Google dispone de una serie de "arañas" que van rastreando todo internet y van listando todas las páginas que existen, y todas las páginas dentro de las páginas. Es un proceso rápido, y, como no podía ser de otra manera, está completamente automatizado. En los casos que os presento a continuación os voy a mostrar por qué una combinación entre robot de Google que hace demasiado bien su trabajo, y administrador web, que no lo hace tan bien, puede dar como resultado la vulneración de la seguridad y la privacidad.
Comentarios
Esta info se sabe desde hace tiempo. Es divertido jugar con google:
allinurl:auth_user_file.txt
intitle:"Index of" config.php
filetype:xls username password email
intitle:"Index of" ".htpasswd" "htgroup" -intitle:"dist" -apache -htpasswd.c
intitle:"Index of" ".htpasswd" htpasswd.bak
intitle:"Index of" pwd.db
intitle:"Index of" secring.bak
intitle:"Index of" "people.lst"
intitle:"Index of..etc" passwd
#4 joder, me había olvidado del intitle, yo siempre he sido mas del allinurl.
Buscando se encuentran cosas curiosas, probad a buscar bases de datos access, te puedes llevar mas de una sorpresa.
"No se si sabréis como funciona un Servidor, os lo explicaré antes de seguir. Para servir una página al público desde un ordenador, instalamos un programa. Hay muchos, dos ejemplos muy populares serían "Xampp" y "Apache" "
Esto es erróneo a más no poder. A ver si alguien adivina, qué significa la A de XAMPP.
#21 hombre erróneo... XAMPP aunque instale apache es un programa, que es lo que dice ahí que es no? Si dijese web server entonces si seria erróneo, no?
#23 XAMP no es un programa. Es un lote preconfigurado de programas, entre ellos Apache.
#21 ¿¡¡APACHE!!? ¿He acertado? ¿Hay premio?
#21 No es especialmente riguroso ni técnico que digamos el post.
De hecho, ni siquiera veo bueno que haya llegado a portada.
No va a ayudar a los administradores de sistemas (que ni lo verán, y por mucho que diga no explica cómo tapar bien los agujeros), y sólo va a fomentar a los script-kiddies.
#44 No pretendía ser riguroso ni técnico ya que, el foro donde lo he publicado no es un foro de gente, ni rigurosa, ni técnica en estos menesteres. Es groso modo, una comunidad gamer y de interés general.
No va a ayudar a los administradores de sistemas que sean tan inútiles como para dejar los dumps en la carpeta pública. Sinceramente no me preocupo mucho por ellos, ya que parece que ellos se preocupan menos aún por los usuarios. Mi intención no era ayudar a nadie.
No es que no explique BIEN como tapar los agujeros, es que no lo hago en absoluto. No es ese el objetivo. Y si para que empresas y administradores empiecen a ser responsables hay que fomentar la aparición de script-kiddies, así sea.
En la segunda entrega entrarán otros buscadores como "shodan", y será más divertido.
#21 Lo de Xampp y Apache es porque lo escribí rápido, sin fijarme y pensando que no iba a tener más repercusión que la del foro donde lo había escrito. Lo escribí de carrerilla y ni me fijé.
#48 No se entienda mi comentario de manera demasiado rigurosa. Simplemente quería destacar la redundancia de decir Apache y XAMPP.
WTF! (1364,'WORKINONIT','GeorgeBush@whitehouse.gov','274270','USA',''...
¿Eso significa que la de Aznar es ESTAMOSTRABAJANDOENELLOU?
Algún honeypot debe haber por ahí también. Tened cuidado, no vayáis a ser vosotros los espiados
hay una sql pública de la JUNTA DE ANDALUCIA
Google dispone de una serie de "arañas" Es Varys, el de Juego de Tronos, fijo!
#13
Me parece un buen juego de palabras esto de arañas que tejen la telaraña (web).
#19 Desde siempre se les llama spiders a los indexadores.
#31 No había caido. Gracias.
#13 Las arañas serían los pajaritos de Varys.. Varys es Google.
Eso, probad vuestras contraseñas como dice el artículo en http://md5.rednoize.com/, así quedarán registradas en esa base de datos y vuestras cuentas serán un poco más inseguras. Si es que el mundo está lleno de incautos.
