Googling Rahasia Perusahaan Anda

Googling Rahasia Perusahaan Anda

Google & Situs Anda – Aliansi Buta

Asumsikan Anda memiliki situs web “onlineshopperdotcom” dan ketika Anda mencarinya di Google dengan kata kunci “situs web pembelanja online”, Anda mungkin akan melihat hasil halaman situs web Anda dan situs web lain yang terkait dengan kata kunci Anda. Itu cukup universal karena kita semua mendesak agar situs web kita dicari dan diindeks oleh Google.

Ini cukup umum untuk semua situs web e-niaga.

A. Situs web Anda “onlineshopperdotcom” secara langsung bersekutu dengan Google.

B. Situs web & server web Anda (tempat Anda menyimpan semua nama pengguna & kata sandi) secara langsung bersekutu satu sama lain.

C. Yang mengkhawatirkan, Google secara tidak langsung bersekutu dengan server web Anda.

Anda mungkin yakin bahwa ini normal dan mungkin tidak mengharapkan serangan phishing menggunakan Google untuk mengambil informasi apa pun dari server web Anda. Sekarang dipikir-pikir lagi, daripada mencari “situs web pembelanja online” di Google, bagaimana jika saya mencari “nama pengguna dan kata sandi situs pembelanja online”, apakah Google dapat memberikan daftar nama pengguna dan kata sandi untuk situs web pembelanja online? Sebagai konsultan keamanan, jawabannya adalah “MUNGKIN, KADANG-KADANG!”, tetapi jika Anda menggunakan Google dorks (kata kunci yang tepat untuk mengakses Google), jawabannya adalah “YA!” jika situs web Anda berakhir dengan konfigurasi keamanan yang salah letak.

Google Dorks dapat mengintimidasi.

Google muncul sebagai wali yang melayani sampai Anda melihat sisi lain dari itu. Google mungkin memiliki jawaban untuk semua pertanyaan Anda, tetapi Anda perlu membingkai pertanyaan Anda dengan benar dan di situlah GOOGLE DORKS masuk. Ini bukan perangkat lunak yang rumit untuk menginstal, menjalankan, dan menunggu hasil, melainkan kombinasi kata kunci (intitle, inurl, site, intext, allinurl dll) yang dengannya Anda dapat mengakses Google untuk mendapatkan apa yang Anda cari.

Misalnya, tujuan Anda adalah mengunduh dokumen pdf yang terkait dengan JAVA, pencarian Google normal adalah “download dokumen pdf java gratis” (gratis adalah kata kunci wajib yang tanpanya pencarian Google tidak lengkap). Tetapi ketika Anda menggunakan Google dorks, pencarian Anda akan menjadi “filetype: pdf intext: java”. Sekarang dengan kata kunci tersebut, Google akan memahami apa yang sebenarnya Anda cari daripada pencarian Anda sebelumnya. Selain itu, Anda akan mendapatkan hasil yang lebih akurat. Itu tampaknya menjanjikan untuk pencarian Google yang efektif.

Namun, penyerang dapat menggunakan pencarian kata kunci ini untuk tujuan yang sangat berbeda – untuk mencuri/mengekstrak informasi dari situs/server Anda. Sekarang dengan asumsi saya memerlukan nama pengguna dan kata sandi yang di-cache di server, saya dapat menggunakan kueri sederhana seperti ini. “filetype:xls passwords site: in”, ini akan memberi Anda hasil Google dari konten yang di-cache dari berbagai situs web di India yang memiliki nama pengguna dan kata sandi yang disimpan di dalamnya. Ini sesederhana itu. Sehubungan dengan situs web pembelanja online, jika saya menggunakan kueri “filetype:xls passwords inurl:onlineshopper.com” hasilnya mungkin mengecewakan siapa pun. Secara sederhana, informasi pribadi atau sensitif Anda akan tersedia di internet, bukan karena seseorang meretas informasi Anda, tetapi karena Google dapat mengambilnya secara gratis.

Bagaimana mencegah hal ini?

File bernama “robots.txt” (sering disebut sebagai robot web, pengembara, perayap, laba-laba) adalah program yang dapat melintasi web secara otomatis. Banyak mesin pencari seperti Google, Bing, dan Yahoo menggunakan robots.txt untuk memindai situs web dan mengekstrak informasi.

robots.txt adalah file yang memberikan izin kepada mesin pencari apa yang harus diakses & apa yang tidak boleh diakses dari situs web. Ini adalah semacam kontrol yang Anda miliki atas mesin pencari. Mengkonfigurasi Google dorks bukanlah ilmu roket, Anda perlu mengetahui informasi mana yang diizinkan dan tidak diizinkan di mesin telusur.

Contoh konfigurasi robots.txt akan terlihat seperti ini.

Izinkan: /website-contents

Larang: / perincian pengguna

Larang: /admin-details

Sayangnya, konfigurasi robots.txt ini sering terlewatkan atau dikonfigurasi secara tidak tepat oleh perancang situs web. Yang mengejutkan, sebagian besar situs web pemerintah & perguruan tinggi di India rentan terhadap serangan ini, mengungkapkan semua informasi sensitif tentang situs web mereka. Dengan malware, serangan jarak jauh, botnet & jenis ancaman kelas atas lainnya yang membanjiri internet, Google dork bisa lebih mengancam karena memerlukan koneksi internet yang berfungsi di perangkat apa pun untuk mengambil informasi sensitif apa pun. Ini tidak berakhir dengan mengambil informasi sensitif saja, menggunakan Google dorks siapa pun dapat mengakses kamera CCTV yang rentan, modem, nama pengguna email, kata sandi, dan detail pesanan online hanya dengan mencari di Google.

Komputer