Seen intitle все публикации пользователя предыдущая. Используем малоизвестные функции Google, чтобы найти сокрытое

Функция Stories, или «Рассказы» в русской локализации, позволяет создавать фото и 10-секундные видео с наложением текста, эмодзи и рукописных пометок. Ключевая особенность таких постов в том, что, в отличие от обычных публикаций в вашей ленте, они не живут вечно и удаляются ровно через 24 часа.

Зачем нужно

В официальном описании Instagram сказано, что новая функция нужна для обмена не очень важной информацией о повседневной жизни.

Как этим пользоваться

По своей сути нововведение очень похоже на и работает примерно так же, но с небольшими отличиями. Несмотря на то, что возможностей у Instagram Stories не так много и все они очень простые, с ходу разобраться с ними получается не у всех пользователей.

Просмотр историй

Все доступные истории отображаются в верхней части ленты в виде кружков с аватарками пользователей и скрываются во время прокрутки. Новые рассказы появляются по мере публикации, а через сутки бесследно исчезают. При этом сортируются истории не в хронологическом порядке, а по количеству циклов воспроизведения и комментариев.

Для просмотра нужно просто тапнуть по кружку. Откроется фото или видео, которое будет отображаться 10 секунд. Тап с удержанием приостанавливает ролик.

Вверху, рядом с именем пользователя, показано время публикации. Если у людей, на которых вы подписаны, есть другие рассказы, то вслед за первым сразу же будут показаны следующие. Переключаться между ними можно смахиваниями влево и вправо.

Истории, которые вы уже просмотрели, не исчезают из меню, а отмечаются серым цветом. Их можно будет открыть ещё раз, пока они не удалятся по прошествии суток.

Комментировать рассказы можно лишь с помощью сообщений, которые отправляются в Direct и видны только автору, а не всем подписчикам. Баг это или фича, неизвестно.

Создание историй

Нажатие на плюсик вверху ленты и свайп от края экрана вправо открывает меню записи нового рассказа. Здесь всё просто: делаем тап по кнопке записи - получаем фото, удерживаем её - снимаем видео.

Съёмка или загрузка

Можно переключать переднюю и заднюю камеры или включать вспышку. Также легко выбрать медиафайл из тех, что были сняты в течение последних суток: это делается свайпом вниз. Сюда попадают все фото из галереи, включая таймлапсы и фирменные бумеранги .

Обработка

Когда фото или видео будут готовы, их можно опубликовать, предварительно обработав. И для фото, и для видео инструменты одинаковы: фильтры, текст и эмодзи, рисунки.

Фильтры переключаются по кругу простыми смахиваниями от края экрана. Всего их шесть, включая радужный градиент, как на иконке Instagram.

Добавленный текст можно увеличивать или уменьшать, перемещать по фото. А вот оставить более одного комментария, к сожалению, нельзя. Эмодзи тоже вставляются через текст, поэтому, если вы захотите закрыть своё лицо смайликом, придётся выбирать.

У рисования немного больше возможностей. В нашем распоряжении палитра и целых три кисти: обычная, маркер и с «неоновой» обводкой. Рисовать можно сразу всеми, при этом неудачный штрих можно отменить.

Удовлетворены результатом? Нажмите кнопку с галочкой, и ваш ролик станет доступен подписчикам. Его можно сохранить в галерею как до этого, так и после.

Настройки приватности, статистика

Экран настроек и статистики вызывается свайпом вверх во время просмотра рассказа. Отсюда историю можно сохранить в галерею, удалить или опубликовать в основной ленте, превратив в обычную запись. Список зрителей отображается ниже. Скрыть рассказ от любого из них можно, если нажать на крестик напротив имени.

Настройки, которые прячутся за иконкой шестерёнки, позволяют выбрать, кому можно отвечать на ваши истории, и скрыть рассказ от тех или иных подписчиков. При этом настройки приватности запоминаются и применяются для всех последующих публикаций.

Как с этим жить

Нормально. Да, многие восприняли Stories в штыки из-за сходства со Snapchat и нерешённых проблем Instagram, на которых стоило бы сосредоточиться разработчикам. Но я считаю нововведение полезным.

