Les listes de sources utilisées doivent être utilisées assez souvent. Les étudiants rédigent des cours et des diplômes, les étudiants de premier cycle, les étudiants diplômés et les doctorants rédigent des thèses. Les chercheurs rédigent des articles et des rapports et bien plus encore. Je suis sûr que chacun des lecteurs a dû au moins une fois dans sa vie dresser une bibliographie et indiquer des références à la littérature dans le texte.
Lors de la création d'un article sur le Web, vous pouvez insérer des hyperliens vers des sources directement dans le texte, ou ajouter une liste à puces dans le « pied de page » dans laquelle ces sources et toute littérature de lecture recommandée seront répertoriées dans un ordre aléatoire. Cependant, dans la communauté scientifique et dans le système éducatif, des exigences strictes (et parfois contradictoires) sont imposées aux règles d'établissement de telles listes, et les observer manuellement est une tâche morne et ingrate.
Dans cet article, je partagerai mon expérience dans l'automatisation de la création d'une liste de sources utilisées à l'aide de Mendeley. Lorsque j'écris des textes, j'utilise MS Word 2007 car il est meilleur que celui acheté par mon employeur. Tout ce qui est décrit ci-dessous peut être répété dans Open Office.
Pourquoi n’ai-je pas aimé les outils intégrés pour créer des listes de références dans MS Word ?
En fait, à partir de la version 2007, MS Word dispose d'un mécanisme intégré pour générer des listes de références, qui prend même (soi-disant) en charge GOST.En théorie, tout est simple : vous saisissez toute la littérature utilisée dans une base de données et vous y référez ensuite si nécessaire. A la fin du document il y a une liste. Les liens au format requis seront dispersés dans le texte. Mais en pratique, tout est plus compliqué. Tout d'abord, l'utilisateur doit saisir toutes les sources littéraires utilisées, en remplissant tous les champs du formulaire.
Contribuer à une douzaine d’œuvres n’est pas une mince affaire. Remplir une base de données de centaines de titres présente un risque de dépression nerveuse. Pour une raison quelconque, la recherche dans les bases de données n’a rien donné d’intéressant pour moi. Cependant, tout le travail sera toujours vain, car le modèle intégré est loin d'être GOST. Il n’y a même pas les fameux crochets. Cependant, le dernier problème peut être résolu en modifiant le modèle.
Alors, ce qui ne me convenait pas dans Word :
Mendeley fonctionne comme ceci : vous créez votre compte, téléchargez et installez le logiciel et créez votre propre base de données de cartes sources. Il est également utile de télécharger et d'installer un plugin pour MS Word (ou Open Office).
Ajout d'une référence à la littérature à l'aide d'un plugin pour MS Word
Vous pouvez également utiliser un plugin de navigateur, qui facilite parfois l'ajout de sources trouvées sur Internet. 
En faisant glisser un objet trouvé sur Internet, vous pouvez obtenir une carte toute faite à Mendeley. Mais vous ne l'obtiendrez peut-être pas. Dans tous les cas, modifiez très soigneusement les cartes reçues à l'aide du plugin dans le navigateur.
En installant la version de bureau ou en vous connectant à votre compte via un navigateur, vous pouvez utiliser la recherche dans la base de données des cartes déjà créées. Certes, la recherche ne fonctionne pratiquement pas avec les publications en langue russe, mais elle trouve presque toujours de la littérature étrangère et il est rarement nécessaire de la saisir manuellement. Les cartes trouvées sur Internet peuvent être ajoutées aux vôtres et modifiées (cela vaut la peine de vérifier les cartes des autres pour les erreurs et le remplissage incomplet - je suis tombé sur des cartes remplies par des paresseux inattentifs. Dans tous les cas, éditer la carte terminée est plus facile que de tout remplir toi-même).
