jó munka. Sok vállalat az egyik fő követelményt támasztja a foglalkoztatással szemben - hogy képes legyen csapatban dolgozni.
* Ne hagyja félúton a projektet. Mindig próbáljon befejezni egy elkezdett projektet. Még akkor is, ha megszűnt rá az igény. Minél több befejezett projektje van, annál nagyobb listát írhat az önéletrajzába. De a munkaadó először a kész és kész dolgokat nézi.
* Vállaljon „filléres” munkát. Ha az előéleted nem gazdag, ne utasíts el egy rosszul fizetett munkát. Mondok egy példát az életből: amikor elkezdtem pénzért programozni, elmentem egy online játékba dolgozni. Általában felajánlottak nekem egy fillért - havi 2000-et. De megfogadtam, és miközben dolgoztam, egyre többet tanulmányoztam a webes programozás jellemzőit. Hét hónap után a fizetésem 10 000 rubel volt. És egyszerűen nem tudom megszámolni, mennyi tapasztalatot szereztem.
* Hozzon létre nagy projekteket. Ha nagy projektjei vannak, az óriási előnyt jelent az Ön számára.
* Ne késs el a munkahelyeden, ha nem érdekel. Ha a munkája rutinná vált, és nem hoz semmi újat, nincs tudás - hagyja abba. Ez egy út a semmibe. Mindig csak az érdekes projektekhez ragaszkodjon.
* Növelje „általános” tudását. Nem szabad csak a php-ra koncentrálni, ma már a munkaadók megkövetelik a programozótól, hogy ne csak kódot készítsen, hanem ügyesebb legyen az oldalak elrendezésében, a szerver beállításában, a dokumentációkészítésben, a javascript használatában és még sok másban. Nagyjából ma már senkinek sem csak webprogramozókra van szüksége, hanem webmesterekre.
* Ismerje meg az új technológiákat. Az olyan új technológiák, mint az Ajax, mindig az Ön ütőkártyája lesz. Varázslatos hatást gyakorolnak a munkáltatóra.
Talán mára ennyi is elég. Van még sok tipp, de ha van rá igény, akkor más bejegyzésekben is adom őket :)
Hasonló cikkek
Biztosan sok klassz oldalon láttad ezt a funkciót: „On-Line: 56 fő”? És természetesen valami hasonlót akart csinálni, de nem volt elég tudása vagy fordulatai a szürkeállományban? Akkor, különösen az Ön számára, ajánlok egy cikket, ahol részletesen elmagyarázom.
A szerzőtől: Hello barátok! Ebben a cikkben a PHP programozási nyelvről fogunk beszélni. Nézzük meg, mire használják, mit lehet vele kezdeni, és milyen helyet foglal el a weboldalfejlesztés szakaszaiban. Ebben a cikkben is megvizsgáljuk, hogyan lehet pénzt keresni a PHP programozás ismeretében.
Mi az a PHP és mire való?
A PHP egy szkriptnyelv, amelyet nagyon aktívan használnak webes alkalmazások fejlesztésében. A PHP a dinamikus webhelyek fejlesztésében használt egyik vezető nyelv.
A PHP egy szerveroldali programozási nyelv. Az ezen a nyelven írt összes szkript a webhelyhez tartozó szerveren fut. A PHP tanulásához, weboldalak és szkriptek fejlesztéséhez és hibakereséséhez természetesen nem kell valódi szervert vásárolnia az interneten. Erre a célra szerveremulátorokat használnak, amelyeket programok formájában egyszerűen telepítenek egy működő számítógépre. Az internetes szerveren (hosting) pedig kész weboldalak és PHP szkriptekkel ellátott oldalak kerülnek elhelyezésre. Egyébként szinte minden modern hosting támogatja a PHP nyelvet.
