Diese Fehler sollten Sie vermeiden

Sicherheit der eigenen Webseite mit Google überprüfen

14.10.2021 von Peter Schnoor

Es ist erstaunlich, was man mit den Suchfunktionen von Google alles finden kann. Wir zeigen, wie Sie mit der Suchmaschine Ihre Webpräsenz sicherer machen können.

ca. 6:45 Min
Ratgeber
VG Wort Pixel
shutterstock_1339280189_Google_hack
Mit den richtigen Suchbefehlen können Sie auf Inhalte zugreifen, die Google Ihnen normalerweise nicht so einfach ausspielt. Nutzen Sie das für Ihre eigene Sicherheit.
© TY Lim / Shutterstock.com

Sie haben sich schon immer gefragt, wo Mail-Spammer alle diese persönlichen Daten finden? Die Antwort ist gar nicht schwer und liegt fast auf der Hand: über Google. Tatsächlich bietet die am meisten genutzte Suchmaschine einen schier unendlichen Vorrat an Daten aller Art, die eigentlich niemanden etwas angehen und geheim bleiben sollten; vorausgesetzt natürlich, man verwendet die richtige Fragesyntax.

Aber Vorsicht: Die in diesem Artikel vorgestellten Suchalgorithmen sollten Sie ausschließlich dazu einsetzen, um die Sicherheit ihrer eigenen Webpräsenz zu testen. Wenden Sie diese Methoden keinesfalls bei fremden Seiten an.

Die Traversal-Technik

Bei dieser Vorgehensweise handelt es sich um eine einfache, aber in vielen Fällen wirkungsvolle Suchmethode. Der Begriff Traversal kommt von „überqueren“, also sinngemäß die Grenzen des Webservers überqueren. Hierzu müssen Sie die Änderungen direkt in der Adresszeile Ihres Internetbrowsers vornehmen. Wenn Sie zum Beispiel eine Datei gefunden haben, die den Namen Seite1.html hat, gibt es wahrscheinlich auch eine Datei mit dem Namen Seite2.html. Oder bei Bild1 gibt es vielleicht auch ein Bild2. Probieren Sie diesen Trick einfach mal aus.

Wenn Sie damit nicht fündig werden, hilft ein wenig Fantasie weiter. Falls Sie es geschafft haben, auf ein Verzeichnis im Web zuzugreifen, haben Sie die Möglichkeit, in andere Verzeichnisse zu gelangen. In diesem Fall hilft die Angabe ../ weiter. Normalerweise können Sie zwar von außen nur auf Dateien zugreifen, die innerhalb des Webverzeichnisses (Webroot) und dessen Unterverzeichnisse liegen. Aber mit der Angabe ../ bewegen Sie sich im Verzeichnisbaum nach oben, also außerhalb des freigegebenen Webverzeichnisses.

Mit dem Schrägstich (/) gelangen Sie in das Wurzelverzeichnis, in dem Sie eigentlich gar nichts zu suchen haben. Aber in vielen Fällen funktioniert dieser Trick. Er könnte folgendermaßen aussehen:

Normale Website:
http://www.meinetestseite.de/anwendung/programm/index.html

"Hacking"-Versuch: http://www.meinetestseite.de/anwendung/programm/../daten/benutzer.dat

Wenn die gesuchte Datei in dem Verzeichnis nicht existiert, reagieren einige, schlecht konfigurierte Webserver auf solche Anfragen sehr zuvorkommend; beispielsweise mit einer Fehlermeldung wie „Warnung: Die Datei anwendung/programm/daten/benutzer. dat konnte nicht gelesen werden!“. Bingo! Jetzt wissen Sie ganz genau, welches Verzeichnis es auf dem Server noch gibt. Solche zuvorkommenden Fehlermeldungen machen es dem Google-Hacker natürlich leicht.