Проблема захламлённости ленты, когда приходится отписываться от друзей, выкладывающих буквально каждый свой шаг, существовала давно, и внятного её решения так и не придумали. Рассказы можно считать первым шагом к этому. Со временем люди должны свыкнуться с культурой поведения, предлагаемой , и начать постить в ленту только действительно важный и заслуживающий внимания контент. Всё остальное должно попадать в Stories. Правда же?

В приложении Save _Амп_ Send можно сохранить публикацию в нескольких форматах. Вы можете сохранить публикацию в виде изображения, файла в формате PDF или XPS либо в виде HTML-файла. Вы можете сохранить публикацию как шаблон Microsoft Publisher 2010 или в формате, совместимом с Publisher 2000 или Publisher 98. Вы также можете создать упакованный файл Publisher, который содержит все необходимые элементы для публикации в типографии, включая PDF-файл при выборе или перемещении публикации на другой компьютер. В дополнение к сохранению публикации вы можете отправить публикацию по электронной почте в виде сообщения электронной почты или вложения. В некоторых языковых стандартов Вы также сможете воспользоваться шаблонами общих папок, созданными в сообществе шаблонов из Интернета.

В этой статье

Отправка по электронной почте

Вы можете отправить публикацию в виде сообщения электронной почты, используя один из пяти вариантов.

Важно: Для отправки по электронной почте на компьютере должна быть установлена одна из следующих программ:

Microsoft Office Outlook

Outlook Express (версия 5,0 или более поздняя)

Почта Windows;

Откройте вкладку Файл .

1. Введите адреса получателей, тему и другие параметры электронной почты, а затем нажмите кнопку Отправить .

Предварительный просмотр сообщения

Этот параметр позволяет увидеть, как будет выглядеть публикация в сообщении электронной почты, открыв веб-браузер по умолчанию и предварительный просмотр версии публикации в формате HTML.

Откройте вкладку Файл .

Publisher отобразит публикацию в виде веб-страницы.

Изменение типа файла

Откройте вкладку Файл .

Выберите один из доступных вариантов.

Публикация HTML-кода

Откройте вкладку Файл .

В разделе Публикация HTML-кода можно выбрать сохранение в одном из двух форматов:

• Веб-страница (HTML) : при этом публикация будет сохранена в виде HTML-документа и создана папка, содержащая вспомогательные файлы, такие как изображения и звуки, отображаемые на странице.

  Веб-страница в одном файле (MHTML) : этот параметр создает один документ MHT с вложенными файлами поддержки.

Сохранение в формате PDF или XPS

Иногда вы хотите сохранить файлы, которые не могут быть изменены, но все равно хотите, чтобы они были легко и удобны для общего доступа и печати. С помощью Publisher 2010 вы можете преобразовывать публикации в форматы PDF или XPS, не требуя дополнительного программного обеспечения или надстроек. Используйте этот вариант, если вы хотите:

одинаково выглядят на большинстве компьютеров;

имеют малый размер файлов;

совместимы с отраслевым форматом.

Могут просматривать пользователи, у которых не установлена программа Publisher, но у вас есть бесплатное PDF-или XPS Viewer

В качестве примеров можно привести резюме, юридические документы, бюллетени, файлы, предназначенные только для чтения и печати, документы, предназначенные для профессиональной печати.

Важно: После сохранения документа в формате PDF или XPS его невозможно преобразовать обратно в формат файла Microsoft Office без специального программного обеспечения или надстройки стороннего разработчика.

Что такое форматы PDF и XPS?

Формат переносимЫх документов (PDF) PDF сохраняет форматирование документа и включает общий доступ к файлам. При просмотре файла в формате PDF или печати в Интернете он сохраняет необходимый формат. Данные в файле невозможно легко изменить и их можно запретить. Формат PDF также полезен для документов, которые будут воспроизведены с помощью методов профессиональной печати. PDF-файл принимается как допустимый формат для многих учреждений и организаций, и средства просмотра доступны на более широком спектре платформ, чем в XPS.

Важно: Для просмотра PDF-файла на компьютере должна быть установлена программа для чтения с PDF-файлов, которая доступна в Adobe Systems .

