الحصول على نسخة خادم الويب.

يوفر محرك بحث جوجل (www.google.com) العديد من خيارات البحث. كل هذه الميزات هي أداة بحث لا تقدر بثمن لمستخدم جديد على الإنترنت وفي الوقت نفسه سلاح أكثر قوة للغزو والتدمير في أيدي الأشخاص ذوي النوايا الشريرة، بما في ذلك ليس فقط المتسللين، ولكن أيضًا مجرمي الكمبيوتر وغير الكمبيوتر. حتى الإرهابيين.
(9475 مشاهدة في أسبوع واحد)

دينيس بارانكوف
denisNOSPAMixi.ru

انتباه:هذه المقالة ليست دليلا للعمل. تمت كتابة هذه المقالة من أجلكم، أيها المسؤولون عن خوادم الويب، حتى تفقدوا الشعور الزائف بأنكم آمنون، وستفهمون أخيرًا خبث هذه الطريقة في الحصول على المعلومات وتتولى مهمة حماية موقعك.

مقدمة

على سبيل المثال، وجدت 1670 صفحة في 0.14 ثانية!

2. دعنا ندخل سطراً آخر، على سبيل المثال:

inurl:"auth_user_file.txt"

أقل قليلاً، ولكن هذا يكفي للتنزيل المجاني وتخمين كلمة المرور (باستخدام نفس John The Ripper). أدناه سأقدم عددًا من الأمثلة الإضافية.

لذا، عليك أن تدرك أن محرك بحث Google قد قام بزيارة معظم مواقع الإنترنت وقام بتخزين المعلومات الموجودة عليها مؤقتًا. تتيح لك هذه المعلومات المخزنة مؤقتًا الحصول على معلومات حول الموقع ومحتوى الموقع دون الاتصال المباشر بالموقع، وذلك فقط من خلال الخوض في المعلومات المخزنة داخل جوجل. علاوة على ذلك، إذا لم تعد المعلومات الموجودة على الموقع متاحة، فقد تظل المعلومات الموجودة في ذاكرة التخزين المؤقت محفوظة. كل ما تحتاجه لهذه الطريقة هو معرفة بعض الكلمات الرئيسية لجوجل. هذه التقنية تسمى Google Hacking.

ظهرت المعلومات حول Google Hacking لأول مرة في القائمة البريدية لـ Bugtruck منذ 3 سنوات. في عام 2001، أثار هذا الموضوع طالب فرنسي. إليك رابط لهذه الرسالة http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. ويقدم الأمثلة الأولى لمثل هذه الاستعلامات:

1) فهرس /admin
2) فهرس /كلمة المرور
3) فهرس / البريد
4) فهرس / +banques +filetype:xls (لفرنسا...)
5) مؤشر / +passwd
6) فهرس /password.txt

أحدث هذا الموضوع ضجة في قسم القراءة باللغة الإنجليزية على الإنترنت مؤخرًا: بعد مقال جوني لونج، الذي نُشر في 7 مايو 2004. للحصول على دراسة أكثر اكتمالاً عن Google Hacking، أنصحك بالذهاب إلى موقع هذا المؤلف http://johnny.ihackstuff.com. في هذه المقالة أريد فقط أن أقدم لكم آخر المستجدات.

من يمكنه استخدام هذا:
- يمكن للصحفيين والجواسيس وجميع الأشخاص الذين يحبون دس أنوفهم في شؤون الآخرين استخدام هذا للبحث عن أدلة تدينهم.
- يبحث الهاكرز عن أهداف مناسبة للقرصنة.

كيف يعمل جوجل.

لمواصلة المحادثة، اسمحوا لي أن أذكركم ببعض الكلمات الرئيسية المستخدمة في استعلامات Google.

البحث باستخدام علامة +

يستبعد Google الكلمات التي يعتبرها غير مهمة من عمليات البحث. على سبيل المثال، كلمات الاستفهام وحروف الجر والمقالات باللغة الإنجليزية: على سبيل المثال، من، أين. في اللغة الروسية، يبدو أن جوجل تعتبر كل الكلمات مهمة. إذا تم استبعاد كلمة من البحث، يكتب جوجل عنها. لكي يبدأ جوجل في البحث عن الصفحات التي تحتوي على هذه الكلمات، عليك إضافة علامة + بدون مسافة قبل الكلمة. على سبيل المثال:

الآس + القاعدة

البحث باستخدام الإشارة –

إذا عثر Google على عدد كبير من الصفحات التي يحتاج إلى استبعاد الصفحات التي تحتوي على موضوع معين، فيمكنك إجبار Google على البحث فقط عن الصفحات التي لا تحتوي على كلمات معينة. للقيام بذلك، تحتاج إلى الإشارة إلى هذه الكلمات عن طريق وضع علامة أمام كل منها - دون مسافة قبل الكلمة. على سبيل المثال:

صيد السمك - الفودكا

البحث باستخدام ~

قد ترغب في البحث ليس فقط عن الكلمة المحددة، ولكن أيضًا عن مرادفاتها. للقيام بذلك، قم بوضع الرمز ~ قبل الكلمة.

العثور على عبارة محددة باستخدام علامات الاقتباس المزدوجة

يبحث Google في كل صفحة عن جميع تكرارات الكلمات التي كتبتها في سلسلة الاستعلام، ولا يهتم بالموضع النسبي للكلمات، طالما أن جميع الكلمات المحددة موجودة في الصفحة في نفس الوقت (هذا الإجراء الافتراضي). للعثور على العبارة الدقيقة، تحتاج إلى وضعها بين علامتي اقتباس. على سبيل المثال:

"الغلاف"

للحصول على واحدة على الأقل من الكلمات المحددة، يجب عليك تحديد العملية المنطقية بشكل صريح: OR. على سبيل المثال:

سلامة الكتاب أو الحماية

بالإضافة إلى ذلك، يمكنك استخدام علامة * في شريط البحث للإشارة إلى أي كلمة و. لتمثيل أي شخصية.