Google-Suchbefehle
Eine Übersicht der wichtigsten Suchbefehle. Aber nicht alle Befehle führen unmittelbar zum Erfolg; etwas Experimentieren gehört dazu.
© WEKA media publishing GmbH

Versteckte Dokumente mit speziellen Suchbegriffen finden

Haben Sie es auf Office-Dokumente abgesehen? Diese können hoch interessante Daten enthalten. Die wichtigsten Dateiendungen sind doc und docx für Worddokumente, xls und xlsx für Excel-Arbeitsmappen und pdf für das Adobe-Portable-Document-Format. Aber auch Lotusdateien können brisante Daten enthalten (wk1, wk2, wk3, wk4, wk5, wki, wks, wku). Eine Abfrage nach dem Dateityp ohne eine Erweiterung ist in den meisten Fällen nicht besonders effektiv, da diese zu viele Ergebnisse liefert. Mit der richtigen Erweiterung allerdings befördern Sie geheime Dokumente ans Tageslicht.

Das Zauberwort zum Finden von Office-Dateien ist der Suchbegriff filetype. Im einfachsten Fall hier ein Beispiel für die Suche nach einem Word- Dokument: filetype:doc Das Ergebnis bringt eventuell die Infomation, dass nichts gefunden wurde. Dann erweitern Sie die Suchanfrage; das geht nach Belieben. Die Suchanfrage: filetype:doc username password geheim findet Worddateien, welche Passwörter enthalten.

filetype:xls private dient als Basisabfrage für private Daten in Excel-Arbeitsmappen. inurl:email filetype:xls findet E-Mail-Adressen in Excel-Dateien. Sie fragen mehrere Dateitypen mit einer ODER-Verknüpfung ab. Das geht sehr gut mit einer URL-Abfrage. URL steht für „Uniform Resource Locator“. Damit ist die Adresse im Internet gemeint. Wenn in einer solchen Adresse Angaben wie etwa xls, doc oder pdf stehen, wird es interessant. Damit Sie nicht alle Dateiendungen manuell eingeben müssen, lohnt sich der Einsatz einer ODER-Abfrage: inurl:xls OR inurl:doc Or inurl:pdf Bei zahlreichen Dateitypen können Sie sich die Seiten auf die Schnelle als HTML darstellen lassen, ohne Dateien explizit downzuloaden.

Wenn Sie allerdings eine Datei auf Ihrem Computer speichern, lassen sich mit etwas Glück in den Dateieigenschaften weitere wichtige Informationen finden. Für den Hacker sind diese Daten ein gefundenes Fressen. Es ist schon erstaunlich, wie leichtsinnig einige Webseitenbetreiber mit solchen sensiblen Daten umgehen. Machen Sie es darum besser. Dateien mit Passwörtern und E-Mail-Adressen haben im Web nichts zu suchen.

Telefonnummern suchen

Die Suche nach Telefonnummern ist etwas schwieriger, da diese an kein festes Format gebunden sind. Wenn Sie zum Beispiel einen Telefonanruf bekommen, können Sie anhand der Vorwahl feststellen, woher der Anruf kam. Das funktioniert auch mit internationalen Vorwahlen. Einfach die Nummer eintippen und sich die Ergebnisse ansehen.

Vielleicht haben Sie auch Glück, anhand der Telefonnummer den Namen und die Adresse des Anrufers zu ermitteln. Sie können auch nach den wesentlichen Abschnitten einer Telefonnummer suchen. Unter Umständen finden Sie dann aber ein Ergebnis aus einem ganz anderen Land. Eine besondere Suchtechnik besteht durch die Eingabe von Nummernblöcken. Dabei wird der komplette Nummernblock von einer Anfangsnummer bis zu einer Endnummer durchsucht. Dazu nutzt man den Numrange-Operator. Dieser besteht aus zwei Punkten.