Ennek a nyelvnek a népszerűségét a webhelykészítés területén a webalkalmazások fejlesztésére szolgáló beépített eszközök nagy készletének jelenléte határozza meg. A főbbek:
a POST és GET paraméterek, valamint a webszerver környezeti változóinak automatikus kinyerése előre meghatározott tömbökbe;
interakció számos különböző adatbázis-kezelő rendszerrel (MySQL, MySQLi, SQLite, PostgreSQL, Oracle (OCI8), Oracle, Microsoft SQL Server, Sybase, ODBC, mSQL, IBM DB2, Cloudscape és Apache Derby, Informix, Ovrimos SQL, Lotus Notes , DB++, DBM, dBase, DBX, FrontBase, FilePro, Ingres II, SESAM, Firebird / InterBase, Paradox File Access, MaxDB, PDO interfész);
HTTP-fejlécek automatikus küldése;
cookie-kkal és munkamenetekkel végzett munka;
helyi és távoli fájlokkal, socketekkel való munkavégzés;
a szerverre feltöltött fájlok feldolgozása;
XForms-szal dolgozik.
Nézzünk egy példát, ahol a PHP szkript fut az oldalon. Vegyük például az előfizetési űrlapot, amelyen számos webhelyen megadja nevét és e-mail címét. Mögött kinézet forms - a beviteli mezők és gombok színei, a gomb színének megváltoztatása lebegtetéskor és rákattintáskor, és így tovább - megfelel a HTML-nek és a CSS-nek. A HTML5 használatával ellenőrizheti az űrlapon megadott adatok helyességét - például, hogy az email vagy a telefon mezői megfelelően vannak-e kitöltve.
A „Feliratkozás” gombra kattintás után pedig egy PHP szkript kerül meghívásra, amely fogadja az űrlapon megadott adatokat. A szkript beírja őket az adatbázisba, generál és elküld egy linket az űrlapon megadott e-mail címre a feliratkozás megerősítéséhez, ellenőrzi az előfizetés visszaigazolását és elküldi Önnek. nyomon követi a leveleket. Mindezeket a műveleteket a szerveren hajtják végre, és ez a PHP programozási nyelv használatával történik.
A PHP alkalmazása honlapkészítésben
A webhely létrehozásához több szakaszon kell keresztülmennie:
Tervezés. Ebben a szakaszban tervezzük a leendő oldalt: kinek és miért készítjük, ki fogja látogatni az oldalt, mivel töltsük fel, mi legyen az oldalon stb.
Tervezés. A tervezési szakaszban grafikus szerkesztőben hozzuk létre a webhely oldalainak megjelenését.
Elrendezés. Az elrendezési szakaszban HTML és CSS segítségével a tervezési szakaszban kapott elrendezésekből elkészítjük a leendő webhely HTML oldalait.
Programozás. A programozási szakaszban automatizáljuk az oldallal végzett munka folyamatait. Az oldal adminisztrációs részét (adminisztrációs panelt) úgy programozzuk, hogy a weboldalkészítésben teljesen járatlan személy számára is felvehessen, töröljön, szerkeszthessen meglévő oldalakat. Úgy programozzuk, hogy a keresés és az összes feliratkozási űrlap (ha van) működjön az oldalon. Gondoskodunk arról, hogy az újonnan hozzáadott oldal megjelenjen az oldalon, és a létrehozott oldalra mutató hivatkozás automatikusan megjelenjen a menüben. Ha az oldal szavazást vagy felmérést használ, akkor ez is PHP-ben van programozva a programozási szakaszban.
Ha figyelembe vesszük egy nagyobb webhely, például egy online áruház programozásának szakaszát, akkor itt minden még szélesebb és érdekesebb. Ebben az esetben nem csak oldalakat, hanem termékeket is hozzáadunk - az online áruház fő tartalmát. Ezenkívül az adminisztrációs panelen meg kell adnia a hozzáadott termékek bontását különféle kategóriák. Lehetővé kell tenni a termék szerkesztését, leírásának, árának, képének stb.
Ezenkívül egy online áruházhoz analitikai rendszer programozása is szükséges - így az adminisztrációs panelen láthatja, hogy hány rendelést adtak le és fizettek ki, milyen összegért, milyen termékekért, melyik kategóriából stb. különböző időszakokra vonatkozóan megjeleníthetők ilyen jelentések. Egy webáruház programozásakor gyakran az értékesítési jelentéseket is generálják könyvelésés az adó.
Éppen ezért a PHP programozási nyelv használatának szakasza a legfontosabb, a leghosszabb ideig tartó, valamint a legdrágább és legjobban fizetett webhelyfejlesztés. És miután megértette, hogyan kell programozni egy online áruházat, szinte bármilyen bonyolultságú webhelyhez képes lesz szkripteket készíteni.
