옛날에 가지고온 여름하늘님의 작성글입니다.
웹서버 안에는 다양한 사용자 계정이 있고, 그 안에 다양한 파일이 놓여져 있다.
마치 모래사장에 동전을 줍 듯, 몇가지 지식만 있으면 원하는 것을 쉽게 찾을 수 있다.
이 때 유용한 것이 고급검색인데, 구글이나 야후 등에서도 지원하는 메타워드를 이용한 검색은 있는지 조차 모르는 경우가 많다.
이 메타워드의 조합을 이용하면 구글을 통한 간단한 해킹(?)까지 가능하다.
여기서는 이해를 돕기 위해 Bon Jovi의 MP3를 다운받는 과정을 예시하지만, 굳이 MP3가 아니라 PDF, TEXT, JPG 등 다양한 파일 검색에 응용될 수 있다.
함수에서 차수를 줄이거나 미분을 하는 것처럼, 원하는 값을 손쉽게 찾는 최선은 변수를 줄여가는 것이다.
웹이라는 우주공간에서 "MP3" 라는 키워드만으로 검색하는 것은 상당히 무모하다. 따라서 범위를 좁혀야 하는데 이 때 유용한 메타워드가 "intitle"이다. intitle은 웹페이지의 (색인이 붙은) 제목에서 검색하라는의미이다.
여기서 더 나아가 intitle:"index of" 라고 쓰면 디렉토리안에 있는 파일들을 열거하라는 의미가 되는 것이일반적이다. 유닉스 등의 ls 명령어와 비슷한 의미이다.
결론적으로 intitle:"index of" mp3 bon jovi 라고 구글 검색필드에 적어넣고 엔터를 치면 아래와 같은 검색결과를 찾을 수 있다.
이 의미를 풀어쓰자면, Bon Jovi의 mp3를 index of(디렉토리) 형식으로 나열한 페이지를 찾아내라는 것이 된다.
이러한 검색과 MP3의 획득은 전적으로 서버관리자나 계정 이용자의 부주의에 기인한다.유닉스나 리눅스 등에서는 디렉토리 퍼미션을, 윈도우즈에서는 사용자권한을 지정만 해 주면 이러한 나열은 충분히 예방할 수 있다.
자신의 계정에 통장 스캔파일이나 이력서, 주민증 스캔파일 등을 임시로라도 보관하고 있는 사용자도 가끔 볼 수 있는데 JPG를 키워드로한 메타워드 검색조합으로 이런 개인정보는 충분히 도용이 가능하니 주의해야 한다.
특히, 설치형 블로그를 운영중인 사람들 중 임시폴더를 만들고 중요파일을 저장하는 경향이 있는데... 위험하다
필자가 테스트 해 본 결과, 메타워드 조합을 이용하여 몇분만에 국내 모 사이트의 회원정보 페이지에서 실명과 거주지 주소, 그리고 주민번호를 검색해 낼 수 있었다. 경각심을 느껴보시길...
마지막으로 몇가지 메타워드를 소개한다. 자세한 사용법은 구글 사이트 참고...
site: 특정한 URL내의 데이터만을 찾는다.
예) site:egloos.com 이라 하면 이글루스 사이트 내의 자료만 찾는다.
hostname: 특정 호스트(네임)내의 데이터만을 찾는다.
예) hostname:skysummer.egloos.com
link: 특정 url로 연결되는 문서들만을 찾는다.
예) link:http://skysummer.egloos.com
url: url의 색인에서 명확한 문서를 찾는다.
예) url:http://skysummer.egloos.com/xxx.html
inurl: 색인이 붙은 url 부분의 명백한 키워드만을 찾는다.
예) inurl:Bon Jovi
intitle: 색인이 붙은 제목 부분의 명백한 키워드만을 찾는다.
예) intitle:Bon Jovi
filetype: 확장자로 지정된 파일만 찾는다.
예) filetype:JPG
'[☩ Security ☩]' 카테고리의 다른 글
| RUMINT로 패킷 시각적으로 분석 (0) | 2008.02.04 |
|---|---|
| 웹 관리자를 위한 응급처치법 (0) | 2008.02.04 |
| 리버스텔넷 기법 (0) | 2008.02.04 |
| Nessus를 활용한 점검 (0) | 2008.02.04 |
| 다이렉트 / 크로스 케이블 만들기 (0) | 2008.02.04 |