Capture d'écran de Mendeley Decktop pendant le fonctionnement
Cependant, même si une recherche dans la base de données interne de Mendeley n'a donné aucun résultat, ne vous précipitez pas pour remplir la carte manuellement. Nous allons à la Google Academy et essayons d'y trouver la source requise. Si la source est trouvée, alors nous trouvons le lien « Importer vers BibTeX » en dessous, enregistrons l'objet via le lien en tant que fichier et l'ouvrons avec le programme Mendeley Desktop. En règle générale, nous recevons une carte source déjà à moitié remplie. Modifier une telle carte est plus facile que de la remplir manuellement.
Un exemple de la façon dont vous pouvez obtenir un fichier BibTeX prêt à l'emploi via Google Academy
Quant aux modèles de formatage des liens et à la liste des références elle-même, en plus du grand nombre de modèles déjà installés par défaut, vous pouvez ajouter les vôtres. Ces modèles ne sont pas écrits au hasard, mais dans un « langage de style de citation » spécial Citation Style Language (CSL), lui-même basé sur XML.
Je ne fournirai pas de liens vers des modèles spécifiques que j'utilise dans mon travail, car je ne suis pas sûr qu'ils soient les plus efficaces. Permettez-moi simplement de dire que les exigences des maisons d'édition scientifiques russes, des maisons d'édition étrangères, des conseils de thèse, etc., diffèrent considérablement, mais jusqu'à présent, j'ai pu trouver un bon modèle pour chacun d'eux.
Algorithme général d'utilisation du système Mendeley
- Inscrivez-vous, téléchargez des logiciels, installez des plugins
- Nous créons les dossiers nécessaires (par exemple, « Cours », « Diplôme », « Rapport scientifique », etc.) selon vos souhaits.
- Nous recherchons la littérature nécessaire dans la recherche et glissons les cartes nécessaires dans notre dossier
- Si quelque chose n'est pas trouvé dans Mendeley, recherchez dans Google ou ailleurs, ouvrez les fichiers BibTeX enregistrés et ajoutez-les à votre dossier.
- Vérification de l'exactitude des cartes trouvées
- Si rien n'est trouvé nulle part, créez une nouvelle fiche et remplissez-la manuellement si vous le souhaitez/nécessaire, joignez le fichier de l'article lui-même ;
- Nous ouvrons le texte de nos futurs travaux dans MS Word/Open Office et ajoutons des liens aux bons endroits, sélectionnons un modèle de formatage de liste et ajoutons une liste de sources à la fin du document.
- Nous examinons attentivement la liste de sources qui en résulte. Si quelque chose ne va pas, modifiez les cartes sources ou modifiez/jetez le modèle et recherchez/écrivez-en un nouveau.
- Nous sommes satisfaits du résultat
Mendeley en tant qu'assistant pour la recherche littéraire
En plus de faciliter et de accélérer la création de listes de références, Mendeley facilite également les recherches documentaires en vous permettant de trouver des « articles connexes », ainsi que d'effectuer une recherche par auteur, par mots-clés, etc.Remplir un profil Mendeley offre un semblant de réseau social pour les scientifiques. Il existe également la possibilité de travailler en équipe, mais jusqu'à présent, je n'ai pas réussi à convaincre mes collègues d'utiliser ce système (peut-être que cet article vous aidera), je n'ai donc aucune expérience dans un tel travail.
Mendeley vous permet de stocker non seulement les données bibliographiques des articles et leurs annotations, mais également de joindre des fichiers PDF avec le texte intégral. Et téléchargez également les versions en texte intégral de ces articles que d'autres participants au système ont rendus accessibles au public.
Vous pouvez apprendre les fonctionnalités et l'interface du système à l'aide de vidéos de formation et d'un document bien rédigé (bien qu'en anglais).
Autres fonctionnalités utiles de Mendeley
- Disponibilité d'un plugin pour Open Office (je n'ai pas personnellement testé ses fonctionnalités)
- La possibilité de configurer de manière flexible de nombreux éléments en plus des styles de bibliographie (par exemple, l'ordre dans lequel les fichiers sont stockés sur le disque)
- Possibilité d'intégration avec des systèmes similaires, principalement Zatero
- Vous pouvez stocker des fiches de vos propres publications et espérer que d'autres utilisateurs du système les trouveront lors de la recherche de mots-clés, les utiliseront, s'y référeront et augmenteront votre index de citation.