A PHP népszerűsége
A PHP népszerűségét bizonyítja, hogy az összes olyan oldal 83,1%-a használja, ahol sikerült szerveroldali programozási nyelvet azonosítani.
Az összes legnépszerűbb CMS, amely a népszerűségi besorolások első helyeit foglalja el (fizetős és ingyenes: WordPress, Joomla, Drupal, Modx, Bitrix. Magento stb.) PHP programozási nyelven íródott.
A PHP programozási nyelv népszerűségét a számos létrehozott PHP keretrendszer is bizonyítja, mint például a Laravel, Yii, CakePHP, Slim, Zend Framework 2, PHPixie, CodeIgniter, Symfony 2 és mások. Rengeteg fórum és nagy közösség létezik - a PHP-hez általában, minden keretrendszerhez és minden CMS-hez külön-külön.
Azt is hozzáteszem, hogy a világ legnagyobb oldalai, például a Facebook, a Wikipédia is PHP-ben íródnak.
Hogyan lehet pénzt keresni a PHP tudásával?
Tekintettel a PHP népszerűségére, állandó nagy a kereslet PHP programozóknak. A PHP ismerete és ezen a nyelven való programozás új lehetőségeket nyit meg a pénzkeresésben. Nézzük a főbbeket, amelyekkel ma igazán pénzt kereshet:
Pénzt keresni forgatókönyvek fejlesztésével. Minden oldal folyamatosan fejlődik, és időszakonként új szkriptek írása, vagy további funkciók, modulok stb. fejlesztése szükséges. Az ilyen fejlesztésekhez a webhelytulajdonosok a PHP fejlesztőihez fordulnak. Ezenkívül ebben az esetben kétféleképpen kereshet pénzt:
Kövesse nyomon a megrendeléseket, hogy szabadúszó fejlesztőt találjon;
ötleteket generálni tömeges szkriptekhez. Ha van egy ötlete egy forgatókönyvre, amely biztosan kereslet lesz például az online áruházak tulajdonosai körében, önállóan kifejleszthet egy ilyen szkriptet, és eladhatja az online boltok tulajdonosainak;
Véglegesítés kész szkriptek"rendelni". Itt minden egyszerű - Ön vállalja a szkript módosítását vagy javítását. De ebben az esetben van egy árnyalat - kezdetben előfordulhat, hogy a forgatókönyv nem készült túl jól, és a finomítása több időt vehet igénybe, mint a forgatókönyv megírása a semmiből. Ezért, ha használja hasonló módszer bevételeit, kezdetben nagyon alaposan nézze meg, mit fog finomítani és kiegészíteni.
Bővítmények fejlesztése CMS-hez. Ebben a módszerben minden ugyanaz, mint a szkriptekből való pénzkeresésnél. Gyakran előfordul, hogy a kész CMS-en létrehozott webhelyeken valamilyen bővítményt, kiegészítőt vagy bővítményt kell írni. És itt kétféleképpen kereshet pénzt:
beépülő modulok, kiegészítők és bővítmények fejlesztésére vonatkozó megrendelések követése szabadúszó alapon;
tömeges bővítmény fejlesztése és értékesítése, amelyre a legtöbb webhelyen biztosan lesz kereslet;
Saját és közös projektek. Ha van ötlete egy internetes projektre (startup), például ötlete van egy hasznos szolgáltatásra vagy alkalmazásra, amely egy adott problémát megoldana, akkor elkezdheti a megvalósítását. Tovább kezdeti szakaszban akár csak hobbiként is lehetne, a fő munkája mellett. Aztán, ha világossá válik, hogy a hobbi egy nagy projektté nő, több időt lehet majd fordítani rá.
Dinamikus weboldalak és motorok készítése számukra. Jó pénzt kereshet egyéni webhelyek fejlesztésével, szabadúszóként vagy webstúdióban való munkával is.
Weboldalak készítése saját magának. Létrehozhatsz magadnak egy weboldalt, megtöltheted hasznos tartalommal – és ha az oldalnak elegendő látogatója van, kezdj el pénzt keresni azzal, hogy fizetett hirdetéseket helyezel el rajta, vagy valaki termékeit reklámozod affiliate programok.