XML Paper Specification (XPS) XPS - это независимая от платформы технология, которая также сохраняет форматирование документов и обеспечивает общий доступ к файлам. Когда XPS-файл просматривается в Интернете или печатается, он сохраняет в точности тот формат, который вы предоставите, и невозможно легко изменить данные в файле. XPS внедряет все шрифты в файле, чтобы они отображались должным образом, независимо от того, доступен ли указанный шрифт на компьютере получателя, а также на компьютере получателя с более точной отрисовкой изображений и цветов, чем в PDF-файле.

Сохранить как PDF

Откройте вкладку Файл .

В диалоговом окне выберите PDF (*. PDF) в раскрывающемся списке Тип файла .

имя файла .

Параметры .

Вы можете выбрать один из четырех готовых наборов параметров и изменить Параметры печати .

• Минимальный размер : в этом случае разрешение изображений в публикации будет превышено до 96 точек на дюйм (DPI), которое подходит для отображения на экране, но не только для печатной публикации. Шрифты не будут внедрены или точечными рисунками, поэтому пользователи, просматривающие файл, у которого нет установленных шрифтов, увидят разные шрифты. Параметры печати оптимизированы для просмотра документа в Интернете в виде одной страницы. Этот выбор также будет содержать свойства вашей публикации.

  Стандартный

  Высокое качество печати : этот набор параметров по умолчанию подходит для настольных компьютеров в копировальном бюро. Для изображений будет задано значение не более 450 dpi для цвета и оттенков серого, над этим пороговое значение, довнсамплед до 300 dpi и 1 800 dpi для штриховой графики над этим пороговым значением и изображением будет довнсамплед до 1 200 dpi. Этот выбор также будет содержать свойства публикации, а также структурные теги, чтобы улучшить специальные возможности. Параметры печати оптимизированы для печати.

  Коммерческое нажатие : Этот набор параметров создает самый крупный и самый высокий файл качества, подходящий для профессиональной печати. Изображения будут ограничены до 450 dpi (довнсамплед до 350 dpi, если оригинал находится выше 450 DPI) для цвета и оттенков серого, а 3600 dpi (довнсамплед – 2400 dpi, если оригинал находится выше 3600 dpi) для штриховой графики. Параметры печати задаются на основе одной копии публикации (чтобы в типографии можно было использовать собственные места, выход за обрез и т. д.). Этот выбор также будет содержать свойства публикации и будет преобразовывать шрифты, которые невозможно внедрить в растровые изображения. В ходе проверки макета выводится предупреждение о возможных проблемах с использованием цвета или прозрачности. Кроме того, возможность шифрования документа с использованием пароля будет отключена.

  Пользовательский : Этот вариант позволяет просто сделать доступными все доступные варианты. . Если вы выбрали один из параметров предварительной настройки и измените свойства, которые он изменит , Пользовательский .

  Параметры печати

Другие варианты:

Рисунок _амп_ понижение разрешения : Если значение dpi рисунка или штрих-кода превышает второе, уменьшите значение dpi (уменьшите качество) до первого числа. Если это не поверх второго числа, не изменяйте его. Это помогает управлять размером публикации.

Предупреждение о том, как использовать прозрачНость _амп_ цвета : запуск проверки макета до сохранения - см. статью справки по проверке макета.

Свойства документа : сохранение свойств документа из файла. publication, находящихся в свойствах публикации в диалоговом окне " Дополнительные параметры ".

Теги структуры документа для специальных возможностей : Включает теги PDF в конечный PDF-файл, который делает PDF-файл доступным (средства специальных возможностей знают, как перемещаться по документу PDF) и предоставляют программное обеспечение для чтения PDF-файлов Подробнее о том, как связанное содержимое в PDF-файле.

Совместимость с ISO 19005-1 (PDF/A) : Если параметр включен, конечный PDF-файл будет соответствовать стандарту ISO и PDF. Этот стандарт предназначен для создания универсально читаемых PDF-файлов, пригодных для архивации.

• Все шрифты внедряются, если только лицензия не запрещает ее, в этом случае текст преобразуется в растровое изображение, чтобы сохранить исходный вид.

