Tym razem postaram się wam powiedzieć, czym nie powinno być wariatów. Ponieważ często musisz pracować z klientami, których dupy wyglądają na kompletnie szalone. A po krótkiej rozmowie okazuje się, że oni też zapłacili za te durnie. Wściekły w ogóle) Ja sam, z własnej głupoty, kupiłem Dorks, zarówno za 300 rubli, jak i za 20 rubli. Ale nie spotkałem jeszcze kompetentnej osoby, która zrobi kije, które będą dobre, a wyszukiwarka wyda od nich to, czego potrzebuję. Nie próbując nikogo urazić, a potem tylko osobistą opinię. Po pierwsze, przed zakupem zawsze poproś o sprawdzenie 10-15 dróg, po prostu oceń je wizualnie. Mam nadzieję, że po tym przewodniku będziesz w stanie zidentyfikować mniej lub bardziej zaostrzone dorks na swoją prośbę od tych, których nawet nie można nazwać publicznymi. Iść! Łatwiej jest mi pracować z przykładami, więc postaram się naszkicować listę dróg „gry”, które czasami się pojawiają, i powiem, czego szukać:
Kod: error.php?gta_5= ramka

Parsowanie dork na części: error.php - tutaj zakłada się, że to słowo powinno być obecne w linku. W rzeczywistości jest trochę inaczej. Aby słowo było obecne w linku, musi być zastosowane do operatora inurl: lub allinurl:

Załóżmy, że natrafiamy na linki z tym słowem. Ale to właśnie ta część (sądząc po dork) powinna odnosić się do tytułu strony. Nie wiem, jaki koder zrobiłby stronę error.php na swojej stronie z grami. Na pewno będzie. Ale będzie to bardzo mały procent.

Jak dla mnie strona powinna mieć mniej więcej popularną nazwę używaną przez programistów php. Jeszcze kilka stron, które nie są pożądane w dorkach (często sprzedawcy dorków używają przypadkowych słów): Kod: gta5.php - nikt nie wywoła strony farcry_primal.php farcry_primal.cfm - rozszerzenie .cfm jest używane w ASP.NET, tak , na nim piszą, ale nie tak często jak w php. I trafić na stronę o tej nazwie to wielki sukces kramble.php how_to_work.php złapać "in.php - znaki specjalne nie powinny znajdować się w nazwie strony jzooo.php - ogólnie zrozum co to do diabła to strona game_of_trone .php - rzadka strona, + nie dotyczy gier, ale najprawdopodobniej do tytułu filmu mam nadzieję, że rozumiesz przybliżoną logikę.

Strona powinna mieć logiczny tytuł, to jest najważniejsze. Tak naprawdę nie ma znaczenia, czy tytuł ma coś związanego z tematem gier, czy nie. Które strony są używane głównie przez programistów i ogólnie te bardziej popularne, które mogą być używane w dorks:

Index.php
prywatny.php
pm.php
użytkownik.php
członkowie.php
obszar.php
config.php
search.php
przekierowanie.php
r.php (to samo przekierowanie)
s.php (to samo wyszukiwanie)
poczta.php forum.php
post.php konto.php
exit.php
zapytanie.php
q.php (to samo zapytanie) itp.

Mniej więcej tak.

Nazwa strony w dork (jeśli istnieje) powinna być jednosylabowa, wygodna w użyciu w witrynie i mieć jakiś logiczny skojarzenie. Nie jest przerażające, że nie mamy tutaj nazw takich jak steam.php lub steam_keys.php lub roulette.php, ważne jest, abyśmy znaleźli więcej linków. A im częściej słowo zapytania jest używane na stronach internetowych, tym lepiej. Mniej lub bardziej potrzebne nam na ten temat dobierzemy z pomocą reszty dork. Wymyśliliśmy nazwy stron, ale nie to jest najważniejsze.

Przejdźmy do drugiej części.

Spełnij tę prośbę GET: ?gta_5 - Muszę od razu powiedzieć, że takich próśb nie ma. (Przypominam, że to moja osobista opinia) Żądanie GET, najlepiej, którego potrzebujemy, powinno uzyskać dostęp do bazy danych, aw przypadku wstrzyknięcia SQL spowodować błąd wyjścia z bazy danych. To jest to, czego potrzebujemy. Jednak znalezienie żądania, które nazwałoby się gta_5 - znowu wielkie szczęście. A jeśli go znajdziemy, musimy go narazić. To znowu odrzuca większość interesujących nas linków. Jeszcze kilka przykładów złych, a nie dobrych próśb:

Rowek=
?paypal=
?qiwi_wallet=
?moje_pieniądze=
?dai_webmoney=
?skdoooze=
?sadlkjadlkjswq=
?213123=
?777=

Dlaczego paypal to zła prośba? Ponieważ zakłada się, że za pomocą tego żądania chcemy uzyskać dostęp do bazy danych z wyborem paypal. Nikt nie prowadzi bazy danych paypal, może z wyjątkiem samej firmy. Znowu oszukuję.