البحث عن الكلمات باستخدام عوامل تشغيل إضافية

توجد عوامل تشغيل بحث محددة في سلسلة البحث بالتنسيق:

عامل التشغيل:search_term

ليست هناك حاجة للمسافات بجانب القولون. إذا قمت بإدراج مسافة بعد النقطتين، فستظهر لك رسالة خطأ، وقبلها، سيستخدمها Google كسلسلة بحث عادية.
هناك مجموعات من عوامل تشغيل البحث الإضافية: اللغات - حدد اللغة التي تريد رؤية النتيجة بها، والتاريخ - حدد النتائج خلال الأشهر الثلاثة أو الستة أو الاثني عشر الماضية، والأحداث - حدد المكان الذي تريد البحث عنه في المستند السطر: في كل مكان، في العنوان، في عنوان URL، المجالات - البحث في الموقع المحدد أو، على العكس من ذلك، استبعاده من البحث الآمن - حظر المواقع التي تحتوي على النوع المحدد من المعلومات وإزالتها من صفحات نتائج البحث.
ومع ذلك، فإن بعض عوامل التشغيل لا تتطلب معلمة إضافية، على سبيل المثال الطلب " ذاكرة التخزين المؤقت: www.google.com" يمكن استدعاؤها كسلسلة بحث كاملة، وبعض الكلمات الرئيسية، على العكس من ذلك، تتطلب كلمة بحث، على سبيل المثال " الموقع: www.google.com مساعدة". في ضوء موضوعنا، دعونا نلقي نظرة على العوامل التالية:

المشغل أو العامل	وصف	يتطلب معلمة إضافية؟
	البحث فقط على الموقع المحدد في search_term
	ابحث فقط في المستندات ذات النوع search_term
	ابحث عن الصفحات التي تحتوي على search_term في العنوان
	ابحث عن الصفحات التي تحتوي على جميع كلمات search_term في العنوان
	ابحث عن الصفحات التي تحتوي على كلمة search_term في عناوينها
	ابحث عن الصفحات التي تحتوي على جميع كلمات search_term في عناوينها

المشغل أو العامل موقع:يقتصر البحث على الموقع المحدد فقط، ولا يمكنك تحديد اسم المجال فحسب، بل يمكنك أيضًا تحديد عنوان IP. على سبيل المثال، أدخل:

المشغل أو العامل نوع الملف:يحد البحث من نوع ملف معين. على سبيل المثال:

اعتبارًا من تاريخ نشر المقالة، يمكن لمحرك البحث Google البحث ضمن 13 تنسيقًا مختلفًا للملفات:

• تنسيق مستند Adobe المحمول (pdf)
• أدوبي بوستسكريبت (ملاحظة)
• لوتس 1-2-3 (wk1، wk2، wk3، wk4، wk5، wki، wks، wku)
• لوتس وورد برو (lwp)
• ماك رايت (ميغاواط)
• مايكروسوفت إكسل (xls)
• مايكروسوفت باور بوينت (جزء لكل تريليون)
• مايكروسوفت وورد (وثيقة)
• مايكروسوفت ووركس (WKS، WPS، WDB)
• مايكروسوفت الكتابة (WRI)
• تنسيق النص المنسق (rtf)
• فلاش موجة الصدمة (swf)
• النص (الإجابة، النص)

المشغل أو العامل وصلة:يعرض كافة الصفحات التي تشير إلى الصفحة المحددة.
ربما يكون من المثير للاهتمام دائمًا معرفة عدد الأماكن التي تعرفها عنك على الإنترنت. دعونا نحاول:

المشغل أو العامل مخبأ:يعرض إصدار الموقع الموجود في ذاكرة التخزين المؤقت لـ Google كما ظهر في آخر مرة زار فيها Google تلك الصفحة. لنأخذ أي موقع يتغير بشكل متكرر وننظر:

المشغل أو العامل العنوان:يبحث عن الكلمة المحددة في عنوان الصفحة. المشغل أو العامل العنوان:هو امتداد - يبحث عن جميع الكلمات القليلة المحددة في عنوان الصفحة. يقارن:

العنوان: رحلة إلى المريخ
intitle:flight intitle:on intitle:mars
allintitle:رحلة إلى المريخ

المشغل أو العامل عنوان URL:يفرض على Google إظهار جميع الصفحات التي تحتوي على السلسلة المحددة في عنوان URL. عامل allinurl: يبحث عن جميع الكلمات في عنوان URL. على سبيل المثال:

allinurl:acid acid_stat_alerts.php

يعد هذا الأمر مفيدًا بشكل خاص لأولئك الذين ليس لديهم SNORT - على الأقل يمكنهم رؤية كيفية عمله على نظام حقيقي.

طرق الاختراق باستخدام جوجل

لذلك، اكتشفنا أنه باستخدام مجموعة من العوامل والكلمات الرئيسية المذكورة أعلاه، يمكن لأي شخص جمع المعلومات الضرورية والبحث عن نقاط الضعف. غالبًا ما تسمى هذه التقنيات بـ Google Hacking.

خريطة الموقع

يمكنك استخدام عامل الموقع: لسرد جميع الروابط التي عثر عليها Google على أحد المواقع. عادةً، لا تتم فهرسة الصفحات التي يتم إنشاؤها ديناميكيًا بواسطة البرامج النصية باستخدام المعلمات، لذلك تستخدم بعض المواقع مرشحات ISAPI بحيث لا تكون الروابط في النموذج /article.asp?num=10&dst=5، ومع خطوط مائلة /article/abc/num/10/dst/5. يتم ذلك بحيث تتم فهرسة الموقع بشكل عام بواسطة محركات البحث.

دعونا نحاول:

الموقع: www.whitehouse.gov البيت الأبيض

تعتقد Google أن كل صفحة على موقع ويب تحتوي على كلمة البيت الأبيض. وهذا ما نستخدمه للحصول على كافة الصفحات.
هناك أيضًا نسخة مبسطة:

الموقع: www.whitehouse.gov

وأفضل ما في الأمر هو أن الرفاق من موقع Whitehouse.gov لم يعرفوا حتى أننا نظرنا إلى بنية موقعهم وحتى نظرنا إلى الصفحات المخزنة مؤقتًا التي قام Google بتنزيلها. ويمكن استخدام هذا لدراسة بنية المواقع وعرض المحتوى، دون أن يتم اكتشافها في الوقت الحالي.