  Свойства документа всегда включаются

  Все варианты использования прозрачности в публикации удаляются (все прозрачные области становятся непрозрачными)

  PDF-файл невозможно зашифровать

  PDF-файл заблокирован, поэтому его нельзя редактировать

Текст точечного рисунка, если шрифты не могут быть внедрены : длякаждого шрифта имеется лицензия, указывающая на вхесе r, она может быть внедрена в файл. Если License (лицензия ) не допускает внедрение , при выборе этого параметра все подобные шрифты преобразуются в изображения , поэтому внешний вид не изменится при открытии PDF-файла в Мачин е, который не имеет шрифта. "T " приведет к увеличению размера файла и потере возможности выделения и копирования текста в DF-файле (так как это изображение). Если этот параметр не установлен , будет использоваться другой шрифт . подставляемые при просмотре на компьютере, на котором не установлены лицензированный шрифт .

Зашифровать документ паролем :позволяет шифровать PDF-файл с помощью пароля, чтобы его нельзя было просматривать или изменять , если не введен пароль .

Сохранение в формате XPS

Откройте вкладку Файл .

В диалоговом окне Публикация в формате PDF или XPS выберите пункт XPS-документ (*. XPS) в раскрывающемся списке Тип файла .

Введите имя документа в текстовом поле имя файла .

Чтобы изменить параметры публикации, нажмите кнопку изменить .

Вы можете выбрать один из трех готовых наборов параметров и изменить Параметры печати .

• Минимальный размер : в этом случае разрешение изображений в публикации будет превышено до 96 точек на дюйм (DPI), которое подходит для отображения на экране, но не только для печатной публикации. Шрифты, которые невозможно внедрить, будут точечными. Параметры печати оптимизированы для просмотра документа в Интернете в виде одной страницы. Этот выбор также будет содержать свойства вашей публикации.

  Стандартный : при этом разрешение изображений в публикации будет превышено до 150 dpi, подходящих для распространения по сети, например электронной почты, в которых получатель может распечатать публикацию на настольном принтере. Параметры печати оптимизированы для просмотра документа в Интернете в виде одной страницы. Этот выбор также будет содержать свойства публикации, а также структурные теги, чтобы улучшить специальные возможности.

  Высокое качество печати : этот набор параметров по умолчанию подходит для настольных компьютеров в копировальном бюро. Для изображений будет задано значение не более 450 dpi для цвета и оттенков серого, над этим пороговое значение, довнсамплед до 300 dpi и 1 800 dpi для штриховой графики над этим пороговым значением и изображением будет довнсамплед до 1 200 dpi. Этот выбор также будет содержать свойства публикации, а также структурные теги, чтобы улучшить специальные возможности. Параметры печати оптимизированы для печати. Шрифты, которые невозможно внедрить, будут точечными.

  Пользовательский : Этот вариант просто делает доступными все доступные вам варианты.

  Параметры печати : нажатие этой кнопки приведет к запуску диалогового окна Параметры печати.

"Упаковать"

Мастер упаковки упаковывает публикацию и связанные с ней файлы в один файл, который можно распечатать на профессиональном принтере или копировальном бюро. Вы также можете перевести упакованный файл на другой компьютер для изменения. С помощью мастера упаковки можно получить все файлы, необходимые для передачи завершенной публикации пользователю, который может работать с ним или просматривать его.

Сохранение для профессиональной печати

Откройте вкладку Файл .

• Параметры размера файла и качества: это те же четыре набора параметров, которые использовались при сохранении в формате PDF.

  Сохранение файлов PDF и Publisher или только PDF: вы можете сохранить файл PDF и. pub либо сохранить только PDF-файл, чтобы перейти на принтер.

Нажмите кнопку Мастер упаковки .

Мастер выполнит упаковку файлов и сохранит их в выбранном расположении, установить или снять флажок Печать составного цветопробы и нажать кнопку ОК .


Примечание: Флажок " Печать составного цветопробы " всегда установлен по умолчанию. Используйте составное средство проверки подлинности для просмотра и перехвата ошибок в печатной версии публикации перед отправкой файла на печать в типографию. Если ваш коммерческий принтер исправляет ошибки в файле, стоимость печати обычно возрастает.

Сохранение на другом компьютере

Откройте вкладку Файл .

Нажмите кнопку Мастер упаковки и нажмите кнопку Далее .

В диалоговом окне Включение шрифтов и рисунков выберите параметры внедрения шрифтов TrueType и связывания рисунков, а затем нажмите кнопку Далее .