Przykłady dobrych zapytań, dobrych, których każdy lubi używać, ponieważ są krótkie, wygodne, łatwe do zapamiętania i mają przynajmniej pewną logikę:
?id=
?kot=
?id_kota=
?get=
?post=
?ramka=
?r=
?redirect= (masz pomysł)
?baner=
?go=
?pozostaw=
?logowanie=
?pass=
?hasło=
?nazwa użytkownika=
?użytkownik=
?szukaj=
?s=
?portfel=
?acc=
?Saldo=
?do=
?strona=
?id_strony=
?temat=
?forum=
?wątek=
?pobierz=
?darmowy=
?wiadomość=
Oczywiście możesz kontynuować w nieskończoność.
Ale są to uniwersalne prośby, które idealnie pasują do mieszanek, gier, gotówki i wszelkich innych. Natkniemy się na fora, strony z torrentami i wszystko inne. Na przykład kilka zapytań, które mogą się przydać, powiedzmy dla zapytań do gier:
?gra=
?id_gry=
?bitwa=
?log=
?zespół=
?broń=
?inv= (inwentarz)
?dane gry=
?gracz=
?gracze=
?play= (w witrynach z klipami wideo)
?playtag=
?dopasuj=

W przybliżeniu ta sama logika zapytań powinna być stosowana do innych tematów, najlepiej. Przynajmniej musisz trochę zrozumieć angielski i zdać sobie sprawę, jakie kupujesz. Ogólnie wystarczy spojrzeć na 10-20 dróg i od razu stanie się jasne, jaki rodzaj mega prywatnej kupiłeś i czy warto skontaktować się z tym sprzedawcą w przyszłości. Lub ogólnie, aby dokonać zwrotu pieniędzy przez czarny, jeśli zauważysz, że twoje dupki zawierają sex.php? lub? Ręce pod pociąg do takich postaci

I tak w końcu najważniejsza część dork (która czasami jest całkowicie nieobecna). Jeśli właśnie rozważyliśmy nazwę żądania GET (nie samą prośbę), teraz przechodzimy do żądania, które może nam pomóc znaleźć dokładnie to, czego potrzebujemy. Z naszego testowego dork, to jest część - rama

Nie powiem, że to zła prośba, ale biorąc pod uwagę, że szukamy witryn z grami, skuteczność takiej prośby wynosi około 15-20%. W przypadku kombinacji dróg lub po prostu liczby linków (tylko po to, aby coś scalić), to wystarczy. Nazwa prośby może zawierać, jak słusznie mówi wiele samouczków i podręczników, dowolne słowa związane z naszym tematem. Nie będziemy odbiegać od próśb o gry, więc podam przykład dobrych, odpowiednich próśb o gry:
gra
hazard
do potęgi
gracz
poziom
gracze
dota
kontratak
AWP | Aziimow
M19
NAVI
Graj za darmo
darmowe gry
Ściągnij grę
forum gry
o grze
gra zrzutu ekranu
przewodnik po grze

Powinno być jasne, jaki jest temat Twoich dróg. Jeśli masz coś takiego w zakupionych dorksach (a my kupiliśmy gry dorks): Kod: oglądaj tekst wolności dsadaswe 213123321 ledy gaga pieprzyć amerykę bla bla dziewczyna cycki darmowe XXX porno futurama s01e13 Znowu możesz wysłać nafik sprzedawcy i wyrzuć swoje dupki. Nie widzisz stron z grami :) Jeszcze jedno, przy tych żądaniach możesz użyć operatorów - intitle: , allintitle: , intext: , allintext: Gdzie po dwukropku będzie sam request z listy a trochę wyżej (intitle: gra, allintext: graj za darmo )

Wydaje się, że to wszystko, co chciałem przekazać. Zasadniczo mam nadzieję, że artykuł przyda się przynajmniej jakoś początkującym (przydałby się dla mnie i pomógłby zaoszczędzić kilkaset rubli, a pomóż wprowadzić nieuczciwi sprzedawcy dorokiem). Cóż, jeśli mniej więcej rozumiałeś, jak samemu robić dorky, będę tylko szczęśliwy. Trenuj, wypełniaj oko/rękę, w dorkach nie ma nic szczególnie skomplikowanego. I na koniec nie wiem jak w wywrotce, ale a-parser spokojnie je i szuka wielu linków z prośbami w języku rosyjskim. Dlaczego nie, pomyślałem. Testowany efekt mnie zadowolił. Możesz się śmiać))

Frame.php?name= darmowe gry
get.php?query=pobierz cs
search.php?ok= serwery gier

Hakowanie z Google

Aleksander Antipow

Wyszukiwarka Google (www.google.com) udostępnia wiele opcji wyszukiwania. Wszystkie te cechy są nieocenionym narzędziem wyszukiwania dla pierwszego użytkownika Internetu, a jednocześnie jeszcze potężniejszą bronią inwazji i zniszczenia w rękach ludzi o złych zamiarach, w tym nie tylko hakerów, ale także przestępców niekomputerowych a nawet terroryści.
(9475 wyświetleń w 1 tydzień)


Denis Batrankow
denisNOSPAMixi.ru

Uwaga:Ten artykuł nie jest przewodnikiem po działaniu. Ten artykuł jest napisany dla Was, administratorów serwerów WWW, abyście stracili fałszywe poczucie, że jesteście bezpieczni, a w końcu zrozumiecie podstępność tej metody pozyskiwania informacji i przystąpicie do ochrony swojej strony.