عرض قائمة الملفات في الدلائل

يمكن لخوادم الويب عرض قوائم أدلة الخادم بدلاً من صفحات HTML العادية. يتم ذلك عادةً للتأكد من قيام المستخدمين بتحديد وتنزيل ملفات محددة. ومع ذلك، في كثير من الحالات، ليس لدى المسؤولين أي نية لإظهار محتويات الدليل. يحدث هذا بسبب تكوين الخادم غير الصحيح أو عدم وجود الصفحة الرئيسية في الدليل. ونتيجة لذلك، فإن المتسلل لديه فرصة للعثور على شيء مثير للاهتمام في الدليل واستخدامه لأغراضه الخاصة. للعثور على كل هذه الصفحات، يكفي ملاحظة أنها تحتوي جميعها على الكلمات: فهرس. ولكن بما أن فهرس الكلمات لا يحتوي على مثل هذه الصفحات فقط، فنحن بحاجة إلى تحسين الاستعلام ومراعاة الكلمات الرئيسية الموجودة في الصفحة نفسها، بحيث تكون الاستعلامات مثل:

intitle:index.of الدليل الأصلي
intitle:index.of حجم الاسم

نظرًا لأن معظم قوائم الدليل مقصودة، فقد تجد صعوبة في العثور على قوائم في غير محلها في المرة الأولى. ولكن على الأقل يمكنك بالفعل استخدام القوائم لتحديد إصدار خادم الويب، كما هو موضح أدناه.

الحصول على نسخة خادم الويب.

إن معرفة إصدار خادم الويب مفيد دائمًا قبل شن أي هجوم قرصنة. مرة أخرى، بفضل Google، يمكنك الحصول على هذه المعلومات دون الاتصال بالخادم. إذا نظرت عن كثب إلى قائمة الدليل، يمكنك أن ترى أن اسم خادم الويب وإصداره معروضان هناك.

Apache1.3.29 - خادم ProXad على منفذ trf296.free.fr 80

يمكن للمسؤول ذي الخبرة تغيير هذه المعلومات، ولكن كقاعدة عامة، هذا صحيح. وبالتالي، للحصول على هذه المعلومات يكفي إرسال طلب:

العنوان:index.of server.at

للحصول على معلومات لخادم معين نوضح الطلب:

intitle:index.of server.at الموقع: ibm.com

أو العكس، نبحث عن خوادم تعمل بإصدار معين من الخادم:

intitle:index.of Apache/2.0.40 الخادم في

يمكن للمتسلل استخدام هذه التقنية للعثور على الضحية. على سبيل المثال، إذا كان لديه استغلال لإصدار معين من خادم الويب، فيمكنه العثور عليه وتجربة استغلال موجود.

يمكنك أيضًا الحصول على إصدار الخادم من خلال عرض الصفحات المثبتة افتراضيًا عند تثبيت أحدث إصدار من خادم الويب. على سبيل المثال، لرؤية صفحة اختبار Apache 1.2.6، ما عليك سوى الكتابة

intitle:Test.Page.for.Apache it.worked!

علاوة على ذلك، تقوم بعض أنظمة التشغيل بتثبيت خادم الويب وتشغيله على الفور أثناء التثبيت. ومع ذلك، فإن بعض المستخدمين لا يدركون ذلك. وبطبيعة الحال، إذا رأيت أن شخصًا ما لم يقم بإزالة الصفحة الافتراضية، فمن المنطقي افتراض أن الكمبيوتر لم يخضع لأي تخصيص على الإطلاق ومن المحتمل أن يكون عرضة للهجوم.

حاول البحث عن صفحات IIS 5.0

allintitle:مرحبًا بك في خدمات إنترنت Windows 2000

في حالة IIS، لا يمكنك تحديد إصدار الخادم فحسب، بل يمكنك أيضًا تحديد إصدار Windows وحزمة الخدمة.

هناك طريقة أخرى لتحديد إصدار خادم الويب وهي البحث عن الأدلة (صفحات المساعدة) والأمثلة التي قد تكون مثبتة على الموقع افتراضيًا. لقد وجد المتسللون عددًا لا بأس به من الطرق لاستخدام هذه المكونات للحصول على حق الوصول المميز إلى الموقع. ولهذا السبب تحتاج إلى إزالة هذه المكونات في موقع الإنتاج. ناهيك عن حقيقة أن وجود هذه المكونات يمكن أن يوفر معلومات حول نوع الخادم وإصداره. على سبيل المثال، فلنبحث عن دليل Apache:

inurl: وحدات توجيهات Apache اليدوية

استخدام جوجل كماسح ضوئي CGI.

يعد الماسح الضوئي CGI أو الماسح الضوئي WEB أداة مساعدة للبحث عن البرامج النصية والبرامج الضعيفة على خادم الضحية. يجب أن تعرف هذه الأدوات المساعدة ما الذي تبحث عنه، ولهذا فهي تحتوي على قائمة كاملة من الملفات المعرضة للخطر، على سبيل المثال:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

يمكننا العثور على كل من هذه الملفات باستخدام جوجل، بالإضافة إلى استخدام الكلمات فهرس أو inurl مع اسم الملف في شريط البحث: يمكننا العثور على مواقع بها نصوص برمجية ضعيفة، على سبيل المثال:

allinurl:/random_banner/index.cgi

باستخدام المعرفة الإضافية، يمكن للمتسلل استغلال ثغرة البرنامج النصي واستخدام هذه الثغرة الأمنية لإجبار البرنامج النصي على إصدار أي ملف مخزن على الخادم. على سبيل المثال، ملف كلمة المرور.

كيف تحمي نفسك من اختراق جوجل.

1. لا تنشر بيانات مهمة على خادم الويب.

حتى إذا قمت بنشر البيانات مؤقتًا، فقد تنساها أو سيكون لدى شخص ما الوقت للعثور على هذه البيانات وأخذها قبل مسحها. لا تفعل هذا. هناك العديد من الطرق الأخرى لنقل البيانات التي تحميها من السرقة.

2. تحقق من موقعك.

استخدم الطرق الموضحة للبحث في موقعك. قم بفحص موقعك بشكل دوري لمعرفة الطرق الجديدة التي تظهر على الموقع http://johnny.ihackstuff.com. تذكر أنه إذا كنت تريد أتمتة إجراءاتك، فستحتاج إلى الحصول على إذن خاص من Google. إذا قرأت بعناية http://www.google.com/terms_of_service.html، فستظهر لك العبارة: لا يجوز لك إرسال استفسارات آلية من أي نوع إلى نظام Google دون الحصول على إذن صريح مسبقًا من Google.

3. قد لا تحتاج إلى قيام Google بفهرسة موقعك أو جزء منه.