Azt hiszem, sokan gondoltatok arra, hogy a fenti pénzkeresési módok mindegyike kombinálható. És ez helyes! Létrehozhat magának egy webhelyet, és passzív pénzt kereshet reklámok eladásával, valamint létrehozhat egy szkriptet vagy beépülő modult, és eladhatja azt speciális webhelyeken, így minden eladásból pénzt kereshet a robotpilóta segítségével, és ugyanakkor továbbra is dolgozhat a weben. stúdió. Miért ne? Persze hogy lehet!
Mennyit kereshet egy PHP fejlesztő?
A PHP programozók keresetével minden egyéni. Itt nagyon sok múlik azon, hogy hol, hogyan, milyen tudásszinten, milyen tapasztalattal, végzettséggel, milyen kapcsolódó többlettudással rendelkezik a fejlesztő stb. Ezért itt elvileg nem lehet pontos szám. De megnézhetjük, milyen fizetéseket kínálnak, ha PHP-programozókat keresünk egy webstúdióban, és mennyit hajlandók fizetni egy projektért a szabadúszó tőzsdéken.
Az alábbi képen a PHP programozók javasolt fizetése látható egy webstúdióban. Sőt, ez a munkatapasztalat nélküli PHP programozók fizetése:
Ha van munkatapasztalata, sokkal többet kereshet. Az alábbiakban a tapasztalt PHP programozóknak kínált fizetéseket találja.
És ma már tisztességes pénzt is kereshet szabadúszóként:
Következtetés
A PHP a legnépszerűbb programozási nyelv a webfejlesztők körében. Az interneten található webhelyek túlnyomó többsége PHP-ben készült. Az ezen a programozási nyelven való fejlesztési tudás és képesség birtokában jó pénzt kereshet, és sok lehetőség van a pénzkeresésre - a webstúdióban végzett munkától a saját projekt vagy startup fejlesztéséig.
A számítógépek és az internet megjelenésével számos további szakma jelent meg.
A programozó szakemberek ma már keresettek, mert számos projekt indul az interneten keresztül. Ezért minden jelentkezőnek fontolóra kell vennie a számítógépekhez kapcsolódó szakterület választását.
Hogyan lehet pénzt keresni a PHP ismeretével? Ebben a cikkben a programozás egyik területét tekintjük át. A szkriptnyelvet aktívan használják alkalmazások fejlesztésére.
A technológia sok éve releváns, és ha megtanulod a PHP-t, jó pénzt kereshetsz. A legfontosabb, hogy óriási a kereslet ezen a területen a szakemberek iránt.
Mennyit keres egy PHP programozó?
Pontos összeget nem lehet megnevezni, mert mindenki más cégeknél dolgozik, sőt van, aki otthonról is dolgozik. Az aktív dolgozók mindenesetre jó fizetést kapnak.
Azok, akik úgy dolgoznak, hogy nem mozdulnak el otthonról, pontosan annyit kapnak, amennyit teljesítenek a rendeléseiken. Az árakat egy résben ritkán határozzák meg, leggyakrabban egyénileg tárgyalják.
A PHP programozói munka előnyei között érdemes megemlíteni a tevékenység komoly kilátásait és relevanciáját. Abban az időben, amikor az internet szinte minden területre behatol, a programozói munka igazán jövedelmező.
A sebezhetőségek keresése a webes erőforrásokon a felderítéssel és információgyűjtéssel kezdődik.
Az intelligencia lehet aktív – a webhely fájljainak és könyvtárainak brutális erőszakos támadása, biztonsági rés-ellenőrzők futtatása, a webhely manuális böngészése, vagy passzív – információk keresése különböző keresőmotorokban. Néha előfordul, hogy egy biztonsági rés már az oldal első oldalának megnyitása előtt ismertté válik.
Hogyan lehetséges ez?
Az internetet folyamatosan barangoló keresőrobotok az átlagfelhasználó számára hasznos információk mellett gyakran rögzítenek olyan dolgokat is, amelyeket a támadók felhasználhatnak egy webes erőforrás megtámadására. Például szkripthibák és érzékeny információkat tartalmazó fájlok (a konfigurációs fájloktól és naplóktól a hitelesítési adatokat és adatbázis-mentéseket tartalmazó fájlokig).