Wstęp

Na przykład znalazłem 1670 stron w 0,14 sekundy!

2. Wpiszmy kolejną linię, na przykład:

inurl:"auth_user_file.txt"

trochę mniej, ale to już wystarczy do darmowego pobrania i odgadywania haseł (za pomocą tego samego Johna The Rippera). Poniżej podam więcej przykładów.

Musisz więc zdać sobie sprawę, że wyszukiwarka Google odwiedziła większość stron internetowych i buforowała informacje na nich zawarte. Te informacje w pamięci podręcznej umożliwiają uzyskanie informacji o witrynie i zawartości witryny bez bezpośredniego połączenia z witryną, po prostu zagłębiając się w informacje przechowywane wewnętrznie przez Google. Co więcej, jeśli informacje na stronie nie są już dostępne, informacje w pamięci podręcznej mogą nadal zostać zachowane. Wszystko, czego potrzebujesz do tej metody, to znajomość kilku słów kluczowych Google. Ta technika nazywa się Google Hacking.

Po raz pierwszy informacje o Google Hackingu pojawiły się na liście mailingowej Bugtruck 3 lata temu. W 2001 roku temat ten został podniesiony przez francuskiego studenta. Oto link do tego listu http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html . Podaje pierwsze przykłady takich próśb:

1) Indeks /admin
2) Indeks /hasło
3) Indeks /poczta
4) Indeks / +banques +filetype:xls (dla francji...)
5) Indeks / + passwd
6) Indeks/hasło.txt

Ten temat zrobił ostatnio spore zamieszanie w anglojęzycznej części Internetu: po artykule Johnny'ego Longa opublikowanym 7 maja 2004 r. Aby uzyskać pełniejsze studium hakowania Google, radzę przejść na stronę tego autora http://johnny.ihackstuff.com. W tym artykule chcę Cię tylko przedstawić na bieżąco.

Kto może z niego korzystać:
- Dziennikarze, szpiedzy i wszyscy ci, którzy lubią wsadzać nos w sprawy innych ludzi, mogą wykorzystać to do poszukiwania kompromitujących dowodów.
- Hakerzy szukający odpowiednich celów do hakowania.

Jak działa Google.

Aby kontynuować rozmowę, przypomnę kilka słów kluczowych używanych w zapytaniach Google.

Szukaj za pomocą znaku +

Google wyklucza z wyszukiwania nieistotne, jego zdaniem, słowa. Na przykład słowa pytające, przyimki i przedimki w język angielski: na przykład są, z, gdzie. W języku rosyjskim Google wydaje się uważać wszystkie słowa za ważne. Jeśli słowo jest wykluczone z wyszukiwania, Google pisze o tym. Aby Google mogło rozpocząć wyszukiwanie stron zawierających te słowa, musisz dodać przed nimi znak + bez spacji przed słowem. Na przykład:

as + bazy

Szukaj według znaku -

Jeśli Google znajdzie dużą liczbę stron, z których konieczne jest wykluczenie stron o określonych tematach, możesz zmusić Google do wyszukiwania tylko stron, które nie zawierają określonych słów. Aby to zrobić, musisz wskazać te słowa, umieszczając przed każdym znakiem - bez spacji przed słowem. Na przykład:

wędkarstwo - wódka

Szukaj za pomocą znaku ~

Możesz chcieć wyszukać nie tylko podane słowo, ale także jego synonimy. Aby to zrobić, poprzedź słowo symbolem ~.

Znalezienie dokładnej frazy za pomocą podwójnych cudzysłowów

Google wyszukuje na każdej stronie wszystkie wystąpienia słów, które napisałeś w ciągu zapytania i nie dba o względną pozycję słów, najważniejsze jest to, że wszystkie określone słowa znajdują się na stronie w tym samym czasie ( jest to akcja domyślna). Aby znaleźć dokładną frazę, musisz umieścić ją w cudzysłowie. Na przykład:

"podpórka do książki"

Aby mieć co najmniej jedno z podanych słów, musisz podać operacja logiczna wyraźnie: LUB. Na przykład:

bezpieczeństwo książki LUB ochrona

Ponadto możesz użyć znaku * w ciągu wyszukiwania, aby oznaczyć dowolne słowo i. do reprezentowania dowolnej postaci.