يتيح لك Google إزالة رابط لموقعك أو جزء منه من قاعدة بياناته، وكذلك إزالة الصفحات من ذاكرة التخزين المؤقت. بالإضافة إلى ذلك، يمكنك حظر البحث عن الصور على موقعك، ومنع ظهور أجزاء قصيرة من الصفحات في نتائج البحث، ويتم وصف جميع إمكانيات حذف الموقع في الصفحة http://www.google.com/remove.html. للقيام بذلك، يجب عليك تأكيد أنك المالك الحقيقي لهذا الموقع أو إدراج علامات في الصفحة أو

4. استخدم ملف robots.txt

ومن المعروف أن محركات البحث تنظر إلى ملف robots.txt الموجود في جذر الموقع ولا تقوم بفهرسة تلك الأجزاء المميزة بالكلمة عدم السماح. يمكنك استخدام هذا لمنع فهرسة جزء من الموقع. على سبيل المثال، لمنع فهرسة الموقع بأكمله، قم بإنشاء ملف robots.txt يحتوي على سطرين:

وكيل المستخدم: *
عدم السماح: /

ماذا يحدث أيضًا

لكي لا تبدو الحياة مثل العسل بالنسبة لك، سأقول أخيرًا أن هناك مواقع تراقب هؤلاء الأشخاص الذين يبحثون باستخدام الطرق الموضحة أعلاه عن ثغرات في البرامج النصية وخوادم الويب. مثال على هذه الصفحة هو

طلب.

حلوة قليلا. جرب بعضًا مما يلي بنفسك:

1. #mysql نوع ملف التفريغ: sql - ابحث عن مخلفات قاعدة بيانات MySQL
2. تقرير ملخص ثغرات المضيف - سيوضح لك نقاط الضعف التي اكتشفها الآخرون
3. phpMyAdmin يعمل على inurl:main.php - سيؤدي هذا إلى إغلاق عنصر التحكم من خلال لوحة phpmyadmin
4. ليس للتوزيع سريا
5. طلب ​​تفاصيل متغيرات خادم شجرة التحكم
6. يعمل في وضع الطفل
7. تم إنشاء هذا التقرير بواسطة WebLog
8. العنوان:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs - ربما يحتاج شخص ما إلى ملفات تكوين جدار الحماية؟ :)
10. العنوان:index.of Finance.xls - حسنًا....
11. intitle: فهرس محادثات dbconvert.exe – سجلات دردشة ICQ
12. intext: تحليل حركة المرور توبياس أويتيكر
13. العنوان: إحصائيات الاستخدام التي تم إنشاؤها بواسطة Webalizer
14.intitle: إحصائيات إحصائيات الويب المتقدمة
15. intitle:index.of ws_ftp.ini – تكوين ws ftp
16. inurl:ipsec.secrets يحمل أسرارًا مشتركة – مفتاح سري – اكتشاف جيد
17.inurl:main.php مرحبًا بك في phpMyAdmin
18.inurl:معلومات الخادم Apache Server Information
19. الموقع: درجات مسؤول التعليم
20. ORA-00921: نهاية غير متوقعة لأمر SQL - الحصول على المسارات
21. العنوان:index.of trillian.ini
22. intitle:فهرس pwd.db
23.intitle:index.ofpeople.lst
24. العنوان:index.of master.passwd
25.inurl:passlist.txt
26. العنوان: فهرس .mysql_history
27. العنوان: فهرس النص:globals.inc
28. العنوان:index.of administrates.pwd
29. العنوان: فهرس الخ الظل
30.intitle:index.ofsecring.pgp
31.inurl:config.php dbuname dbpass
32.inurl:تنفيذ نوع الملف:ini

"اختراق جوجل"

مركز التدريب "Informzashita" http://www.itsecurity.ru - مركز متخصص رائد في مجال التدريب على أمن المعلومات (ترخيص لجنة موسكو للتعليم رقم 015470، اعتماد الدولة رقم 004251). مركز التدريب المعتمد الوحيد لأنظمة أمن الإنترنت وClearswift في روسيا ودول رابطة الدول المستقلة. مركز تدريب معتمد من ميكروسوفت (تخصص أمني). يتم تنسيق برامج التدريب مع اللجنة الفنية الحكومية في روسيا، FSB (FAPSI). شهادات التدريب ووثائق الدولة للتدريب المتقدم.

SoftKey هي خدمة فريدة للمشترين والمطورين والتجار والشركاء التابعين. بالإضافة إلى ذلك، يعد هذا أحد أفضل متاجر البرامج عبر الإنترنت في روسيا وأوكرانيا وكازاخستان، والذي يقدم للعملاء مجموعة واسعة والعديد من طرق الدفع ومعالجة الطلبات السريعة (في كثير من الأحيان فورية) وتتبع عملية الطلب في القسم الشخصي وخصومات متنوعة من المتجر والمصنعين BY.

مرحبا القراء موقع إلكتروني)

في هذه المقالة سنلقي نظرة على Phoca Guestbook - وهو أحد مكونات دفتر الزوار مواقع جوملا.

ماذا يمكننا أن نقول عن هذا المكون... إنه بسيط جدًا وسهل الإدارة، ويحتوي على عدد كافٍ من الإعدادات لنشر التعليقات على موقع الويب الخاص بك.

ميزات سجل الزوار Phoca:

• اختيار حقوق الوصول للمستخدمين؛
• تصفية الكلمات والعبارات غير المرغوب فيها؛
• حظر عناوين IP؛
• الحد من عدد الأحرف المطبوعة؛
• كلمة التحقق؛
• تحديث الرسائل (يتم فحصها بواسطة المشرف)؛
• مظهر المراجعات (اللون وعرض الاسم وعرض البريد الإلكتروني وعنوان موقع الويب).

لذلك دعونا ننظر إلى المكون.

بعد التثبيت، سجل الزوار فوكالا يحتاج إلى الإعدادات العالمية.

لوحة التحكم:

• المشاركات - جميع الرسائل التي تركها المستخدمون؛
• دفاتر الزوار - الفئات (كتب الزوار التي تم إنشاؤها)؛
• المعلومات - تحديث المعلومات والمكونات.

كما ترون، في الصورة على اليمين يوجد زر "خيارات". إذا قمت بالنقر فوقه، يمكنك تكوين دفتر الزوار والمكون نفسه على نطاق أوسع.