Beispiel: 12345..12349 durchsucht den angegebenen Nummernbereich. Eine weitere Möglichkeit besteht im Einsatz der Syntax Phonebook. Möchten Sie beispielsweise wissen, ob Sie Namensvettern in New York haben?
Dann hilft Ihnen diese Syntax weiter: phonebook:IhrName ny
Am praktischen Beispiel in Kiel: phonebook:"Peter Schnoor" kiel

Telefonnumer-und-E-Mail-suchen
E-Mail-Adressen lassen sich im Netz zumeist sehr einfach finden.
© Google/Sceenshot: WEKA media publishing GmbH

Suche nach E-Mail-Adressen

Bei der Suche nach einer bestimmten E-Mail-Adresse kann Ihnen Google wertvolle Dienste leisten.

Im einfachsten Fall geben Sie in Hochkommas das @-Zeichen gefolgt vom gesuchten Firmennamen ein. Mit etwas Glück werden Sie zu Seiten gelangen, auf denen die E-Mail-Adressen dieser Firma vermerkt sind. Beispiel: "@firmenname.de"

  • Wenn Sie die Adresse bereits genau wissen, können Sie auch direkt die komplette E-Mail-Adresse eingeben. In vielen Fällen erhalten Sie dann nicht nur diese Mail-Adresse zurück, sondern auch Telefonnummern und die Postadresse. Erfahrene Webseitenbetreiber versuchen allerdings, die E-Mail-Adressen zu tarnen. Der Grund liegt darin, dass Sammler von Adressen (beispielsweise für Spam) das Internet nach gültigen Adressen durchsuchen. Diese Tatsache macht das Suchen schwieriger.
  • Werden Sie bei der normalen Methode nicht fündig werden, versuchen Sie ähnliche Schreibweisen, zum Beispiel "mein.name at firmenname.de" "mein.name at firmenname dot de"

Ungeschützte Verzeichnisse finden und auslesen

Es ist zwar kaum zu fassen, aber wahr: Viele Websites werden nicht nur als Webseiten angezeigt, sondern auch als Verzeichnisse. Das sieht dann so aus, als wenn Sie in Ihre Dateiordner auf dem heimischen Rechner schauen. Das liegt an einer fehlerhaften Konfiguration des Webservers. Testen Sie Ihre Websites unbedingt auf diese Fehler. In den unfreiwillig zur Verfügung gestellten Verzeichnissen lässt sich trefflich stöbern.

Wenn zum Beispiel die Startseite index.htm, index.html oder dafaul.asp fehlt oder fehlerhaft ist, wird nicht die Startseite angezeigt, sondern ein Verzeichnis. Das hat für den Google-Hacker viele Vorteile, denn auf diesen Seiten können problemlos Verzeichnisse geöffnet und sogar Dateien heruntergeladen werden. Aber nur weil es technisch möglich ist, ist das noch lange nicht erlaubt. Denken Sie also an das Verbot, falls Sie über solche Verzeichnisse stolpern sollten.

Am Ende eines solchen Verzeichnisses findet man verschiedene Informationen über den Webserver einschließlich der eingesetzten Version. Dadurch bietet diese Seite ein einfaches Angriffsziel für gefährliche Hacker. Diese müssen lediglich über bekannte Sicherheitslücken des Webservers Nachforschungen anstellen, und schon steht einem böswilligen Angriff nichts mehr im Wege.

Wiegen Sie sich nicht in Sicherheit und glauben Sie, dass es Webserver ohne Sicherheitslücken gibt. Vielleicht ist zurzeit keine Sicherheitslücke bekannt, aber das ist nur eine Frage der Zeit. Testen Sie darum lieber sicherheitshalber, ob Ihr Webauftritt auf diese Art und Weise verwundbar ist. Die meisten Verzeichnislisten fangen mit dem Titel Index of an. Und schon haben Sie den passenden Google-Hack! Mit dem Suchbefehl intitle:index.of sind Sie auf dem richtigen Weg.

Index-Google-Suche
Meistens soll das Verzeichnis einer Website nicht angezeigt werden; durch fehlerhafte Konfiguration ist ein Verzeichniszugriff aber möglich.
© Google/Sceenshot: WEKA media publishing GmbH

Der Punkt zwischen Index und of steht dabei für ein beliebiges Zeichen und erspart Ihnen die Eingabe von Phrasen in Anführungszeichen. Beachten Sie, dass nach intitle und dem Doppelpunkt kein Leerzeichen vorkommen darf. Sehr wahrscheinlich spürt diese Suche auch Seiten auf, die aus anderen Gründen den Begriff Index of im Titel haben. Daher sollten Sie die Abfrage auf alle Fälle spezifizieren.