- Il existe une version de Mendeley Desktop non seulement pour Windows, mais aussi pour Linux et MacOS
- Il existe une application mobile pour iPhone
- API publiées
Inconvénients de Mendeley
Certaines lacunes peuvent être qualifiées de « fonctionnalités », mais je n’utiliserai pas cette astuce.- La recherche documentaire ne fonctionne pas avec les sources en langue russe (soyez prêt à les saisir manuellement)
- Même la version de bureau nécessite une connexion Internet. Le mode hors ligne n'est pas fourni
- Vous devez vous inscrire, créer votre compte et travailler avec lui
- Si votre document contient des liens vers 100 sources littéraires ou plus et que vous avez effectué une modification (ajout d'une autre source, ouvert un lien pour modification), préparez-vous à de légers ralentissements dans MS Word
- Les capacités d'un compte gratuit sont limitées : la capacité de stockage des versions intégrales des articles, le nombre de groupes de travail et le nombre de membres du groupe. (Cependant, je ne relie pas les fichiers pdf à tous les articles avec lesquels je travaille et je stocke la plupart d'entre eux séparément, ce qui me permet d'utiliser librement mon compte gratuit)
- Aucune application pour Android et autres plateformes mobiles non Apple
Conclusion
Mendeley peut être utile aux étudiants, aux étudiants diplômés, aux chercheurs et à toute autre personne en général. En passant un peu de temps à étudier ce système, vous pouvez économiser beaucoup de nerfs lorsque vous travaillez avec des listes de références, en particulier lorsque deux sous-sections doivent être interverties dans un document soigneusement vérifié et que le système de numérotation des références nettoyé manuellement est gaspillé.Cet article ne prétend pas être une revue complète et exhaustive du système Mendeley et vise uniquement à attirer l'attention des parties intéressées sur l'utilisation de tels outils d'automatisation. L'auteur connaît personnellement de nombreux scientifiques éminents (y compris dans le domaine des sciences techniques) qui passent encore un temps précieux à dresser manuellement une liste de références.
Étape 1. Entrez votre mot de passe et connectez-vous au site en tant qu'utilisateur. Dans le coin supérieur droit, cela devrait ressembler à ceci :
N'entrez pas dans votre compte personnel !
Regardez la colonne la plus à gauche. Il commence par le titre : Sections du site, en dessous se trouve une colonne avec des inscriptions. Nous n'appuyons sur rien ici. Ci-dessous se trouve le titre Annonces, on passe aussi par là. Et enfin, en descendant, on voit l'inscription : Portails. On y va.
C’est ici que nous choisissons un sujet approprié pour notre futur article, c’est-à-dire la catégorie qui lui convient le mieux. Par exemple, j'ai sélectionné Accueil et cliqué sur ce lien. Voici ce qui est apparu par la suite.
Cela fait partie de la page, juste pour plus de clarté, il y a des liens ci-dessous. Nous déplaçons le curseur sur l'inscription Appareils électroménagers (par exemple), et appuyons sur le bouton droit de la souris. Voici ce que nous obtenons :
Cette liste s'ouvre en haut à gauche. Vous pouvez maintenant choisir le sujet le plus approprié. Mais si la liste des différents équipements ne vous convient pas, mieux vaut choisir Secrets des appareils électroménagers. Commentaires et cliquez sur ce lien. Et maintenant, nous obtenons enfin l'inscription rouge tant convoitée - le bouton : ajouter un avis !
Cliquez sur cette inscription et un formulaire spécial pour ajouter un article s'ouvre.
Le formulaire est très clair et facile à remplir, avec des astuces, tout est clair ici, vous pouvez le faire.
Il existe également un formulaire simple pour ajouter des articles, mais vous devez soit y accéder vous-même, soit lire l'indice. Dans votre espace personnel à gauche, cliquez sur Mes portails
Vous arrivez ici
Ici, vous recherchez déjà la section la plus appropriée et cliquez directement sur le lien souligné.