معامل	معنى
عرض الموضوع في النموذج	(نعم | نعم (مطلوب) | لا) إظهار أو إخفاء حقل الكائن في النموذج، قم بتعيين ما إذا كان حقل الموضوع مطلوبًا
عرض الاسم في النموذج	(نعم | نعم (مطلوب) | لا) إظهار أو إخفاء اسم الحقل في النموذج، قم بتعيين ما إذا كان حقل الاسم مطلوبًا
عرض البريد الإلكتروني في النموذج	(نعم | نعم (مطلوب) | لا) إظهار أو إخفاء حقل البريد الإلكتروني في النموذج، قم بتعيين حقل البريد الإلكتروني إذا لزم الأمر
عرض موقع الويب في النموذج	(نعم | نعم (مطلوب) | لا) إظهار أو إخفاء حقل موقع الويب في النموذج، قم بتعيين الحقل إذا كان موقع الويب مطلوبًا
عرض المحتوى في النموذج	(نعم | نعم (مطلوب) | لا) إظهار أو إخفاء محتويات الحقل في النموذج
تمكين محرر جافا سكريبت	(نعم | لا) تمكين أو تعطيل محرر JavaScript
عرض المسار في محرر جافا سكريبت	(نعم | لا) إظهار أو إخفاء معلومات مسار محرر JavaScript
	(إخفاء | عرض) تحديد ما إذا كان يجب عرض النموذج أم لا.
	(أعلى | أسفل) حدد الموقع الحالي
عرض علامة المطلوبة	(نعم | لا) اضبط لعرض الحقول المطلوبة
	(نعم | لا) اضبط لعرض الرسائل.
	العرض (بالبكسل)
	الارتفاع (بالبكسل)
	تعيين عرض الجدول (الجدول الذي يتم عرض النموذج فيه بالبكسل)

معامل	معنى
	إذا ترك مستخدم غير مسجل رسالة، فيمكنك منحه اسمًا افتراضيًا. على سبيل المثال: ضيف
اسم المستخدم أو الاسم	(اسم المستخدم | الاسم الأول) حدد الاسم الذي يجب عرضه في دفتر الزوار (اسم المستخدم أو اسم المستخدم الحقيقي)
تعطيل فحص المستخدم	(لا | نعم) التحقق من المستخدم (لا يوصى بتعطيل هذا الخيار)
الأعضاء المسجلين والمفعلين	(نعم | لا) إذا كانت الإجابة بنعم، فيمكن للمستخدمين المسجلين فقط إضافة رسائل جديدة
	(نعم | لا) إذا كانت الإجابة بنعم، فسيتم عرض الرسالة بعد موافقة المشرف
	لإرسال رسالة

معامل	معنى
عرض الاسم في المشاركة	(نعم | لا) إظهار أو إخفاء الاسم (اسم المستخدم) (سجل الزوار)
عرض البريد الإلكتروني في المشاركة	(نعم | لا) إظهار أو إخفاء البريد الإلكتروني (دفتر الزوار)
عرض الموقع في آخر	(نعم | لا) إظهار أو إخفاء الموقع في (سجل الزوار)
	ضبط تنسيق التاريخ
	ضبط لون الخط
لون الخط الثاني	تعيين لون الخط الثاني (لون خط التاريخ)
لون الخلفية	تعيين لون الخلفية
	تحديد لون الحدود
القيمة الافتراضية للصفحات	قم بتعيين القيمة الافتراضية لترقيم الصفحات
	ضبط ترقيم الصفحات. مفصولة بفاصلة (،)
ترقيم الصفحات إخفاء الكل	(نعم | لا) سيتم إخفاء كافة القيم (ترقيم الصفحات)

معامل	معنى
مرشح الكلمات المحظورة	تعيين الكلمات المحظورة التي لن يتم عرضها في الواجهة. يتم فصل الكلمات عن بعضها البعض بفاصلة (،)
مرشح الكلمات الكاملة المحظورة	ضبط جميع الكلمات المحظورة التي لن يتم عرضها في الواجهة. يتم فصل الكلمات عن بعضها البعض بفاصلة (،)
حفظ المنشور مع الكلمات المحظورة	(نعم | لا) إذا كانت الإجابة بنعم، فسيتم حفظ المشاركات التي تتضمن كلمات محظورة في سجل الزوار (سيتم إخفاء الكلمات المحظورة إذا تم حفظها)
	أضف عناوين IP التي تريد حظرها. افصل بين كل عنوان IP بفاصلة (،)
الحد الأقصى لعدد الأحرف	قم بتعيين الحد الأقصى لعدد الأحرف التي يمكن تخزينها في قاعدة البيانات
	قم بتعيين الحد الأقصى لعدد عناوين URL التي يمكن عرضها في المنشور (0: لن يتم عرض أي روابط في المنشورات، -1: سيتم عرض جميع عناوين URL في المنشورات، على سبيل المثال 3: سيتم عرض ثلاثة روابط فقط من جميع عناوين URL في المنشورات)
كلمات تعريف URL غير مسموح بها	مجموعة من الكلمات التي ستحدد ما إذا كان مسموحًا بعناوين URL في الرسالة. وافصل بين كل كلمة بفاصلة (،). مثال:: / /،. هتم،. آسيا والمحيط الهادئ. جي إس بي،. بي إتش بي، شبكة الاتصالات العالمية. كوم،. منظمة،.
	تمكين أو تعطيل حماية Captcha
	قم بتغيير هذه المعلمة فقط إذا كنت لن ترى كلمة التحقق.
تمكين كلمة التحقق - المستخدمين	(الكل | غير مسجل) خيار عرض كلمة التحقق لمجموعات المستخدمين (سواء لإظهار كلمة التحقق للمستخدمين المسجلين)
أحرف الكابتشا القياسية	الأرقام والأحرف الصغيرة والأحرف الكبيرة التي سيتم عرضها في صورة Captcha القياسية
شخصيات الرياضيات كابتشا	الأرقام والأحرف الصغيرة والأحرف الكبيرة التي سيتم عرضها في صور Math Captcha
رموز TTF	الأرقام والأحرف الصغيرة والأحرف الكبيرة التي سيتم عرضها في صور TTF Captcha
أحرف TTF Captcha	لعرض كلمة التحقق، أدخل الرمز العام
reCAPTCHA المفتاح العام	تثبيت recaptcha المفتاح العام
تمكين الحماية من البريد العشوائي في Akismet	(لا | نعم) يرسل جميع بيانات إدخال كتاب الجيوستبوك الجديد إلى Akismet - خدمة ويب للتحقق من البريد العشوائي
حظر البريد العشوائي (Akismet)	(لا | نعم) حظر المشاركات التي لم يتم التحقق منها بواسطة Akismet
	قم بتثبيت مفتاح Akismet API لاستخدامه في Akismet-Spam. احصل عليها على https://akismet.com/signup/ مجانًا
	عنوان URL الرئيسي لموقعك (يجب أن يتضمن عنوان URL البادئة http://)
تمكين تنقية HTML	(لا | نعم) تمكين أو تعطيل HTML Purifier
	تعيين لاحقة الجلسة (هذه ميزة أمان، لتغيير اسم الجلسة، قم بتعيين لاحقة فريدة، على سبيل المثال: a100b20c3)
تمكين الحقل المخفي	(لا | نعم) تمكين أو تعطيل الحقول المخفية. تحاول بعض روبوتات البريد العشوائي ملء جميع الحقول على الفور؛ إذا قاموا بملء هذا الحقل المخفي الذي لا يستطيع الشخص رؤيته، فلن تتم إضافة الإدخال إلى دفتر الزوار.
	(نعم | لا) تمكين ذاكرة التخزين المؤقت.
تمكين الكشف عن الصفحة الواردة	(نعم | لا) تمكين أو تعطيل اكتشاف الصفحات الواردة. هذه ميزة أمنية. إذا قمت بتمكينه، فسيتم حفظ الصفحة التي جاء منها منشور سجل الزوار وعرضها في الواجهة.