A keresőrobot szempontjából az sql lekérdezés végrehajtásával kapcsolatos hibaüzenet sima szöveg, amely elválaszthatatlan például az oldalon található termékek leírásától. Ha hirtelen egy keresőrobot talált egy .sql kiterjesztésű fájlt, amely valamilyen oknál fogva a webhely munkamappájába került, akkor azt a webhely tartalmának részeként észleli, és indexeli is (beleértve esetleg a jelszavakat is abban meghatározott).
Hasonló információkat találhatunk stabil, gyakran egyedi, kulcsszavakat, amelyek segítenek elkülöníteni a „sebezhető oldalakat” azoktól az oldalaktól, amelyek nem tartalmaznak sebezhetőséget.
A kulcsszavakat használó speciális lekérdezések hatalmas adatbázisa (úgynevezett dorks) létezik az exploit-db.com oldalon, és ez a Google Hack Database néven ismert.
Miért a google?
A Dorks elsősorban a Google-t célozza két okból:
− a kulcsszavak (1. táblázat) és speciális karakterek (2. táblázat) legrugalmasabb szintaxisa;
− a Google indexe még mindig teljesebb, mint a többi keresőmotoré;
1. táblázat - Fő Google kulcsszavak
Kulcsszó |
Jelentése |
Példa |
webhely |
Keresés csak a megadott oldalon. Csak az url-t veszi figyelembe |
site:somesite.ru - megkeresi egy adott domain és aldomain összes oldalát |
inurl |
Keresés az uri-ban lévő szavak alapján. Ellentétben cl. „webhely” szavakkal, a webhely neve után keres egyezést |
inurl:news - megkeresi az összes oldalt, ahol az adott szó szerepel az uri-ban |
szövegben |
Keresés az oldal törzsében |
intext: "forgalmi dugók" - teljesen hasonló a szokásos "forgalmi dugók" kéréshez |
cím |
Keresés az oldal címében. Szöveg a címkék között |
intitle:”index of” – megkeresi az összes könyvtárlistát tartalmazó oldalt |
ext |
Adott kiterjesztésű oldalak keresése |
ext:pdf – minden pdf fájlt megtalál |
fájltípus |
Jelenleg teljesen hasonló az osztályhoz. az "ext" szó |
fájltípus:pdf - hasonló |
összefüggő |
Keressen hasonló témájú webhelyeket |
related:google.ru - megmutatja analógjait |
link |
Keressen olyan webhelyeket, amelyek erre hivatkoznak |
link:somesite.ru – megkeresi az összes olyan webhelyet, amely linkel rendelkezik erre |
meghatározni |
Szódefiníció megjelenítése |
define:0day - a kifejezés meghatározása |
gyorsítótár |
Az oldal tartalmának megjelenítése a gyorsítótárban (ha van) |
cache:google.com – megnyílik egy gyorsítótárazott oldal |
2. táblázat – Speciális karakterek a Google-lekérdezésekhez
Szimbólum |
Jelentése |
Példa |
“ |
Pontos kifejezés |
intitle:"RouterOS router konfigurációs oldal" - routerek keresése |
* |
Bármilyen szöveg |
inurl: "bitrix*mcart" - webhelyek keresése a bitrixen egy sebezhető mcart modullal |
. |
Bármilyen karakter |
Index.of - hasonló a kérelem indexéhez |
- |
Töröljön egy szót |
hiba -figyelmeztetés - az összes olyan oldal megjelenítése, amelyen hiba van, de nincs figyelmeztetés |
.. |
Hatótávolság |
cve 2006..2016 - a sebezhetőségek megjelenítése évenként 2006-tól |
| |
Logikus "vagy" |
linux | ablakok – azokat az oldalakat jelenítik meg, ahol az első vagy a második szó szerepel |
Érdemes megérteni, hogy a keresőmotorhoz intézett bármely kérés csak szavak alapján történő keresés.
Felesleges metakaraktereket keresni az oldalon (idézőjel, zárójel, írásjel stb.). Még az idézőjelben megadott kifejezés pontos keresése is szókeresés, amelyet a találatok között a pontos egyezés keresése követ.
Az összes Google Hack Database dork logikusan 14 kategóriába sorolható, és a 3. táblázatban látható.