Znajdowanie słów z dodatkowymi operatorami

Istnieją operatory wyszukiwania określone w ciągu wyszukiwania w formacie:

operator:wyszukiwane_hasło

Spacje obok dwukropka nie są potrzebne. Jeśli wstawisz spację po dwukropku, zobaczysz komunikat o błędzie, a przed nim Google użyje ich jako zwykły ciąg Do wyszukiwania.
Istnieją grupy dodatkowych operatorów wyszukiwania: języki – wskaż w jakim języku chcesz zobaczyć wynik, data – ogranicz wyniki z ostatnich trzech, sześciu lub 12 miesięcy, wystąpienia – wskaż, gdzie w dokumencie należy szukać ciąg: wszędzie, w tytule, w adresie URL, domeny - przeszukaj określoną witrynę lub odwrotnie wyklucz ją z wyszukiwania, bezpieczne wyszukiwanie - blokuj witryny zawierające określony typ informacji i usuwaj je ze stron wyników wyszukiwania.
Jednak niektóre operatory nie potrzebują dodatkowego parametru, na przykład zapytanie „ pamięć podręczna:www.google.com" może być wywołany jako pełny ciąg wyszukiwania, a niektóre słowa kluczowe, wręcz przeciwnie, wymagają słowa wyszukiwania, na przykład " site:www.google.com pomoc„. W świetle naszego tematu spójrzmy na następujące operatory:

Operator

Opis

Wymaga dodatkowego parametru?

szukaj tylko w witrynie określonej w search_term

szukaj tylko w dokumentach z typem search_term

znajdź strony zawierające search_term w tytule

znajdź strony zawierające wszystkie słowa search_term w tytule

znajdź strony zawierające słowo search_term w swoim adresie

znajdź strony zawierające wszystkie słowa search_term w ich adresie

Operator strona: ogranicza wyszukiwanie tylko do określonej witryny, a możesz określić nie tylko Nazwa domeny ale także adres IP. Na przykład wpisz:

Operator Typ pliku: ogranicza wyszukiwania do plików określonego typu. Na przykład:

Od daty publikacji artykułu Google może wyszukiwać w ciągu 13 różne formaty akta:

  • Przenośny format dokumentów Adobe (pdf)
  • Adobe PostScript (ps)
  • Lotus 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
  • Lotus Word Pro (lwp)
  • MacZapis (mw)
  • Microsoft Excel (xls)
  • Microsoft PowerPoint (ppt)
  • Microsoft Word(dokument)
  • Microsoft Works (wks, wps, wdb)
  • Microsoft Write (wri)
  • Sformatowany format tekstu (rtf)
  • Shockwave Flash(swf)
  • Tekst (ods, txt)

Operator połączyć: pokazuje wszystkie strony, które wskazują na określoną stronę.
Zawsze musi być ciekawie zobaczyć, ile miejsc w Internecie wie o tobie. Próbujemy:

Operator Pamięć podręczna: pokazuje wersję witryny z pamięci podręcznej Google, tak jak wyglądała podczas ostatniej wizyty Google na stronie. Bierzemy każdą często zmieniającą się stronę i patrzymy:

Operator tytuł: wyszukuje określone słowo w tytule strony. Operator allintitle: jest rozszerzeniem - szuka wszystkich podanych kilku słów w tytule strony. Porównywać:

intitle:lot na Marsa
intitle: lot intitle: on intitle: mars
allintitle: lot na Marsa

Operator adres: powoduje, że Google wyświetla wszystkie strony zawierające określony ciąg w adresie URL. allinurl: wyszukuje wszystkie słowa w adresie URL. Na przykład:

allinurl:acid_stat_alerts.php

To polecenie jest szczególnie przydatne dla tych, którzy nie mają SNORT - przynajmniej mogą zobaczyć, jak działa na prawdziwym systemie.

Metody hakerskie Google

Odkryliśmy więc, że używając kombinacji powyższych operatorów i słów kluczowych, każdy może zacząć zbierać niezbędne informacje i szukanie luk w zabezpieczeniach. Techniki te są często określane jako Google Hacking.

mapa strony

Możesz użyć witryny: oświadczenie, aby zobaczyć wszystkie linki, które Google znalazł na stronie. Zazwyczaj strony tworzone dynamicznie przez skrypty nie są indeksowane przy użyciu parametrów, więc niektóre witryny używają filtrów ISAPI, aby linki nie były w formularzu /article.asp?num=10&dst=5, ale z ukośnikami /artykuł/abc/liczba/10/dst/5. Ma to na celu zapewnienie, że witryna jest ogólnie indeksowana przez wyszukiwarki.

Spróbujmy:

site:www.whitehouse.gov whitehouse

Google uważa, że ​​każda strona w witrynie zawiera słowo whitehouse. To jest to, czego używamy, aby uzyskać wszystkie strony.
Dostępna jest również wersja uproszczona:

strona:whitehouse.gov

A najlepsze jest to, że towarzysze z whitehouse.gov nawet nie wiedzieli, że przyjrzeliśmy się strukturze ich witryny, a nawet zajrzeliśmy do stron z pamięci podręcznej, które Google pobrał dla siebie. Można to wykorzystać do badania struktury witryn i przeglądania treści bez zauważenia na razie.