كنت أعمل مؤخرًا على موقع الويب الخاص بي، وقررت أنني أرغب في تنفيذ سجل الزوار. لقد بدأت البحث في الويب للعثور على أفضل سجل زوار لموقعي على الويب، ولكن عندما لم يحضر أحد، فكرت "مرحبًا، أنا مطور، لماذا لا أقوم بإنشاء سجل خاص بي؟"

لقد كان من السهل جدًا إنشاء سجل زوار - يمكنك القيام بذلك أيضًا. في هذا البرنامج التعليمي، سأوضح لك كيف. سأفترض أن لديك بالفعل معرفة بأساسيات برمجة ASP.NET، وأنك تعرف التقنيات المستخدمة في codebehind، وأن لديك بعض مهارات XML/XSL.

ملخص

ما الذي نحتاجه لإنشاء سجل الزوار؟ نحتاج إلى نموذجي ويب: أحدهما يمكن للمستخدم إدخال اسمه وعنوان بريده الإلكتروني وتعليقه، والآخر يُستخدم لعرض هذه التعليقات عند تسجيل الدخول إلى سجل الزوار. بالطبع يمكننا بناء هذه الوظيفة في نموذج ويب واحد، ولكن للحصول على تعليمات برمجية نظيفة، سأستخدم نموذجي ويب مع العديد من ملفات التعليمات البرمجية الخلفية (سأناقشها بمزيد من التفصيل بعد قليل).

سنحتاج أيضًا إلى قاعدة بيانات للاحتفاظ بالمعلومات المدخلة عبر النموذج. لقد استخدمت ملف XML بسيطًا (قاعدة بيانات) لتخزين المعلومات التي أدخلها المستخدم. لتصور XML، سنستخدم XSL.

لذلك، باختصار، نحتاج إلى ما يلي:

• نموذجان للويب
• كودخلف
• قاعدة البيانات

في سجل الزوار، يكفي عادةً تخزين اسم المستخدم وموقعه وعنوان بريده الإلكتروني وعنوان موقع الويب والتعليق. بالطبع، يمكنك تخزين المزيد من الحقول، ولكن لأغراضنا، هذه كافية. سنقوم بتخزين هذه البيانات في ملف XML، والذي سيبدو كما يلي:

سونو كابور
ألمانيا
[البريد الإلكتروني محمي]
www.codefinger.de
سجل الزوار هذا مكتوب بواسطة سونو كابور.
آمل أن تعجبك. لمعرفة كيفية إنشاء سجل الزوار هذا،
اقرأ القصة كاملة على موقع الويب الخاص بي.

التوقيع في سجل الزوار

سوف نسمح للمستخدم "بالتوقيع" على سجل الزوار الخاص بنا عن طريق إدخال بعض المعلومات في نموذج ويب بسيط - في مثالنا هذا هو ملف Guestbook.aspx. أستخدم الحقول التالية في نموذج الويب:

• موقع
• بريد إلكتروني
• موقع إلكتروني
• تعليق

إليك الكود:

<% @Page Language="C#" Debug="true" Src="Guestbook.cs"
يرث = "سجل الزوار" %>

...
...

كونترولتوفاليديت = "الاسم"
ErrorMessage="يجب عليك إدخال قيمة في مربع النص1"
عرض = "ديناميكي"> أدخل الاسم

ControlToValidate="location" ErrorMessage="يجب عليك الدخول
قيمة في textbox1" Display="dynamic">
إدخال الدولة

الأعمدة = "50" الصفوف = "10" التفاف = "صحيح" runat = "الخادم"/>

ControlToValidate="comment" ErrorMessage="يجب عليك الدخول
قيمة في textbox1" Display="dynamic">
أدخل التعليق

عند النقر = "حفظ_التعليق"/>

...
...القيام ببعض الأشياء التصورية
...

لتجنب الخلط بينك وبين التعليمات البرمجية غير الضرورية، قمت بإزالة علامات التصور - بما في ذلك الجدول ورأس الجدول وما إلى ذلك. - من هذا المثال (على الرغم من أن كل هذه العناصر مضمنة بالطبع في الكود القابل للتنزيل والمقدم في نهاية هذا البرنامج التعليمي). نظرًا لأننا نعرض فقط نموذجًا بسيطًا يحتوي على عدد قليل من الحقول والأزرار، فلا يمكنك رؤية أي كود برمجة حقيقي في هذا الملف. وذلك لأن كافة الوظائف مخفية في التعليمات البرمجية الخلفية.

في السطر الأول من الكود أعلاه، قمت بتعيين سمة SRC للسماح لملف ASP.NET بمعرفة أننا نستخدم الملف codebehind Guestbook.cs، وقمت أيضًا بتعيين السمة Inherits مع اسم الفئة المقابل. تتيح هذه السمة للملف معرفة الفئة التي يجب أن يرثها.

بعد ذلك، قمت بتنفيذ الحقول النصية المطلوبة. تذكر أنه إذا كنت تريد استخدام نفس المتغيرات في codebehind، فيجب أن يكون لها نفس المعرف في كلا الملفين، ويجب الإعلان عنها على أنها عامة.

في القسم التالي من التعليمات البرمجية، استخدمت عناصر التحكم في أداة التحقق من صحة ASP.NET. تتحقق عناصر التحكم هذه مما إذا كان المستخدم قد أدخل قيمة في حقل النص، دون القيام برحلة ذهابًا وإيابًا إلى الخادم. يتم تنفيذ الكود من جانب العميل.