Un nouveau formulaire apparaît :
Cliquez sur Ajouter un objet et vous recevrez un formulaire pour ajouter une critique/un article
J'espère que mes informations vous ont été utiles. Bonne chance dans le domaine de la créativité et du profit !
Le moteur de recherche Google (www.google.com) propose de nombreuses options de recherche. Toutes ces fonctionnalités constituent un outil de recherche inestimable pour un utilisateur novice sur Internet et en même temps une arme d'invasion et de destruction encore plus puissante entre les mains de personnes mal intentionnées, notamment des pirates informatiques, mais également des criminels non informatiques et même des terroristes.
(9475 vues en 1 semaine)
Denis Barankov
denisNOSPAMixi.ru
Attention:Cet article n’est pas un guide d’action. Cet article a été écrit pour vous, administrateurs de serveurs WEB, afin que vous perdiez le faux sentiment d'être en sécurité, et que vous compreniez enfin le caractère insidieux de cette méthode d'obtention d'informations et que vous preniez la tâche de protéger votre site.
Introduction
Par exemple, j'ai trouvé 1670 pages en 0,14 seconde !
2. Entrons une autre ligne, par exemple :
inurl : "auth_user_file.txt"un peu moins, mais c'est déjà suffisant pour le téléchargement gratuit et la recherche de mots de passe (en utilisant le même John The Ripper). Ci-dessous, je donnerai un certain nombre d'autres exemples.
Vous devez donc comprendre que le moteur de recherche Google a visité la plupart des sites Internet et mis en cache les informations qu'ils contiennent. Ces informations mises en cache vous permettent d'obtenir des informations sur le site et le contenu du site sans vous connecter directement au site, uniquement en fouillant dans les informations stockées dans Google. De plus, si les informations présentes sur le site ne sont plus disponibles, alors les informations présentes dans le cache peuvent encore être conservées. Tout ce dont vous avez besoin pour cette méthode est de connaître quelques mots-clés Google. Cette technique s'appelle Google Hacking.
Les informations sur Google Hacking sont apparues pour la première fois sur la liste de diffusion Bugtruck il y a 3 ans. En 2001, ce sujet a été évoqué par un étudiant français. Voici un lien vers cette lettre http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. Il fournit les premiers exemples de telles requêtes :
1) Index de /admin
2) Index du /mot de passe
3) Index du /mail
4) Index des / +banques +filetype:xls (pour la france...)
5) Index de / + mot de passe
6) Index de / password.txt
Ce sujet a fait sensation dans la partie anglophone d'Internet assez récemment : d'après l'article de Johnny Long, publié le 7 mai 2004. Pour une étude plus complète sur Google Hacking, je vous conseille d’aller sur le site de cet auteur http://johnny.ihackstuff.com. Dans cet article, je veux juste vous mettre au courant.
Qui peut l'utiliser :
- Les journalistes, les espions et tous ceux qui aiment mettre le nez dans les affaires des autres peuvent l'utiliser pour rechercher des preuves incriminantes.
- Les pirates informatiques recherchent des cibles appropriées pour le piratage.
Comment fonctionne Google.
Pour poursuivre la conversation, permettez-moi de vous rappeler certains mots-clés utilisés dans les requêtes Google.
Rechercher en utilisant le signe +
Google exclut des recherches les mots qu’il considère comme sans importance. Par exemple, des mots interrogatifs, des prépositions et des articles en anglais : par exemple sont, de, où. En russe, Google semble considérer tous les mots comme importants. Si un mot est exclu de la recherche, Google l'écrit. Pour que Google commence à rechercher des pages contenant ces mots, vous devez ajouter un signe + sans espace avant le mot. Par exemple:
as + de base
Recherchez à l’aide du signe –
Si Google trouve un grand nombre de pages dont il doit exclure les pages traitant d'un certain sujet, vous pouvez alors forcer Google à rechercher uniquement les pages qui ne contiennent pas certains mots. Pour ce faire, vous devez indiquer ces mots en plaçant un signe devant chacun - sans espace avant le mot. Par exemple:
pêche - vodka
Rechercher en utilisant ~
Vous souhaiterez peut-être rechercher non seulement le mot spécifié, mais également ses synonymes. Pour ce faire, faites précéder le mot du symbole ~.