3. táblázat – Google Hack adatbázis-kategóriák
Kategória |
Mi lehetővé teszi, hogy megtalálja |
Példa |
Lábtartók |
Web shellek, nyilvános fájlkezelők |
Keresse meg az összes feltört webhelyet, ahová a felsorolt webshelleket feltöltötték: (intitle:"phpshell" VAGY intitle:"c99shell" VAGY intitle:"r57shell" VAGY intitle:"PHP Shell" VAGY intitle:"phpRemoteView") `rwx` "uname" |
Felhasználóneveket tartalmazó fájlok |
Registry fájlok, konfigurációs fájlok, naplók, a bevitt parancsok előzményeit tartalmazó fájlok |
Keresse meg az összes fiókinformációt tartalmazó regisztrációs fájlt: fájltípus:reg reg +intext:"internetes fiókkezelő" |
Érzékeny címtárak |
Különféle információkat tartalmazó könyvtárak (személyes dokumentumok, vpn konfigurációk, rejtett adattárak stb.) |
A VPN-hez kapcsolódó fájlokat tartalmazó összes könyvtárlista megkeresése: "Config" intitle:"Index of" intext:vpn Git tárolókat tartalmazó webhelyek: (intext:"/.git indexe") ("szülőkönyvtár") |
Webszerver észlelése |
Verzió és egyéb információk a webszerverről |
Keresse meg a JBoss szerver adminisztrációs konzoljait: inurl:"/web-console/" intitle:"Felügyeleti konzol" |
Sebezhető fájlok |
Ismert sebezhetőséget tartalmazó szkriptek |
Keressen olyan webhelyeket, amelyek olyan szkriptet használnak, amely lehetővé teszi tetszőleges fájl feltöltését a szerverről: allinurl:forcedownload.php?file= |
Sebezhető szerverek |
Telepítési szkriptek, webhéjak, nyílt adminisztrációs konzolok stb. |
Keresse meg a rootként futó PHPMyAdmin konzolokat: intitle:phpMyAdmin "Üdvözli a phpMyAdmin ***" "a * root@* néven fut" |
Hibaüzenetek |
A különféle hibák és figyelmeztetések gyakran árulkodnak fontos információ- a CMS verziótól a jelszavakig |
Azok a webhelyek, amelyek hibás SQL-lekérdezéseket hajtanak végre az adatbázisban: "Figyelmeztetés: mysql_query()" "érvénytelen lekérdezés" |
Lédús információkat tartalmazó fájlok |
Tanúsítványok, biztonsági másolatok, e-mailek, naplók, SQL-szkriptek stb. |
Inicializáló sql szkriptek keresése: fájltípus:sql és „insert into” -site:github.com |
Jelszavakat tartalmazó fájlok |
Bármi, ami jelszavakat tartalmazhat - naplók, sql szkriptek stb. |
A jelszavakat megemlítő naplók: fájltípus:logszöveg:jelszó |pass |pw jelszavakat tartalmazó sql szkriptek: ext:sqlszöveg:felhasználónévszöveg:Jelszó |
Érzékeny online vásárlási információk |
Internetes vásárlással kapcsolatos információk |
PIN-kódok keresése: dcid=bn=pinkód= |
Hálózati vagy sebezhetőségi adatok |
A webes erőforráshoz közvetlenül nem kapcsolódó, de a hálózatot vagy más nem webes szolgáltatásokat érintő információk |
Keresse meg a belső hálózattal kapcsolatos információkat tartalmazó automatikus proxykonfigurációs szkripteket: inurl:proxy | inurl:wpad ext:pac | ext:dat findproxyforurl |
Bejelentkezési portálokat tartalmazó oldalak |
Bejelentkezési űrlapokat tartalmazó oldalak |
saplogon weboldalak: intext:"2016 SAP AG. Minden jog fenntartva." cím: "Bejelentkezés" |
Különféle online eszközök |
Nyomtatók, útválasztók, felügyeleti rendszerek stb. |
Keresse meg a nyomtató konfigurációs paneljét: cím:"hplézersugár"inurl:SSI/Auth/készlet_config_eszköz információ.htm |
Tanácsok és sebezhetőségek |
Webhelyek a sebezhető CMS-verziókon |
Keressen sebezhető beépülő modulokat, amelyeken keresztül tetszőleges fájlt tölthet fel a szerverre: inurl:fckeditor -intext:"ConfigIsEnabled = False" intext:ConfigIsEnabled |
A Dorks gyakrabban összpontosít az összes internetes oldalon való keresésre. De semmi sem akadályozza meg, hogy korlátozza a keresési hatókört bármely webhelyen vagy webhelyeken.