The following is an alphabetical list of the search operators. This list includes operators that are not officially supported by Google and not listed in Google’s online help .

Note: Google may change how undocumented operators work or may eliminate them completely.

Each entry typically includes the syntax, the capabilities, and an example. Some of the search operators won’t work as intended if you put a space between the colon (:) and the subsequent query word. If you don’t care to check which search operators require no space after the colon, always place the keyword immediately next to the colon. Many search operators can appear anywhere in your query. In our examples, we place the search operator as far to the right as possible. We do this because the Advanced Search form writes queries in this way. Also, such a convention makes it clearer as to which operators are associated with which terms.

Allinanchor:

If you start your query with allinanchor: , Google restricts results to pages containing all query terms you specify in the on links to the page. For example, [ allinanchor: best museums sydney ] will return only pages in which the anchor text on links to the pages contain the words “best,” “museums,” and “sydney.”

Group:

If you include group: in your query, Google will restrict your Google Groups results to newsgroup articles from certain groups or subareas. For example, [ sleep group:misc.kids.moderated ] will return articles in the group misc.kids.moderated that contain the word “sleep” and [ sleep group:misc.kids ] will return articles in the subarea misc.kids that contain the word “sleep.”

Id: intitle:

The query intitle:term restricts results to documents containing term in the . For instance, [ flu shot intitle:help ] will return documents that mention the word “help” in their titles, and mention the words “flu” and “shot” anywhere in the document (title or not).

Note: There must be no space between the intitle: and the following word.

Putting intitle: in front of every word in your query is equivalent to putting allintitle: at the front of your query, e.g., [ intitle:google intitle:search ] is the same as [ allintitle: google search ].

If you include inurl: in your query, Google will restrict the results to documents containing that word in the . For instance, searches for pages on Google Guide in which the URL contains the word “print.” It finds pdf files that are in the directory or folder named “print” on the Google Guide website. The query [ inurl:healthy eating ] will return documents that mention the words “healthy” in their URL, and mention the word “eating” anywhere in the document.

Note: There must be no space between the inurl: and the following word.

Putting inurl: in front of every word in your query is equivalent to putting allinurl: at the front of your query, e.g., [ inurl:healthy inurl:eating ] is the same as [ allinurl: healthy eating ].

In URLs, words are often run together. They need not be run together when you’re using inurl:.

The query link:URL shows pages that point to that . For example, to find pages that point to Google Guide’s home page, enter:

Find links to the UK Owners Direct home page not on its own site.

Location: related:

You can also restrict your results to a site or domain through the domains selector on the Advanced Search page.

Получение частных данных не всегда означает взлом - иногда они опубликованы в общем доступе. Знание настроек Google и немного смекалки позволят найти массу интересного - от номеров кредиток до документов ФБР.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

К интернету сегодня подключают всё подряд, мало заботясь об ограничении доступа. Поэтому многие приватные данные становятся добычей поисковиков. Роботы-«пауки» уже не ограничиваются веб-страницами, а индексируют весь доступный в Сети контент и постоянно добавляют в свои базы не предназначенную для разглашения информацию. Узнать эти секреты просто - нужно лишь знать, как именно спросить о них.

Ищем файлы

В умелых руках Google быстро найдет все, что плохо лежит в Сети, - например, личную информацию и файлы для служебного использования. Их частенько прячут, как ключ под половиком: настоящих ограничений доступа нет, данные просто лежат на задворках сайта, куда не ведут ссылки. Стандартный веб-интерфейс Google предоставляет лишь базовые настройки расширенного поиска, но даже их будет достаточно.

Ограничить поиск по файлам определенного вида в Google можно с помощью двух операторов: filetype и ext . Первый задает формат, который поисковик определил по заголовку файла, второй - расширение файла, независимо от его внутреннего содержимого. При поиске в обоих случаях нужно указывать лишь расширение. Изначально оператор ext было удобно использовать в тех случаях, когда специфические признаки формата у файла отсутствовали (например, для поиска конфигурационных файлов ini и cfg, внутри которых может быть все что угодно). Сейчас алгоритмы Google изменились, и видимой разницы между операторами нет - результаты в большинстве случаев выходят одинаковые.