Trouver une expression exacte à l'aide de guillemets doubles
Google recherche sur chaque page toutes les occurrences des mots que vous avez écrits dans la chaîne de requête, et il ne se soucie pas de la position relative des mots, tant que tous les mots spécifiés sont sur la page en même temps (c'est-à-dire l'action par défaut). Pour trouver la phrase exacte, vous devez la mettre entre guillemets. Par exemple:
"serre-livre"
Afin d'avoir au moins un des mots spécifiés, vous devez spécifier explicitement l'opération logique : OU. Par exemple:
sécurité OU protection du livre
De plus, vous pouvez utiliser le signe * dans la barre de recherche pour indiquer n'importe quel mot et. pour représenter n'importe quel personnage.
Recherche de mots à l'aide d'opérateurs supplémentaires
Il existe des opérateurs de recherche qui sont spécifiés dans la chaîne de recherche au format :
opérateur :terme_recherche
Les espaces à côté des deux points ne sont pas nécessaires. Si vous insérez un espace après les deux points, vous verrez un message d'erreur et avant celui-ci, Google les utilisera comme chaîne de recherche normale.
Il existe des groupes d'opérateurs de recherche supplémentaires : langues - indiquez dans quelle langue vous souhaitez voir le résultat, date - limitez les résultats des trois, six ou 12 derniers mois, occurrences - indiquez où dans le document vous devez rechercher la ligne : partout, dans le titre, dans l'URL, les domaines - recherchez sur le site spécifié ou, au contraire, excluez-le de la recherche ; recherche sécurisée - bloque les sites contenant le type d'informations spécifié et les supprime des pages de résultats de recherche.
Cependant, certains opérateurs ne nécessitent pas de paramètre supplémentaire, par exemple la requête " cache : www.google.com" peut être appelé comme une chaîne de recherche à part entière, et certains mots-clés, au contraire, nécessitent un mot de recherche, par exemple " site : www.google.com aide". À la lumière de notre sujet, regardons les opérateurs suivants :
Opérateur |
Description |
Nécessite un paramètre supplémentaire ? |
rechercher uniquement sur le site spécifié dans search_term |
||
rechercher uniquement dans les documents de type search_term |
||
rechercher les pages contenant search_term dans le titre |
||
rechercher des pages contenant tous les mots search_term dans le titre |
||
rechercher les pages contenant le mot search_term dans leur adresse |
||
trouver des pages contenant tous les mots search_term dans leur adresse |
Opérateur site: limite la recherche uniquement au site spécifié et vous pouvez spécifier non seulement le nom de domaine, mais également l'adresse IP. Par exemple, saisissez :
Opérateur Type de fichier: Limite la recherche à un type de fichier spécifique. Par exemple:
À la date de publication de l'article, Google peut effectuer une recherche dans 13 formats de fichiers différents :
- Format de document portable Adobe (pdf)
- Adobe PostScript (ps)
- Lotus 1-2-3 (semaine 1, sem. 2, sem. 3, sem. 4, sem. 5, sem., sem., sem.)
- Lotus WordPro (lwp)
- MacWrite (mw)
- Microsoft Excel (xls)
- Microsoft PowerPoint (ppt)
- Microsoft Word (doc)
- Microsoft Works (semaines, wps, wdb)
- Microsoft Write (écriture)
- Format de texte enrichi (rtf)
- Flash d'onde de choc (swf)
- Texte (ans, txt)
Opérateur lien: affiche toutes les pages qui pointent vers la page spécifiée.