Wyświetlanie plików w katalogach

Serwery WEB mogą wyświetlać wykazy katalogów serwerów zamiast zwykły HTML stron. Zwykle ma to na celu zmuszenie użytkowników do wybrania i pobrania określonych plików. Jednak w wielu przypadkach administratorzy nie mają zamiaru pokazywać zawartości katalogu. Jest to spowodowane błędną konfiguracją serwera lub brakiem strony wzorcowej w katalogu. Dzięki temu haker ma szansę znaleźć w katalogu coś interesującego i wykorzystać to do własnych celów. Aby znaleźć wszystkie takie strony, wystarczy zauważyć, że wszystkie zawierają w tytule słowa: index of. Ale skoro indeks słów zawiera nie tylko takie strony, musimy doprecyzować zapytanie i uwzględnić słowa kluczowe na samej stronie, a więc zapytania typu:

intitle:index.of macierzystego katalogu
intitle:index.of name size

Ponieważ większość wykazów katalogów jest celowa, możesz mieć trudności ze znalezieniem zagubionych wykazów za pierwszym razem. Ale przynajmniej możesz już używać aukcji do definiowania Wersje internetowe serwer jak opisano poniżej.

Pobieranie wersji serwera WWW.

Znajomość wersji serwera WEB jest zawsze pomocna przed rozpoczęciem jakiegokolwiek ataku hakerskiego. Ponownie dzięki Google można uzyskać te informacje bez łączenia się z serwerem. Jeśli uważnie przyjrzysz się spisowi katalogów, zobaczysz, że wyświetlana jest tam nazwa serwera WEB i jego wersja.

Apache1.3.29 — serwer ProXad pod adresem trf296.free.fr, port 80

Doświadczony administrator może zmienić te informacje, ale z reguły jest to prawda. Aby więc uzyskać te informacje, wystarczy wysłać zapytanie:

intitle:index.of server.at

Aby uzyskać informacje o konkretnym serwerze, dopracowujemy żądanie:

intitle:index.of server.at site:ibm.com

Lub odwrotnie, szukamy serwerów działających na konkretnej wersji serwera:

intitle:index.of Apache/2.0.40 Server at

Ta technika może zostać wykorzystana przez hakera do znalezienia ofiary. Jeśli na przykład posiada exploit dla określonej wersji serwera WEB, może go znaleźć i wypróbować istniejący exploit.

Możesz również uzyskać wersję serwerową, przeglądając strony, które są instalowane domyślnie podczas instalacji nowej wersji serwera WEB. Na przykład, aby zobaczyć stronę testową Apache 1.2.6, po prostu wpisz

intitle:Strona.Testowa.dla.Apache to.działa!

Co więcej, niektóre systemy operacyjne natychmiast instalują i uruchamiają serwer WEB podczas instalacji. Jednak niektórzy użytkownicy nawet nie są tego świadomi. Oczywiście, jeśli widzisz, że ktoś nie usunął domyślnej strony, to logiczne jest założenie, że komputer w ogóle nie został poddany żadnej konfiguracji i prawdopodobnie jest podatny na ataki.

Spróbuj poszukać stron IIS 5.0

allintitle:Witamy w usługach internetowych systemu Windows 2000

W przypadku IIS można określić nie tylko wersję serwera, ale także Wersja Windows i pakiet serwisowy.

Innym sposobem określenia wersji serwera WEB jest szukanie podręczników (stron pomocy) i przykładów, które mogą być domyślnie instalowane na stronie. Hakerzy znaleźli sporo sposobów na wykorzystanie tych komponentów w celu uzyskania uprzywilejowanego dostępu do witryny. Dlatego musisz usunąć te komponenty na miejscu produkcji. Nie mówiąc już o tym, że dzięki obecności tych komponentów można uzyskać informacje o typie serwera i jego wersji. Na przykład znajdźmy instrukcję Apache:

inurl:ręczne moduły dyrektyw Apache

Używanie Google jako skanera CGI.

Skaner CGI lub skaner WEB to narzędzie do wyszukiwania podatnych na ataki skryptów i programów na serwerze ofiary. Te narzędzia muszą wiedzieć, czego szukać, ponieważ mają całą listę podatnych plików, na przykład:

/cgi-bin/cgiemail/uargg.txt
/losowy_baner/index.cgi
/losowy_baner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/lista.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

Każdy z tych plików możemy znaleźć za pomocą Google, używając dodatkowo z nazwą pliku w wyszukiwanym ciągu słów index of lub inurl: możemy znaleźć strony z podatnymi skryptami, na przykład:

allinurl:/losowy_banner/index.cgi

Mając dodatkową wiedzę, haker może wykorzystać lukę w skrypcie i wykorzystać ją do zmuszenia skryptu do obsługi dowolnego pliku przechowywanego na serwerze. Na przykład plik haseł.

Jak uchronić się przed włamaniem przez Google.

1. Nie przesyłaj ważnych danych na serwer WWW.

Nawet jeśli zamieściłeś dane tymczasowo, możesz o nich zapomnieć lub ktoś zdąży je znaleźć i zabrać, zanim je usuniesz. Nie rób tego. Istnieje wiele innych sposobów przesyłania danych, które chronią je przed kradzieżą.