Фильтруем выдачу

По умолчанию слова и вообще любые введенные символы Google ищет по всем файлам на проиндексированных страницах. Ограничить область поиска можно по домену верхнего уровня, конкретному сайту или по месту расположения искомой последовательности в самих файлах. Для первых двух вариантов используется оператор site, после которого вводится имя домена или выбранного сайта. В третьем случае целый набор операторов позволяет искать информацию в служебных полях и метаданных. Например, allinurl отыщет заданное в теле самих ссылок, allinanchor - в тексте, снабженном тегом , allintitle - в заголовках страниц, allintext - в теле страниц.

Для каждого оператора есть облегченная версия с более коротким названием (без приставки all). Разница в том, что allinurl отыщет ссылки со всеми словами, а inurl - только с первым из них. Второе и последующие слова из запроса могут встречаться на веб-страницах где угодно. Оператор inurl тоже имеет отличия от другого схожего по смыслу - site . Первый также позволяет находить любую последовательность символов в ссылке на искомый документ (например, /cgi-bin/), что широко используется для поиска компонентов с известными уязвимостями.

Попробуем на практике. Берем фильтр allintext и делаем так, чтобы запрос выдал список номеров и проверочных кодов кредиток, срок действия которых истечет только через два года (или когда их владельцам надоест кормить всех подряд).

Allintext: card number expiration date /2017 cvv

Когда читаешь в новостях, что юный хакер «взломал серверы» Пентагона или NASA, украв секретные сведения, то в большинстве случаев речь идет именно о такой элементарной технике использования Google. Предположим, нас интересует список сотрудников NASA и их контактные данные. Наверняка такой перечень есть в электронном виде. Для удобства или по недосмотру он может лежать и на самом сайте организации. Логично, что в этом случае на него не будет ссылок, поскольку предназначен он для внутреннего использования. Какие слова могут быть в таком файле? Как минимум - поле «адрес». Проверить все эти предположения проще простого.

Inurl:nasa.gov filetype:xlsx "address"

Пользуемся бюрократией

Подобные находки - приятная мелочь. По-настоящему же солидный улов обеспечивает более детальное знание операторов Google для веб-мастеров, самой Сети и особенностей структуры искомого. Зная детали, можно легко отфильтровать выдачу и уточнить свойства нужных файлов, чтобы в остатке получить действительно ценные данные. Забавно, что здесь на помощь приходит бюрократия. Она плодит типовые формулировки, по которым удобно искать случайно просочившиеся в Сеть секретные сведения.

Например, обязательный в канцелярии министерства обороны США штамп Distribution statement означает стандартизированные ограничения на распространение документа. Литерой A отмечаются публичные релизы, в которых нет ничего секретного; B - предназначенные только для внутреннего использования, C - строго конфиденциальные и так далее до F. Отдельно стоит литера X, которой отмечены особо ценные сведения, представляющие государственную тайну высшего уровня. Пускай такие документы ищут те, кому это положено делать по долгу службы, а мы ограничимся файлами с литерой С. Согласно директиве DoDI 5230.24, такая маркировка присваивается документам, содержащим описание критически важных технологий, попадающих под экспортный контроль. Обнаружить столь тщательно охраняемые сведения можно на сайтах в домене верхнего уровня.mil, выделенного для армии США.

"DISTRIBUTION STATEMENT C" inurl:navy.mil

Очень удобно, что в домене.mil собраны только сайты из ведомства МО США и его контрактных организаций. Поисковая выдача с ограничением по домену получается исключительно чистой, а заголовки - говорящими сами за себя. Искать подобным образом российские секреты практически бесполезно: в доменах.ru и.рф царит хаос, да и названия многих систем вооружения звучат как ботанические (ПП «Кипарис», САУ «Акация») или вовсе сказочные (ТОС «Буратино»).

Внимательно изучив любой документ с сайта в домене.mil, можно увидеть и другие маркеры для уточнения поиска. Например, отсылку к экспортным ограничениям «Sec 2751», по которой также удобно искать интересную техническую информацию. Время от времени ее изымают с официальных сайтов, где она однажды засветилась, поэтому, если в поисковой выдаче не удается перейти по интересной ссылке, воспользуйся кешем Гугла (оператор cache) или сайтом Internet Archive.