Il est probablement toujours intéressant de voir combien d'endroits sur Internet vous connaissent. Essayons:
Opérateur cache : Affiche la version du site dans le cache de Google telle qu'elle était la dernière fois que Google a visité cette page. Prenons n'importe quel site qui change fréquemment et regardons :
Opérateur titre : recherche le mot spécifié dans le titre de la page. Opérateur tout le titre : est une extension - elle recherche tous les quelques mots spécifiés dans le titre de la page. Comparer:
titre : vol vers Mars
intitle:vol intitle:on intitle:mars
allintitle:vol vers mars
Opérateur URL : oblige Google à afficher toutes les pages contenant la chaîne spécifiée dans l'URL. Opérateur allinurl : recherche tous les mots dans une URL. Par exemple:
allinurl:acide acid_stat_alerts.php
Cette commande est particulièrement utile pour ceux qui n'ont pas SNORT - au moins ils peuvent voir comment cela fonctionne sur un système réel.
Méthodes de piratage utilisant Google
Ainsi, nous avons découvert qu'en utilisant une combinaison des opérateurs et des mots-clés ci-dessus, n'importe qui peut collecter les informations nécessaires et rechercher des vulnérabilités. Ces techniques sont souvent appelées Google Hacking.
Plan du site
Vous pouvez utiliser l'opérateur site: pour lister tous les liens que Google a trouvés sur un site. En règle générale, les pages créées dynamiquement par des scripts ne sont pas indexées à l'aide de paramètres. Certains sites utilisent donc des filtres ISAPI afin que les liens ne soient pas sous la forme /article.asp?num=10&dst=5, et avec des barres obliques /article/abc/num/10/dst/5. Ceci est fait pour que le site soit généralement indexé par les moteurs de recherche.
Essayons:
site : www.whitehouse.gov maison blanche
Google pense que chaque page d'un site Web contient le mot Whitehouse. C'est ce que nous utilisons pour obtenir toutes les pages.
Il existe également une version simplifiée :
site :whitehouse.gov
Et le meilleur, c’est que les camarades de whitehouse.gov ne savaient même pas que nous avions examiné la structure de leur site et même regardé les pages en cache téléchargées par Google. Cela peut être utilisé pour étudier la structure des sites et visualiser le contenu, restant indétectable pour le moment.
Afficher une liste de fichiers dans les répertoires
Les serveurs WEB peuvent afficher des listes de répertoires de serveurs au lieu de pages HTML classiques. Ceci est généralement effectué pour garantir que les utilisateurs sélectionnent et téléchargent des fichiers spécifiques. Cependant, dans de nombreux cas, les administrateurs n'ont pas l'intention d'afficher le contenu d'un répertoire. Cela se produit en raison d'une configuration incorrecte du serveur ou de l'absence de la page principale dans l'annuaire. En conséquence, le pirate informatique a la possibilité de trouver quelque chose d'intéressant dans le répertoire et de l'utiliser à ses propres fins. Pour retrouver toutes ces pages, il suffit de constater qu'elles contiennent toutes les mots : index de. Mais comme l'index de mots ne contient pas que de telles pages, nous devons affiner la requête et prendre en compte les mots-clés sur la page elle-même, donc des requêtes telles que :
intitle:index.of répertoire parent
intitle:index.of taille du nom
Étant donné que la plupart des inscriptions dans les annuaires sont intentionnelles, vous pourriez avoir du mal à trouver des inscriptions égarées du premier coup. Mais au moins vous pouvez déjà utiliser des listings pour déterminer la version du serveur WEB, comme décrit ci-dessous.
Obtention de la version du serveur WEB.
Connaître la version du serveur WEB est toujours utile avant de lancer une quelconque attaque de hacker. Encore une fois, grâce à Google, vous pouvez obtenir ces informations sans vous connecter à un serveur. Si vous regardez attentivement le listing du répertoire, vous constatez que le nom du serveur WEB et sa version y sont affichés.