2. Sprawdź swoją witrynę.

Użyj opisanych metod, aby zbadać swoją witrynę. Okresowo sprawdzaj swoją witrynę pod kątem nowych metod, które pojawiają się w witrynie http://johnny.ihackstuff.com. Pamiętaj, że jeśli chcesz zautomatyzować swoje działania, musisz uzyskać specjalne pozwolenie od Google. Jeśli uważnie przeczytasz http://www.google.com/terms_of_service.html, zobaczysz frazę: Nie możesz wysyłać żadnych automatycznych zapytań do systemu Google bez uprzedniej wyraźnej zgody Google.

3. Możesz nie potrzebować Google do indeksowania Twojej witryny lub jej części.

Google umożliwia usunięcie linku do Twojej witryny lub jej części z bazy danych, a także usunięcie stron z pamięci podręcznej. Dodatkowo możesz zabronić wyszukiwania obrazów w swojej witrynie, zabronić wyświetlania krótkich fragmentów stron w wynikach wyszukiwania Wszystkie możliwości usunięcia witryny są opisane na stronie http://www.google.com/remove.html. Aby to zrobić, musisz potwierdzić, że naprawdę jesteś właścicielem tej witryny lub wstawić tagi na stronie lub

4. Użyj robots.txt

Wiadomo, że Wyszukiwarki zajrzyj do pliku robots.txt w katalogu głównym witryny i nie indeksuj tych części, które są oznaczone słowem Uniemożliwić. Możesz to wykorzystać, aby zapobiec indeksowaniu części witryny. Na przykład, aby uniknąć indeksowania całej witryny, utwórz plik robots.txt zawierający dwa wiersze:

Agent użytkownika: *
uniemożliwić: /

Co jeszcze się dzieje

Aby życie nie wydawało ci się miodem, na koniec powiem, że są strony, które śledzą tych ludzi, którzy za pomocą powyższych metod szukają dziur w skryptach i serwerach WEB. Przykładem takiej strony jest

Aplikacja.

Trochę słodka. Wypróbuj jedną z poniższych opcji:

1. #mysql dump filetype:sql - szukaj zrzutów bazy danych dane mySQL
2. Raport podsumowania luk w zabezpieczeniach hosta — pokaże, jakie luki znalazły inne osoby
3. phpMyAdmin działający na inurl:main.php - wymusi to zamknięcie kontroli przez panel phpmyadmin
4. Nie do dystrybucji poufne
5. Zmienne serwera drzewa kontrolnego żądania szczegółów
6. Bieganie w trybie dziecka
7. Ten raport został wygenerowany przez WebLog
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs - może ktoś potrzebuje plików konfiguracyjnych firewalla? :)
10. intitle:indeks.finansów.xls - hmm....
11. intitle: Indeks czatów dbconvert.exe - logi czatu icq
12. intext: Analiza ruchu Tobiasa Oetikera
13. intitle: Statystyki użytkowania generowane przez Webalizer
14. intitle: statystyki zaawansowanych statystyk internetowych
15. intitle:index.of ws_ftp.ini - konfiguracja ftp ws
16. inurl:ipsec.secrets przechowuje wspólne sekrety - tajny klucz - dobre znalezisko
17. inurl:main.php Witamy w phpMyAdmin
18. inurl: informacje o serwerze Informacje o serwerze Apache
19. strona: oceny administracyjne edu
20. ORA-00921: nieoczekiwany koniec polecenia SQL - pobierz ścieżki
21. intitle:index.of trillian.ini
22. intitle: Indeks pwd.db
23. intitle:index.of people.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. intitle: Indeks .mysql_history
27. intitle:index of intext:globals.inc
28. intitle:index.of administrators.pwd
29. intitle: Index. of etc shadow
30. intitle:index.of secring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:wykonaj typ pliku:ini

  • „Hakowanie z Google”

    • Centrum szkoleniowe „Informzaschita” http://www.itsecurity.ru - wiodące specjalistyczne centrum w dziedzinie edukacji bezpieczeństwo informacji(Licencja Moskiewskiego Komitetu Edukacji nr 015470, akredytacja państwowa nr 004251). Jedyne autoryzowane centrum szkoleniowe firm ochrona Internetu Systemy i Clearswift w Rosji i krajach WNP. Autoryzowane centrum szkoleniowe Microsoft (specjalizacja Security). Programy szkoleniowe są koordynowane z Państwową Komisją Techniczną Rosji, FSB (FAPSI). Świadectwa studiów i dokumenty rządowe o rozwoju zawodowym.

    SoftKey to wyjątkowa usługa dla kupujących, deweloperów, dealerów i partnerów stowarzyszonych. Ponadto jest to jeden z najlepszych sklepów internetowych z oprogramowaniem w Rosji, Ukrainie, Kazachstanie, który oferuje klientom szeroki asortyment, wiele metod płatności, szybkie (często natychmiastowe) przetwarzanie zamówień, śledzenie procesu realizacji zamówienia w dziale osobistym, różne rabaty ze sklepu i producentów ON.