#17 Siempre puedes utilizar el comando md5 o sha1
Ni tiempo de esto... seguro que no hay otra noticia con lo mismo de hace AÑOS?
Estos no deben conocer la LPD
Esto hay que probarlo. Parece interesante aunque no he entendido la mitad del artículo.
#1 Sin más, habla de buscar dumps de bases de datos con los buscadores. Luego comenta cómo buscar contraseñas concretas por su hash.
Imagínate, quiero encontrar todas las páginas web que tengan usuarios con "buenosdias" como contraseña. Saco el hash md5 (o sha1) de la contraseñá y luego busco en un buscador bases de datos que contengan ese hash.
Sin más.
#15 Muchas gracias por la aclaración.
No me jodas... ¡miles de webs con sus dumps SQL en carpetas públicas!
Que pena no tener tiempo libre para intentar entrar en cada una de ellas, pero lo que les pase se lo merecen por inútiles.
Voy a probarlo en webs pr0n a pillar usuarios premium muahahahaha
#42 pues avisa si encuentras!
#45 No way. Parece que las webs porno sí saben hacer webs. El resto de webs estarán hechas por aficionados.
De lo que me viene un razonamiento paranoico: si el tropeciento % del tráfico es de porno y feisbook. Si te haces diseñador web... tienes muchas de terminar haciendo webs porno. Lo que deja para el resto de "amigos que saben usar el dreamweaver (o eso dicen)" para hacer el resto de webs.
Hace unas semanas encontré un script php ofuscado en un servidor web, con el que el atacante tenía acceso a la shell del sistema. Para entrar tenía que poner el password, encriptado en el código en md5. Busqué en google el hash, y tuve premio: theshowmustgoon!
jojojo juntadeandalucia.es jojojojo
http://www.juntadeandalucia.es/averroes/iesgrancapitan/upload/gestiontic/tic.sql
#
# Volcar la base de datos para la tabla `relacionayudas`
#
Ya se que es para un curso o algo... pero...
También hay cientos de webcams desprotegidas conectadas a Internet...
Muy muy interesante, a difundirlo entre el vulgo para que se pongan las pilas, no hay otra opción.
Acojonante
Sólo he abierto 3 o 4 archivos, y me han salido las passwords (incluso de admins) en texto plano
Juer, esto es muy grave
Muy muy interesante
Probado, acojonante la cantidad de datos que se pueden sacar
Alucinante! Da miedo!
Pues mira que da de sí una simple búsqueda...
37 comentarios y nadie ha puesto esta clásico, que raro: (en ingles)
Interesante he probado alguna cosas y casi todo son web antiguas e inglesas.
jo, que diver
Probado, acojonante la cantidad de datos que se pueden sacar
intersantes tb las extensiones .inc
conozco varios compañeros con experiencia web a los que les han robado sus datos e incluso sitios enteros
#28 Pues vaya mierda de webmasters, sinceramente.
Parece que a google no le gusta que busque archivos .sql .xsl o .avi a alguno les a salido lo de la imagen
#34 No le gusta que hagas varias búsquedas. Y tiene su razón: cualquiera puede escribir un script que busque bases de datos en los buscadores, vaya sacando contraseñas y guardándolas en una base de datos.
Pues no creo que Google esté haciendo bien su trabajo. Está almacenando gigas y gigas de información inútil que le cuesta pasta.
#11
Ah, espera... ¿hablas en serio?
#11 Pídeles que te devuelvan el dinero.
#11 La información es poder
Es que nadie se escapa....
Mirad lo que he encontrado...:
http://svn.latafanera.cat/index.cgi/version3/sql/meneame.sql?view=annotate
#25 Eso no es nada, simplemente el esquema SQL. No tiene ningún dato.
Con respecto a la noticia, hay que se muy pero que muy cazurro para guardar los backups sin cifrar y a disposición del público.
#33 Hombre hasta ahí llego... ya lo se, pero me ha hecho gracia, nada más
#25 CC:#33 No se les ha escapado, lo han puesto a propósito, es el código fuente de la aplicación. De hecho tienen un link desde la página principal.
http://svn.latafanera.cat/index.cgi/