Apache1.3.29 - Serveur ProXad sur trf296.free.fr Port 80
Un administrateur expérimenté peut modifier ces informations, mais en règle générale, c'est vrai. Ainsi, pour obtenir ces informations il suffit d’envoyer une demande :
titre : index.du serveur.at
Pour obtenir des informations sur un serveur spécifique, nous clarifions la demande :
intitle:index.of server.at site:ibm.com
Ou vice versa, nous recherchons des serveurs exécutant une version spécifique du serveur :
intitle:index.of Apache/2.0.40 Serveur à
Cette technique peut être utilisée par un pirate informatique pour retrouver une victime. Si, par exemple, il dispose d'un exploit pour une certaine version du serveur WEB, alors il peut le trouver et essayer l'exploit existant.
Vous pouvez également obtenir la version du serveur en visualisant les pages installées par défaut lors de l'installation de la dernière version du serveur WEB. Par exemple, pour voir la page de test Apache 1.2.6, tapez simplement
intitle:Test.Page.for.Apache ça.a fonctionné !
De plus, certains systèmes d'exploitation installent et lancent immédiatement le serveur WEB lors de l'installation. Cependant, certains utilisateurs n’en sont même pas conscients. Naturellement, si vous constatez que quelqu'un n'a pas supprimé la page par défaut, il est alors logique de supposer que l'ordinateur n'a subi aucune personnalisation et qu'il est probablement vulnérable aux attaques.
Essayez de rechercher des pages IIS 5.0
allintitle:Bienvenue dans les services Internet Windows 2000
Dans le cas d'IIS, vous pouvez déterminer non seulement la version du serveur, mais également la version de Windows et le Service Pack.
Une autre façon de déterminer la version du serveur WEB consiste à rechercher des manuels (pages d'aide) et des exemples qui peuvent être installés par défaut sur le site. Les pirates ont trouvé de nombreuses façons d'utiliser ces composants pour obtenir un accès privilégié à un site. C'est pourquoi vous devez supprimer ces composants sur le site de production. Sans compter que la présence de ces composants peut fournir des informations sur le type de serveur et sa version. Par exemple, trouvons le manuel d'Apache :
inurl : modules de directives manuelles Apache
Utiliser Google comme scanner CGI.
Le scanner CGI ou scanner WEB est un utilitaire permettant de rechercher des scripts et des programmes vulnérables sur le serveur de la victime. Ces utilitaires doivent savoir quoi rechercher, pour cela ils disposent de toute une liste de fichiers vulnérables, par exemple :
/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi
/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi
Nous pouvons trouver chacun de ces fichiers en utilisant Google, en utilisant en plus les mots index of ou inurl avec le nom du fichier dans la barre de recherche : nous pouvons trouver des sites avec des scripts vulnérables, par exemple :
allinurl:/random_banner/index.cgi
En utilisant des connaissances supplémentaires, un pirate informatique peut exploiter la vulnérabilité d'un script et utiliser cette vulnérabilité pour forcer le script à émettre n'importe quel fichier stocké sur le serveur. Par exemple, un fichier de mots de passe.
Comment se protéger du piratage de Google.
1. Ne publiez pas de données importantes sur le serveur WEB.
Même si vous avez publié les données temporairement, vous risquez de les oublier ou quelqu'un aura le temps de retrouver et de récupérer ces données avant de les effacer. Ne fais pas ça. Il existe de nombreuses autres façons de transférer des données qui les protègent du vol.
2. Vérifiez votre site.
Utilisez les méthodes décrites pour rechercher votre site. Vérifiez régulièrement votre site pour connaître les nouvelles méthodes qui apparaissent sur le site http://johnny.ihackstuff.com. N'oubliez pas que si vous souhaitez automatiser vos actions, vous devez obtenir une autorisation spéciale de Google. Si vous lisez attentivement http://www.google.com/terms_of_service.html, alors vous verrez la phrase : Vous ne pouvez pas envoyer de requêtes automatisées de quelque sorte que ce soit au système de Google sans l'autorisation expresse préalable de Google.