أخيرًا، قمت بتنفيذ زر إرسال باستخدام حدث OnClick يسمى Save_Comment. يتم استخدام هذا الحدث لتخزين المعلومات التي أدخلها المستخدم في ملف XML. وظيفة هذا الحدث متاحة في Guestbook.cs. لقد قمت أيضًا بتنفيذ زر إعادة الضبط – وهذا كل شيء! لا يوجد شيء آخر يجب القيام به لنموذج الويب. الآن، إذا قمت بتشغيل Guestbook.aspx، فيجب أن تشاهد نموذج ويب يبدو كما يلي:

نحن نعرف الآن كيفية عرض نموذج الويب، لكننا لم نر الكود الذي يتعامل مع الحدث في Guestbooks.cs. دعونا نلقي نظرة على ذلك الآن.

استخدام النظام؛
باستخدام System.Web؛
باستخدام System.Web.UI؛
باستخدام System.Xml؛

سجل زوار الطبقة العامة: الصفحة
{
// قم بإنشاء عناصر تحكم الويب المطلوبة بنفس الاسم
في ملف Guestbook.aspx
اسم مربع النص العام؛
موقع TextBox العام؛
البريد الإلكتروني العام في TextBox؛
موقع TextBox العام؛
تعليق TextBox العام؛

الفراغ العام Save_Comment (مرسل الكائن، EventArgs e)
{
// كل شيء على ما يرام، فلنحفظ البيانات
في ملف XML
SaveXMLData();

// قم بإزالة قيم مربعات النص
name.Text = ""؛
location.Text = ""؛
موقع الويب. النص = ""؛
email.Text = ""؛
تعليق.نص = "";
}
}

الفراغ الخاص SaveXMLData()
{
// قم بتحميل ملف xml
XmlDocument xmldoc = new XmlDocument();
xmldoc.Load(Server.MapPath("guestbook.xml"));

// أنشئ عنصر ضيف جديدًا وأضفه إلى العقدة الجذرية
XmlElementparentNode = xmldoc.CreateElement("guest");
xmldoc.DocumentElement.PrependChild(parentNode);

// قم بإنشاء العقد المطلوبة
XmlElement nameNode = xmldoc.CreateElement("name");
XmlElement locationNode = xmldoc.CreateElement("location");
XmlElement emailNode = xmldoc.CreateElement("email");
XmlElement websiteNode = xmldoc.CreateElement("website");
XmlElement commentNode = xmldoc.CreateElement("comment");

// استرداد النص
XmlText nameText = xmldoc.CreateTextNode(name.Text);
XmlText locationText = xmldoc.CreateTextNode(location.Text);
XmlText emailText = xmldoc.CreateTextNode(email.Text);
XmlText websiteText = xmldoc.CreateTextNode(website.Text);
XmlText commentText = xmldoc.CreateTextNode(comment.Text);

// إلحاق العقد بالعقدة الأصلية بدون القيمة
parentNode.AppendChild(nameNode);
parentNode.AppendChild(locationNode);
parentNode.AppendChild(emailNode);
parentNode.AppendChild(websiteNode);
parentNode.AppendChild(commentNode);

// احفظ قيمة الحقول في العقد
nameNode.AppendChild(nameText);
locationNode.AppendChild(locationText);
emailNode.AppendChild(emailText);
websiteNode.AppendChild(websiteText);
commentNode.AppendChild(commentText);

// احفظ في ملف XML
xmldoc.Save(Server.MapPath("guestbook.xml"));

// اعرض للمستخدم سجل الزوار الموقع
Response.Redirect("viewguestbook.aspx");
}
}

رائع! هذا هو ملف التعليمات البرمجية الخلفية الخاص بنا... ولكن ما الذي يحدث هنا بالفعل؟ لن تصدق ذلك، ولكن الجواب هو: "ليس كثيرًا"!

أولاً، نقوم بتنفيذ الحد الأدنى من مساحات الأسماء المطلوبة التي نحتاجها للوصول إلى العديد من الوظائف المهمة. ثم أقوم بإنشاء فصل جديد يسمى سجل الزوار:

سجل زوار الطبقة العامة: الصفحة

لاحظ أن هذه الفئة هي التي ورثها ملف Guestbook.aspx. ثم نعلن عن 5 متغيرات عامة من النوع textbox. تذكر أنه يجب أن تكون الأسماء هنا مطابقة لتلك التي استخدمناها عندما أنشأنا مربعات النص في Guestbook.aspx. بعد ذلك، كما ترون، نستخدم الحدث Save_Comment، الذي يتم تشغيله بواسطة زر الإرسال الذي قمنا بتضمينه في ملف Guestbookpx. يستخدم هذا الحدث لحفظ البيانات.

عملية الادخار

تقوم الدالة SaveXMLData() بحفظ المعلومات لنا. نظرًا لأننا نستخدم قاعدة بيانات XML لتخزين المعلومات، فإننا نستخدم فئات XmlDocument وXmlElement وXmlText، والتي توفر جميع الوظائف التي نحتاجها.

بعد ذلك، نقوم بإنشاء كائن فئة XMLDocument جديد ونقوم بتحميل ملف Guestbook.xml. يتم إنشاء العقد المطلوبة باستخدام الوظيفة CreateElement، ويتم استرداد المعلومات التي أدخلها المستخدم وتخزينها في كائن XmlText. بعد ذلك، نقوم بتخزين العقد التي تم إنشاؤها بدون أي قيم، وذلك باستخدام الدالة AppendChild بالتزامن مع كائن XmlDocument الرئيسي.

وأخيرًا، يتم تخزين القيم في العقد التي أنشأناها للتو، ونحفظ جميع التغييرات في ملف Guestbook.xml، ونعيد توجيه الصفحة إلى viewguestbook.aspx، حيث يتم عرض التعليق المخزن.

عرض سجل الزوار

لعرض سجل الزوار، يجب علينا إنشاء نموذج ويب آخر:

<% @Page Language="C#" Debug="true" Src="ViewGuestbook.cs"
يرث = "ViewGuestbook" %>

كما ترون، نموذج الويب هذا لا يفعل الكثير حقًا. فهو ببساطة يستدعي الملف codebehind، ViewGuestbook.cs. دعونا نلقي نظرة على هذا الملف.

