配置文件
- 配置文件回泄露敏感信息给攻击者
- 尽管名字不同,配置文件通常都能通过类似INI,conf,config或cfg这样的文件扩展名找到。
- 有一个搜索列表用来查找各种配置文件,这些条目被很多贡献者一起搜集起来并存放在GHDB中。一个好网站啊
日志文件
- 日志文件也会泄露敏感信息,而且这些信息通常比配置文件中能找到的信息更新更快。
- 命名规则是不尽相同(指多个事务之间不完全相同)的,但日志文件通常都能通过类似LOG这样的文件扩展名找到
office文档
- 大多数情况下office文档就是用来公开发布的,那些并非想要对公众发布的文档可能就包含敏感信息
- 普通的office文件扩展名博爱阔pdf,doc,txt,xls
- 尽管文档内容不同,但类似private,password,backup或admin这样的字符串就能表示其可能为一个敏感文档。
数据库挖掘
- 登陆入口,特别是 由软件开发商提供的默认入口,是很容易搜到的,它对攻击者查找特别版本或类型的软件有很强的吸引力
- 单词login,welcone和copyright statements 都是用来找到登陆入库极好的方法。
- 服务器和客户端软件上都会存在支持文件,这些文件会泄露配置信息或一个应用的使用方法
- 错误消息的不同内容能用来描绘一个目标
- 数据库转储是最易泄露整个数据库信息的,因为它们包含了一个数据库全部或部分内容,这些转储能通过在标题中查找类似“# Dumping data for table”这样的字符串找到
网站链接
- www.filetext.com 一个特别帮的获取文件扩展名信息资源。
- https://www.exploit-db.com/google-hacking-database/ 很多搜索。
网友评论