Забираемся в облака

Помимо случайно рассекреченных документов правительственных ведомств, в кеше Гугла временами всплывают ссылки на личные файлы из Dropbox и других сервисов хранения данных, которые создают «приватные» ссылки на публично опубликованные данные. С альтернативными и самодельными сервисами еще хуже. Например, следующий запрос находит данные всех клиентов Verizon, у которых на роутере установлен и активно используется FTP-сервер.

Allinurl:ftp:// verizon.net

Таких умников сейчас нашлось больше сорока тысяч, а весной 2015-го их было на порядок больше. Вместо Verizon.net можно подставить имя любого известного провайдера, и чем он будет известнее, тем крупнее может быть улов. Через встроенный FTP-сервер видно файлы на подключенном к маршрутизатору внешнем накопителе. Обычно это NAS для удаленной работы, персональное облако или какая-нибудь пиринговая качалка файлов. Все содержимое таких носителей оказывается проиндексировано Google и другими поисковиками, поэтому получить доступ к хранящимся на внешних дисках файлам можно по прямой ссылке.

Подсматриваем конфиги

До повальной миграции в облака в качестве удаленных хранилищ рулили простые FTP-серверы, в которых тоже хватало уязвимостей. Многие из них актуальны до сих пор. Например, у популярной программы WS_FTP Professional данные о конфигурации, пользовательских аккаунтах и паролях хранятся в файле ws_ftp.ini . Его просто найти и прочитать, поскольку все записи сохраняются в текстовом формате, а пароли шифруются алгоритмом Triple DES после минимальной обфускации. В большинстве версий достаточно просто отбросить первый байт.

Расшифровать такие пароли легко с помощью утилиты WS_FTP Password Decryptor или бесплатного веб-сервиса .

Говоря о взломе произвольного сайта, обычно подразумевают получение пароля из логов и бэкапов конфигурационных файлов CMS или приложений для электронной коммерции. Если знаешь их типовую структуру, то легко сможешь указать ключевые слова. Строки, подобные встречающимся в ws_ftp.ini , крайне распространены. Например, в Drupal и PrestaShop обязательно есть идентификатор пользователя (UID) и соответствующий ему пароль (pwd), а хранится вся информация в файлах с расширением.inc. Искать их можно следующим образом:

"pwd=" "UID=" ext:inc

Раскрываем пароли от СУБД

В конфигурационных файлах SQL-серверов имена и адреса электронной почты пользователей хранятся в открытом виде, а вместо паролей записаны их хеши MD5. Расшифровать их, строго говоря, невозможно, однако можно найти соответствие среди известных пар хеш - пароль.

До сих пор встречаются СУБД, в которых не используется даже хеширование паролей. Конфигурационные файлы любой из них можно просто посмотреть в браузере.

Intext:DB_PASSWORD filetype:env

С появлением на серверах Windows место конфигурационных файлов отчасти занял реестр. Искать по его веткам можно точно таким же образом, используя reg в качестве типа файла. Например, вот так:

Filetype:reg HKEY_CURRENT_USER "Password"=

Не забываем про очевидное

Иногда добраться до закрытой информации удается с помощью случайно открытых и попавших в поле зрения Google данных. Идеальный вариант - найти список паролей в каком-нибудь распространенном формате. Хранить сведения аккаунтов в текстовом файле, документе Word или электронной таблице Excel могут только отчаянные люди, но как раз их всегда хватает.

Filetype:xls inurl:password

С одной стороны, есть масса средств для предотвращения подобных инцидентов. Необходимо указывать адекватные права доступа в htaccess, патчить CMS, не использовать левые скрипты и закрывать прочие дыры. Существует также файл со списком исключений robots.txt, запрещающий поисковикам индексировать указанные в нем файлы и каталоги. С другой стороны, если структура robots.txt на каком-то сервере отличается от стандартной, то сразу становится видно, что на нем пытаются скрыть.

Список каталогов и файлов на любом сайте предваряется стандартной надписью index of. Поскольку для служебных целей она должна встречаться в заголовке, то имеет смысл ограничить ее поиск оператором intitle . Интересные вещи находятся в каталогах /admin/, /personal/, /etc/ и даже /secret/.

Следим за обновлениями

Актуальность тут крайне важна: старые уязвимости закрывают очень медленно, но Google и его поисковая выдача меняются постоянно. Есть разница даже между фильтром «за последнюю секунду» (&tbs=qdr:s в конце урла запроса) и «в реальном времени» (&tbs=qdr:1).