3. Vous n’aurez peut-être pas besoin de Google pour indexer votre site ou une partie de celui-ci.
Google vous permet de supprimer un lien vers votre site ou une partie de celui-ci de sa base de données, ainsi que de supprimer des pages du cache. De plus, vous pouvez interdire la recherche d'images sur votre site, interdire l'affichage de courts fragments de pages dans les résultats de recherche. Toutes les possibilités de suppression d'un site sont décrites sur la page. http://www.google.com/remove.html. Pour ce faire, vous devez confirmer que vous êtes bien le propriétaire de ce site ou insérer des balises dans la page ou
4. Utilisez le fichier robots.txt
On sait que les moteurs de recherche examinent le fichier robots.txt situé à la racine du site et n'indexent pas les parties marquées du mot Refuser. Vous pouvez l'utiliser pour empêcher l'indexation d'une partie du site. Par exemple, pour empêcher l'indexation de l'intégralité du site, créez un fichier robots.txt contenant deux lignes :
Agent utilisateur: *
Interdire : /
Que se passe-t-il d'autre
Pour que la vie ne vous ressemble pas, je dirai enfin qu'il existe des sites qui surveillent les personnes qui, en utilisant les méthodes décrites ci-dessus, recherchent des failles dans les scripts et les serveurs WEB. Un exemple d'une telle page est
Application.
Un peu sucré. Essayez par vous-même certaines des solutions suivantes :
1. #mysql dump filetype:sql - recherche des dumps de base de données MySQL
2. Rapport récapitulatif des vulnérabilités de l'hôte : vous montrera les vulnérabilités trouvées par d'autres personnes.
3. phpMyAdmin exécuté sur inurl:main.php - cela forcera la fermeture du contrôle via le panneau phpmyadmin
4. pas pour distribution confidentielle
5. Demander des détails sur les variables du serveur Control Tree
6. Exécuter en mode Enfant
7. Ce rapport a été généré par WebLog
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs – peut-être que quelqu'un a besoin de fichiers de configuration du pare-feu ? :)
10. intitle:index.of finances.xls – hmm....
11. intitle : Index des discussions dbconvert.exe – journaux de discussion icq
12.intext : Analyse du trafic de Tobias Oetiker
13. intitle : Statistiques d'utilisation générées par Webalizer
14. intitle:statistiques des statistiques Web avancées
15. intitle:index.of ws_ftp.ini – configuration ftp ws
16. inurl:ipsec.secrets contient des secrets partagés - clé secrète - bonne trouvaille
17. inurl:main.php Bienvenue sur phpMyAdmin
18. inurl:server-info Informations sur le serveur Apache
19. site : notes d'administration edu
20. ORA-00921 : fin inattendue de la commande SQL – obtention des chemins
21. titre : index.de trillian.ini
22. intitle : Index de pwd.db
23.intitle:index.of people.lst
24. intitle:index.of master.passwd
25.inurl : liste de passe.txt
26. intitle : Index de .mysql_history
27. intitle:index de intext:globals.inc
28. intitle:index.of administrateurs.pwd
29. intitle:Index.of etc ombre
30.intitle:index.ofsecring.pgp
31. inurl:config.php nom de base de données passe de base de données
32. inurl: effectuer le type de fichier: ini
Centre de formation "Informzashita" http://www.itsecurity.ru - un centre spécialisé leader dans le domaine de la formation à la sécurité de l'information (Licence du Comité de l'éducation de Moscou n° 015470, accréditation d'État n° 004251). Le seul centre de formation autorisé pour les systèmes de sécurité Internet et Clearswift en Russie et dans les pays de la CEI. Centre de formation agréé Microsoft (spécialisation Sécurité). Les programmes de formation sont coordonnés avec la Commission technique d'État de Russie, le FSB (FAPSI). Certificats de formation et documents d'État sur la formation avancée.
SoftKey est un service unique destiné aux acheteurs, développeurs, revendeurs et partenaires affiliés. De plus, il s'agit de l'un des meilleurs magasins de logiciels en ligne en Russie, en Ukraine et au Kazakhstan, qui propose aux clients une large gamme, de nombreux modes de paiement, un traitement rapide (souvent instantané) des commandes, un suivi du processus de commande dans la section personnelle, diverses réductions de le magasin et les fabricants BY.