Da es bei dem Ergebnis um einen Verzeichnisbaum geht, kommt auf der Seite mit hoher Wahrscheinlichkeit der Eintrag parent directory vor.
Und schon wird das Ergebnis viel sauberer:
intitle:index.of "parent directory"
Weitere Begriffe in Verzeichnislisten, die häufig vorkommen, sind die Ordnernamen und die Größen. Erweitern Sie den Google Hack noch einmal, kommen Sie zu sehr guten Ergebnissen.
intitle:index.of name size Sie haben auch die Möglichkeit, nach bestimmten Dateien und Dateitypen in den Verzeichnissen zu suchen.

Um zum Beispiel nach einer Exceldatei in Verzeichnissen zu suchen, tippen Sie folgenden Suchbefehl ein:
intitle:index.of "parent directory" xls
Oder zur Suche nach MP3-Dateien diesen Befehl:
intitle:index.of "parent directory" mp3
Auch eine Suche nach Bildern fördert einiges ans Tageslicht:
intitle:index.of "parent directory" pic

Google Maps Zeitachse zeigt vergangene Orte auch nach Art (zum Beispiel

Erinnerungen auffrischen und mehr

Google Maps Zeitachse: Timeline aktivieren und deaktivieren

Wir zeigen, wie Sie die Google-Zeitachse nutzen. Mit unseren Tipps können Sie das Timeline-Feature aktivieren, sinnvoll anwenden und auch…

Fazit

Es ist immer wieder erstaunlich, wie fahrlässig Webseitenbetreiber mit ihren Daten umgehen und welche Informationen mit Google auffindbar sind. Eine Vielzahl davon ist nicht für die Öffentlichkeit bestimmt. Aber durch eine falsche Konfiguration und den sorglosen Umgang mit Daten ist das leider so.

Machen Sie es klüger, und spielen Sie deshalb keine personenbezogenen Informationen ins Netz; Outlook-Dateien beispielsweise haben im Internet nichts zu suchen. Trotzdem findet man immer wieder einmal Outlook-Dateien. Testen Sie daher unbedingt Ihre eigene Webseite auf solche Fehler, und konfigurieren Sie sie gegebenenfalls neu.

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

Das Browser-Tracking ist dank Cookies möglich - auch beim Inkognito-Modus.

Chrome, Firefox & Opera

Nutzer können trotz privatem Modus nachverfolgt werden

Auch wenn User im Internet per Inkognito-Modus unterwegs sind und keine Cookies speichern, können Nutzer nachverfolgt werden.

Angriff via Chrome-Addon

Webpage Screenshot löschen

Chrome-Erweiterung spioniert Nutzer aus

Wer die Chrome-Erweiterung Webpage Screenshot nutzt, sollte das Addon sofort löschen. Das Tool zum Abfotografieren von Webseiten spioniert Nutzer aus.

Google Chrome - Update auf Version 50

Update für Google Browser

Chrome 50 Download ist da, ohne Support für Windows XP &…

Google stellt Chrome in Version 50 zum Download bereit. Für Nutzer von Windows XP und Vista gibt es kein Update mehr.

Google Chrome Tuning Tipps

Internet-Browser

Chrome 59 Update: Automatische Umstellung auf 64-Bit-Version

Das Update von Google Chrome 59 kann den Browser automatisch auf die 64-Bit-Version umstellen. Google liefert Argumente für diese Entscheidung.

Google Password Checkup für Chrome

Wurde ich gehackt?

Password Checkup: Chrome-Erweiterung warnt vor Gefahren…

Die Chrome-Erweiterung Password Checkup steht ab sofort als Download bereit. Eingegebene Zugänge untersucht das Tool auf Gefahren durch bisherige…