Временной интервал даты последнего обновления файла у Google тоже указывается неявно. Через графический веб-интерфейс можно выбрать один из типовых периодов (час, день, неделя и так далее) либо задать диапазон дат, но такой способ не годится для автоматизации.

По виду адресной строки можно догадаться только о способе ограничить вывод результатов с помощью конструкции &tbs=qdr: . Буква y после нее задает лимит в один год (&tbs=qdr:y), m показывает результаты за последний месяц, w - за неделю, d - за прошедший день, h - за последний час, n - за минуту, а s - за секунду. Самые свежие результаты, только что ставшие известными Google, находится при помощи фильтра &tbs=qdr:1 .

Если требуется написать хитрый скрипт, то будет полезно знать, что диапазон дат задается в Google в юлианском формате через оператор daterange . Например, вот так можно найти список документов PDF со словом confidential, загруженных c 1 января по 1 июля 2015 года.

Confidential filetype:pdf daterange:2457024-2457205

Диапазон указывается в формате юлианских дат без учета дробной части. Переводить их вручную с григорианского календаря неудобно. Проще воспользоваться конвертером дат .

Таргетируемся и снова фильтруем

Помимо указания дополнительных операторов в поисковом запросе их можно отправлять прямо в теле ссылки. Например, уточнению filetype:pdf соответствует конструкция as_filetype=pdf . Таким образом удобно задавать любые уточнения. Допустим, выдача результатов только из Республики Гондурас задается добавлением в поисковый URL конструкции cr=countryHN , а только из города Бобруйск - gcs=Bobruisk . В разделе для разработчиков можно найти полный список .

Средства автоматизации Google призваны облегчить жизнь, но часто добавляют проблем. Например, по IP пользователя через WHOIS определяется его город. На основании этой информации в Google не только балансируется нагрузка между серверами, но и меняются результаты поисковой выдачи. В зависимости от региона при одном и том же запросе на первую страницу попадут разные результаты, а часть из них может вовсе оказаться скрытой. Почувствовать себя космополитом и искать информацию из любой страны поможет ее двухбуквенный код после директивы gl=country . Например, код Нидерландов - NL, а Ватикану и Северной Корее в Google свой код не положен.

Часто поисковая выдача оказывается замусоренной даже после использования нескольких продвинутых фильтров. В таком случае легко уточнить запрос, добавив к нему несколько слов-исключений (перед каждым из них ставится знак минус). Например, со словом Personal часто употребляются banking , names и tutorial . Поэтому более чистые поисковые результаты покажет не хрестоматийный пример запроса, а уточненный:

Intitle:"Index of /Personal/" -names -tutorial -banking

Пример напоследок

Искушенный хакер отличается тем, что обеспечивает себя всем необходимым самостоятельно. Например, VPN - штука удобная, но либо дорогая, либо временная и с ограничениями. Оформлять подписку для себя одного слишком накладно. Хорошо, что есть групповые подписки, а с помощью Google легко стать частью какой-нибудь группы. Для этого достаточно найти файл конфигурации Cisco VPN, у которого довольно нестандартное расширение PCF и узнаваемый путь: Program Files\Cisco Systems\VPN Client\Profiles . Один запрос, и ты вливаешься, к примеру, в дружный коллектив Боннского университета.

Filetype:pcf vpn OR Group

INFO

Google находит конфигурационные файлы с паролями, но многие из них записаны в зашифрованном виде или заменены хешами. Если видишь строки фиксированной длины, то сразу ищи сервис расшифровки.

Пароли хранятся в зашифрованном виде, но Морис Массар уже написал программу для их расшифровки и предоставляет ее бесплатно через thecampusgeeks.com .

При помощи Google выполняются сотни разных типов атак и тестов на проникновение. Есть множество вариантов, затрагивающих популярные программы, основные форматы баз данных, многочисленные уязвимости PHP, облаков и так далее. Если точно представлять то, что ищешь, это сильно упростит получение нужной информации (особенно той, которую не планировали делать всеобщим достоянием). Не Shodan единый питает интересными идеями, но всякая база проиндексированных сетевых ресурсов!