Wenn man mit einer Google Query ein Passwort aufspürt sind diese häufig verschlüsselt oder irgendwie kodiert. Unglücklicherweise kann ein angehender Hacker Tools wie John the Ripper benutzen um doch noch an Passwörter zu gelangen, die für einen Angriff benutzt werden könnten. Beispielsweise liefert die Anfrage

ext:pwd inurl:_vti_pvt inurl:(Service | authors | administrators)

interessante Links zu MS Frontpage Dateien.

Exportierte Windows Registry Dateien enthalten ebenfalls verschlüsselte Passwortinformationen. Wenn ein Benutzer eine Windows Registry exportiert und Google diese Datei in seinen Index aufnimmt könnte die Google Query:

filetype:reg intext:”internet account manager”

unerwünschte Einblicke in die Passwort Daten und Userinformationen liefern.

Solche Sicherheitslücken sind jedoch sehr selten können aber für einen Hacker oft Grund genug sein, einen Webserver genauer unter die Lupe zu nehmen.

Leider liefert Google bei bestimmten Anfragen sogar Klartext Passwörter, so dass ein Hacker sich sogar den Einsatz von Cracking Tools spart. In diesen Extrem-Fällen besteht die einzige Herausforderung nur noch darin den Benutzernamen und den dazu passenden Host zu finden.

  • [filetype:ctl inurl:haccess.ctl] MS FrontPage äquivalent zur Apache htaccess
  • [filetype:url +inurl:”ftp://” +inurl:”@”] FTP Bookmarks mit Klartext Passwörtern
  • [filetype:mdb inurl:profiles] MS Access DB mit Benutzerdaten

Folgende Google Suchanfrage:

intext:(password | passcode | pass | passwort) intext:(username | userid | user | Benutzername | Login)


kombiniert gebräuchliche Formulierungen für Passwort und BenutzerID in eine Query.

Diese Anfrage liefert viele Ergebnisse, jedoch verweisen die meisten Resultate zu Seiten mit Informationen zum Thema “Vergessene Passwörter”. Wie immer ist effektives “Social Engineering” eine fantastische Möglichkeit um an “vergessene” Passwörter zu gelangen.

Wenn man als Webmaster mit dem Aufbau einer Site betraut ist, sollte man sich mit der Funktionsweise von Suchmaschinen Crawlern ein wenig beschäftigen und auf jeden Fall folgende Dinge beachten bevor man alles daran setzt gute Ergebnisse in den SERPS zu erreichen:

  • Verzeichnis Inhalte eines Webservers, Fehlermeldungen in Skripten und falsche Konfigurationen können zuviele Informationen aufdecken
  • Eine Robots.txt und Meta Tags helfen unerwünschten Searchengine Traffic zu vermeiden
  • Selbst einfachste Passwort Mechanismen verhindern die Aufnahme in einen Suchmaschinen-Index
  • Default Webseiten und Einstellungen sind Hinweise auf faule Admins und können eine Website zum Angriffsziel machen
  • Die Google Hacking Database enthält die neuesten Google Hacking Queries

Hier noch eine kleine Query für neugierige Webmaster, die wissen möchten wieviel Traffic der Mitbewerber auf seinem Webserver hat:
+intext:webalizer +intext: Total Usernames +intext: ”Usage Statistics for”