Minden Google-lekérdezés egy adott webhelyre fókuszálható, ha hozzáadja a „site:somesite.com” kulcsszót a lekérdezéshez. Ez a kulcsszó bármelyik dorkhoz hozzáadható.
A sebezhetőségek keresésének automatizálása
Így született meg az ötlet, hogy írjunk egy egyszerű segédprogramot, amely keresőmotor (google) segítségével automatizálja a sebezhetőségek keresését, és a Google Hack Database-ra támaszkodik.
A segédprogram egy phantomjs használatával nodejs-ben írt szkript. Hogy pontosak legyünk, a szkriptet maga a phantomjs értelmezi.
A Phantomjs egy teljes értékű webböngésző grafikus felhasználói felület nélkül, js kóddal és kényelmes API-val vezérelhető.
A segédprogram teljesen érthető nevet kapott - dorks. A parancssorban (opciók nélkül) futtatva rövid segítséget kapunk több használati példával:
1. ábra – A fő dorks opciók listája
A segédprogram általános szintaxisa: dork „parancs” „opciólista”.
Az összes lehetőség részletes leírása a 4. táblázatban található.
4. táblázat – Dorks szintaxis
Csapat |
választási lehetőség |
Leírás |
ghdb |
-l |
Nyomtassa ki a dork kategóriák számozott listáját Google Hack Database |
-c „kategóriaszám vagy név” |
A megadott kategóriájú rakodóajtók száma vagy név szerint |
|
-q "kifejezés" |
Kérésre talált dorks letöltése |
|
-o "fájl" |
Az eredmény mentése fájlba (csak a -c|-q kapcsolókkal) |
|
Google |
-d "dork" |
Állítson be tetszőleges dorkot (az opció sokszor használható, a -D opcióval kombinálva megengedett) |
-D "fájl" |
Használj dorkokat fájlból |
|
-s "webhely" |
Hely beállítása (az opció többször használható, a -S opcióval kombinálva megengedett) |
|
-S "fájl" |
Webhelyek használata fájlból (a dorks minden webhelyet külön-külön megkeres) |
|
-f "szűrő" |
További kulcsszavak beállítása (minden dorkhoz hozzáadva) |
|
-t "ms száma" |
A google-hoz intézett kérések közötti intervallum |
|
-T "ms száma" |
Időtúllépés captcha észlelésekor |
|
-o "fájl" |
Mentse el az eredményt egy fájlba (csak azok a sávok kerülnek mentésre, amelyekhez találtak valamit) |
A ghdb paranccsal tetszőleges kéréssel lekérheti az exploit-db összes dorkját, vagy megadhatja a teljes kategóriát. Ha a 0-ás kategóriát adjuk meg, akkor a teljes adatbázis kiürül (kb. 4,5 ezer dork).
A címen elérhető kategóriák listája Ebben a pillanatban a 2. ábrán mutatjuk be.
2. ábra – Az elérhető GHDB dork kategóriák listája
A Google csapata minden dorkot behelyettesít a Google keresőjébe, és elemzi az eredményeket a találatok keresésére. Az elérési utak, ahol valamit találtak, fájlba kerülnek.
A segédprogram különböző keresési módokat támogat:
1 dork és 1 telephely;
1 dork és sok helyszín;
1 telephely és sok dork;
sok helyszín és sok dork;
A dokok és helyek listája argumentum vagy fájl segítségével megadható.
A munka bemutatása
Próbáljuk meg megkeresni az esetleges sebezhetőségeket a hibaüzenetek keresésének példájával. Paranccsal: dorks ghdb –c 7 –o errors.dorks a „Hibaüzenetek” kategória összes ismert dorkja betöltődik a 3. ábrán látható módon.
3. ábra – A „Hibaüzenetek” kategória összes ismert dokkolójának betöltése
A Dorks letöltődik és fájlba kerül. Most már csak az van hátra, hogy „beállítsuk” őket valamelyik oldalon (lásd 4. ábra).