    Ten artykuł przyda się przede wszystkim początkującym optymalizatorom, ponieważ bardziej zaawansowani powinni już wiedzieć o nich wszystko. Aby maksymalnie efektywnie wykorzystać ten artykuł, dobrze jest wiedzieć, które słowa należy promować na właściwe pozycje. Jeśli nie masz jeszcze pewności co do listy słów lub korzystasz z usługi sugerowania słów kluczowych, jest to trochę mylące, ale możesz to rozgryźć.

    Ważny! Zapewniamy, że Google doskonale zdaje sobie z tego sprawę zwykli użytkownicy nie skorzysta z nich, a z ich pomocy skorzystają tylko specjaliści od promocji. Dlatego Google może nieznacznie zniekształcić podane informacje.

    Operator tytułu:

    Stosowanie: tytuł: słowo
    Przykład: intitle: promocja strony
    Opis: Korzystając z tego operatora otrzymasz listę stron zawierających interesujące Cię słowo w tytule (tytule), w naszym przypadku jest to w całości wyrażenie „promocja strony”. Zauważ, że po dwukropku nie powinno być spacji. Tytuł strony jest ważny w rankingu, więc traktuj swoje nagłówki poważnie. Korzystając z tej zmiennej, możesz oszacować przybliżoną liczbę konkurentów, którzy również chcą być na najwyższych pozycjach dla tego słowa.

    Operator Inurl:

    Stosowanie: inurl:fraza
    Przykład: inurl: kalkulacja kosztów optymalizacji pod kątem wyszukiwarek
    Opis: To polecenie pokazuje witryny lub strony, których adres URL zawiera oryginalne słowo kluczowe. Zauważ, że po dwukropku nie powinno być spacji.

    Operator kotwicy:

    Stosowanie: kotwica:fraza
    Przykład: kotwica: książki seo
    Opis: Korzystanie z tego operatora pomoże Ci zobaczyć strony, do których prowadzą linki za pomocą używanego słowa kluczowego. To bardzo ważne polecenie, ale niestety wyszukiwarki z oczywistych powodów niechętnie dzielą się tą informacją z SEO. Istnieją usługi Linkscape i Majestic SEO, które są gotowe dostarczyć Ci te informacje za opłatą, ale możesz być pewien, że informacje są tego warte.

    Warto też pamiętać, że teraz Google coraz bardziej zwraca uwagę na „zaufanie” strony, a coraz mniej na masę linków. Oczywiście powiązania nadal są jednym z najważniejszych czynników, ale „zaufanie” odgrywa coraz większą rolę.

    Dobre wyniki daje kombinacja dwóch zmiennych, na przykład intitle:inanchor promotion:website Promotion. A co widzimy, wyszukiwarka pokaże nam głównych konkurentów, których tytuł strony zawiera słowo „promocja” i linki przychodzące z kotwicą „promocja strony”.

    Niestety takie połączenie nie pozwala poznać „zaufania” domeny, co, jak już powiedzieliśmy, jest bardzo ważnym czynnikiem. Na przykład wiele starszych witryn firmowych nie ma tylu linków, co ich młodsi konkurenci, ale mają wiele starych linków, które przenoszą te witryny na szczyt wyników wyszukiwania.

    Operator witryny:

    Stosowanie: witryna: adres witryny
    Przykład: strona: www.aweb.com.ua
    Opis: Za pomocą tego polecenia możesz zobaczyć listę stron, które są indeksowane przez wyszukiwarkę i o których wie. Służy głównie do poznawania stron konkurentów i ich analizy.

    instrukcja pamięci podręcznej:

    Stosowanie: pamięć podręczna:adres strony
    Przykład: pamięć podręczna: www.aweb.com.ua
    Opis: To polecenie pokazuje „migawkę” strony od czasu ostatniej wizyty robota na stronie i ogólnie, jak widzi zawartość strony. Sprawdzając datę pamięci podręcznej strony, możesz określić, jak często roboty odwiedzają witrynę. Im bardziej autorytatywna strona, tym częściej roboty ją odwiedzają i odpowiednio im mniej autorytatywna (według Google) strona, tym rzadziej roboty robią zdjęcia stronie.

    Pamięć podręczna jest bardzo ważna przy kupowaniu linków. Im bliżej daty buforowania strony jest data zakupu linku, tym szybciej Twój link zostanie zaindeksowany przez wyszukiwarkę Google. Czasami okazywało się, że znaleziono strony o wieku pamięci podręcznej 3 miesiące. Kupując link na takiej stronie, marnujesz tylko swoje pieniądze, ponieważ całkiem możliwe, że link nigdy nie zostanie zaindeksowany.

    Operator łącza:

    Stosowanie: link:url
    Przykład: link:www.aweb.com.ua
    Opis: Operator linku: wyszukuje i wyświetla strony, które prowadzą do określonego adresu URL. Może to być zarówno strona główna serwisu, jak i wewnętrzna.