استخدام النظام؛
باستخدام System.Web؛
باستخدام System.Web.UI؛
باستخدام System.Web.UI.WebControls؛
باستخدام System.Xml؛
باستخدام System.Xml.Xsl؛
باستخدام System.IO؛

عرض سجل الزوار للفصل العام: الصفحة
{
Page_Load باطلة خاصة (مرسل الكائن، System.EventArgs e)
{
// قم بتحميل ملف XML
XmlDocument doc = new XmlDocument();
doc.Load(Server.MapPath("guestbook.xml"));

// قم بتحميل ملف XSL
XslTransform xslt = new XslTransform();
xslt.Load(Server.MapPath("guestbook.xsl"));

String xmlQuery = "// سجل الزوار"؛
XmlNodeListNodeList=doc.Document
Element.SelectNodes(xmlQuery);

MemoryStream ms=new MemoryStream();
xslt.Transform(doc, null, ms);
ms.Seek(0, SeekOrigin.Begin);

StreamReader sr = new StreamReader(ms);

// اطبع النتيجة
Response.Write(sr.ReadToEnd());
}
}

لقد قمت بإنشاء هذا الفصل لعرض جميع التعليقات المقدمة من خلال سجل الزوار لمستخدمينا. مرة أخرى، أول شيء نقوم به هو تنفيذ مساحات الأسماء المطلوبة، وبما أننا نستخدم XSL للتصور، يجب علينا التأكد من تضمين مساحة الاسم System.Xml.Xsl .

ثم نقوم بإنشاء فئة جديدة تسمى ViewGuestbook، مع وظيفة خاصة تحمل في ثناياه عوامل تسمى Page_Load. يتم استدعاء هذه الوظيفة دائمًا عند تحميل الصفحة، أو عندما يقوم المستخدم بالتحديث. هنا، تقوم الوظيفة بتحميل ملف Guestbook.xml، ثم يتم استخدام فئة XslTranform لتحويل عناصر XML إلى HTML قبل تحميل Guestbook.xsl بمساعدة كائن XslTransform.

بعد ذلك، نقوم بإنشاء كائن جديد من فئة XmlNodeList، والذي سيسمح لنا بتحديد العقد المطلوبة. نستخدم بعد ذلك فئة MemoryStream، المتاحة عبر مساحة الاسم System.IO، لإنشاء دفق يحتوي على ذاكرة كمخزن دعم، واستخدام وظيفة التحويل لتعيين بيانات XML لدفق الذاكرة هذا. تقوم الدالة Seek بتعيين الموضع الحالي إلى الصفر.

نقوم بعد ذلك بإنشاء كائن من فئة StreamReader، الذي يقرأ الدفق، ونطبع النتيجة بمساعدة الدالة ReadToEnd(). تقوم هذه الوظيفة بقراءة الدفق من الموضع الحالي إلى النهاية. إذا قمت بتشغيل viewguestbook.aspx، فيجب أن تشاهد نموذج ويب مثل هذا:

اكس اس ال

كما ذكرت سابقًا، نستخدم XSL لتحويل البيانات من XML إلى HTML. لقد افترضت أنك من ذوي الخبرة بالفعل في استخدام XSLT، لذا سأتطرق فقط إلى الجوانب المهمة هنا. لقد استخدمت حلقة XSL for-each للتكرار عبر جميع الضيوف في الكتاب، والتي تبدو كما يلي:

وفي الحلقة نسمي اسم قالب XSL، والذي يبدو كالتالي:

خاتمة

كما ترون، ليس من الصعب جدًا إنشاء سجل زوار. حظ سعيد! ولا تنسى أن.

يبدأ أي بحث عن نقاط الضعف في موارد الويب بالاستطلاع وجمع المعلومات.
يمكن أن يكون الذكاء إما نشطًا - القوة الغاشمة للملفات والأدلة الخاصة بالموقع، أو تشغيل أدوات فحص الثغرات الأمنية، أو تصفح الموقع يدويًا، أو سلبيًا - البحث عن المعلومات في محركات البحث المختلفة. يحدث أحيانًا أن تصبح الثغرة الأمنية معروفة حتى قبل فتح الصفحة الأولى من الموقع.

كيف يكون هذا ممكنا؟
روبوتات البحث، التي تتجول باستمرار على الإنترنت، بالإضافة إلى المعلومات المفيدة للمستخدم العادي، غالبًا ما تسجل الأشياء التي يمكن للمهاجمين استخدامها لمهاجمة مورد الويب. على سبيل المثال، أخطاء البرنامج النصي والملفات التي تحتوي على معلومات حساسة (من ملفات التكوين والسجلات إلى الملفات التي تحتوي على بيانات المصادقة والنسخ الاحتياطية لقاعدة البيانات).
من وجهة نظر روبوت البحث، فإن رسالة الخطأ المتعلقة بتنفيذ استعلام SQL هي نص عادي، لا يمكن فصله، على سبيل المثال، عن وصف المنتجات على الصفحة. إذا صادف روبوت البحث فجأة ملفًا بامتداد .sql، والذي انتهى به الأمر لسبب ما في مجلد عمل الموقع، فسيتم اعتباره جزءًا من محتوى الموقع وسيتم فهرسته أيضًا (بما في ذلك، ربما كلمات المرور) المحدد فيه).

ويمكن العثور على مثل هذه المعلومات من خلال معرفة كلمات رئيسية قوية، وفريدة من نوعها في كثير من الأحيان، تساعد في فصل "الصفحات الضعيفة" عن الصفحات التي لا تحتوي على ثغرات.
توجد قاعدة بيانات ضخمة من الاستعلامات الخاصة التي تستخدم الكلمات الرئيسية (ما يسمى الحمقى) على موقع Exploit-db.com وتُعرف باسم قاعدة بيانات Google Hack.

لماذا جوجل؟
تستهدف Dorks بشكل أساسي Google لسببين:
- التركيب الأكثر مرونة للكلمات الرئيسية (كما هو موضح في الجدول 1) والأحرف الخاصة (كما هو موضح في الجدول 2)؛
- لا يزال فهرس Google أكثر اكتمالا من فهرس محركات البحث الأخرى؛

الجدول 1 - الكلمات الرئيسية لجوجل

الكلمة الرئيسية	معنى	مثال
موقع	البحث فقط في الموقع المحدد. يأخذ في الاعتبار عنوان url فقط	site:somesite.ru - سيجد جميع الصفحات الموجودة في مجال معين ونطاقات فرعية معينة
inurl	البحث عن طريق الكلمات الموجودة في uri. على عكس CL. الكلمات "الموقع"، تبحث عن التطابقات بعد اسم الموقع	inurl:news - يبحث عن جميع الصفحات التي تظهر فيها الكلمة المحددة في عنوان uri
في النص	البحث في نص الصفحة	intext:"اختناقات مرورية" - تشبه تمامًا الطلب المعتاد لـ "اختناقات مرورية"
intitle	ابحث في عنوان الصفحة. النص بين العلامات