4. ábra – Az érdeklődésre számot tartó webhely sebezhetőségeinek keresése a Google gyorsítótárában
Egy idő után a vizsgált oldalon több hibát tartalmazó oldal is felfedezésre kerül (lásd 5. ábra).
5. ábra – Hibaüzenetek találhatók
Az eredményt a result.txt fájlban kapjuk teljes lista hibához vezető dorkok.
A 6. ábra a webhelyhibák keresésének eredményét mutatja.
6. ábra – Hibakeresés eredménye
A dork gyorsítótárában egy teljes visszakövetés jelenik meg, amely felfedi a szkriptek abszolút elérési útját, a webhely tartalomkezelő rendszerét és az adatbázis típusát (lásd a 7. ábrát).
7. ábra – a helyszín tervezésével kapcsolatos információk közzététele
Érdemes azonban megfontolni, hogy nem minden GHDB dork ad valódi eredményeket. Ezenkívül előfordulhat, hogy a Google nem talál pontos egyezést, és hasonló eredményt jelenít meg.
Ebben az esetben bölcsebb a saját dorkok listáját használni. Például mindig érdemes „szokatlan” kiterjesztésű fájlokat keresni, amelyekre a 8. ábrán mutatunk példákat.
8. ábra – A szokásos webes erőforrásokra nem jellemző fájlkiterjesztések listája
Ennek eredményeként a dorks google –D extensions.txt –f bank paranccsal a Google már az első kéréstől kezdve elkezdi visszaadni a „szokatlan” fájlkiterjesztésű webhelyeket (lásd 9. ábra).
9. ábra – „Rossz” fájltípusok keresése banki webhelyeken
Érdemes szem előtt tartani, hogy a Google nem fogad el 32 szónál hosszabb lekérdezéseket.
A dorks google –d intext:”error|warning|notice|syntax” –f egyetem paranccsal
A PHP-tolmács hibákat oktatási webhelyeken keresheti (lásd a 10. ábrát).
10. ábra – PHP futásidejű hibák keresése
Néha nem kényelmes egy vagy két fajta dork használata.
Például, ha ismert, hogy az oldal Wordpress motoron fut, akkor WordPress-specifikus modulokra van szükségünk. Ebben az esetben kényelmes a Google Hack Database keresés használata. A dorks ghdb –q wordpress –o wordpress_dorks.txt parancs letölti az összes dorkot a Wordpressről, ahogy az a 11. ábrán látható:
11. ábra – Wordpress-hez kapcsolódó Dorks keresése
Térjünk vissza ismét a bankokhoz, és a dorks google –D wordpress_dords.txt –f bank paranccsal próbáljunk valami érdekeset találni a Wordpress-szel kapcsolatban (lásd 12. ábra).
12. ábra – Wordpress biztonsági résének keresése
Érdemes megjegyezni, hogy a Google Hack Database keresése nem fogad el 4 karakternél rövidebb szavakat. Például, ha a webhely CMS-je nem ismert, de a nyelv ismert - PHP. Ebben az esetben a cső és a rendszerkereső segédprogram segítségével manuálisan szűrheti, amire szüksége van. dorks –c all | findstr /I php > php_dorks.txt (lásd 13. ábra):
13. ábra – Keresse meg az összes dorkot, ahol a PHP szerepel
Sebezhetőségek vagy érzékeny információk keresése a keresőmotorban csak akkor végezhető el, ha ezen az oldalon jelentős index található. Például, ha egy webhelyen 10-15 oldal van indexelve, akkor hülyeség bármit is így keresni. Az index méretének ellenőrzése egyszerű – csak írja be a „site:somesite.com” kifejezést a Google keresősávjába. Példa egy elégtelen indexű webhelyre a 14. ábrán.
14. ábra – A webhelyindex méretének ellenőrzése
Most a kellemetlenről... A Google időről időre kérhet captcha-t - ez ellen nem tudsz mit tenni - meg kell majd adni. Például a „Hibaüzenetek” kategória (90 dorks) közötti kereséskor a captcha csak egyszer jelent meg.
Érdemes hozzátenni, hogy a phantomjs támogatja a proxy-n keresztüli munkát is, mind a http, mind a socks felületen keresztül. A proxy mód engedélyezéséhez törölnie kell a megfelelő sort a dorks.bat vagy a dorks.sh fájlból.
Az eszköz forráskódként érhető el