    Powiązany operator:

    Stosowanie: powiązane:url
    Przykład: powiązane: www.aweb.com.ua
    Opis: Instrukcja related: wyświetla strony, które według wyszukiwarki są podobne do określonej strony. W przypadku człowieka wszystkie wynikowe strony mogą nie mieć nic podobnego, ale w przypadku wyszukiwarki tak.

    Operator informacji:

    Stosowanie: informacje: adres URL
    Przykład: info: www.aweb.com.ua
    Opis: Korzystając z tego operatora będziemy mogli uzyskać informacje o stronie znanej wyszukiwarce. Może to być autor, data publikacji i inne. Dodatkowo na stronie wyszukiwania Google oferuje kilka działań naraz, które może wykonać na tej stronie. Lub prościej, zasugeruje użycie niektórych operatorów, które opisaliśmy powyżej.

    Operator Allintitle:

    Stosowanie: allintitle:fraza
    Przykład: allintitle: promocja aweb
    Opis: Jeśli zaczniemy wyszukiwana fraza z tego słowa otrzymamy listę stron, których tytuł zawiera całą frazę. Na przykład, jeśli spróbujemy wyszukać słowo allintitle:aweb Promotion, otrzymamy listę stron, które mają w tytule oba te słowa. I wcale nie jest konieczne, aby szły jeden po drugim, można je zlokalizować w różne miejsca nagłówek.

    Operator Allintext:

    Stosowanie: allintext:słowo
    Przykład: allintext:optymalizacja
    Opis: Ten operator wyszukuje wszystkie strony zawierające określone słowo w treści tekstu. Jeśli spróbujemy użyć optymalizacji allintext:aweb, zobaczymy listę stron, w których tekście występują te słowa. Oznacza to, że nie cała fraza to „optymalizacja aweb”, ale oba słowa to „optymalizacja” i „aweb”.

    Uruchom pobrany plik, klikając dwukrotnie (trzeba mieć maszyna wirtualna ).

    3. Anonimowość podczas sprawdzania strony pod kątem wstrzyknięć SQL

    Konfigurowanie Tora i Privoxy w Kali Linux

    [Sekcja w opracowaniu]

    Konfigurowanie Tora i Privoxy w systemie Windows

    [Sekcja w opracowaniu]

    Ustawienia proxy wstrzykiwania jSQL

    [Sekcja w opracowaniu]

    4. Sprawdzenie strony pod kątem wstrzyknięcia SQL za pomocą jSQL Injection

    Praca z programem jest niezwykle prosta. Wystarczy wpisać adres strony i nacisnąć ENTER.

    Poniższy zrzut ekranu pokazuje, że witryna jest podatna na trzy rodzaje wstrzyknięć SQL jednocześnie (informacja o nich znajduje się w prawym dolnym rogu). Klikając na nazwy zastrzyków, możesz zmienić stosowaną metodę:

    Ponadto pokazaliśmy już istniejące bazy danych.

    Możesz zobaczyć zawartość każdej tabeli:

    Zazwyczaj najciekawszą częścią tabel są poświadczenia administratora.

    Jeśli masz szczęście i znalazłeś dane administratora, to za wcześnie na radość. Musisz również znaleźć panel administracyjny, gdzie wprowadzić te dane.

    5. Wyszukaj administratorów za pomocą jSQL Injection

    Aby to zrobić, przejdź do następnej zakładki. Tutaj spotykamy się z listą możliwych adresów. Możesz wybrać jedną lub więcej stron do sprawdzenia:

    Wygoda polega na tym, że nie musisz używać innych programów.

    Niestety, nie ma zbyt wielu nieostrożnych programistów, którzy przechowują hasła w postaci zwykłego tekstu. Dość często w ciągu hasła widzimy coś takiego

    8743b52063cd84097a65d1633f5c74f5

    To jest hasz. Możesz go odszyfrować brutalną siłą. ORAZ… Wstrzyknięcie jSQL ma wbudowany bruteforcer.

    6. Skróty wymuszające brute przy użyciu wstrzykiwania jSQL

    Niewątpliwą wygodą jest to, że nie trzeba szukać innych programów. Istnieje wsparcie dla wielu najpopularniejszych skrótów.

    To nie jest najlepsza opcja. Aby zostać guru w rozszyfrowywaniu skrótów, zaleca się książkę „” w języku rosyjskim.

    Ale oczywiście, gdy nie ma pod ręką innego programu lub nie ma czasu na naukę, przyda się jSQL Injection z wbudowaną funkcją brute-force.

    Istnieją ustawienia: można ustawić, które znaki są zawarte w haśle, zakres długości hasła.

    7. Operacje na plikach po wykryciu wstrzyknięcia SQL

    Oprócz operacji na bazach danych - ich odczytywanie i modyfikowanie, w przypadku wykrycia iniekcji SQL można wykonać następujące operacje na plikach:

    • odczytywanie plików na serwerze
    • wgrywanie nowych plików na serwer
    • wgrywanie powłok na serwer

    A wszystko to zaimplementowane w jSQL Injection!

    Istnieją ograniczenia - serwer SQL musi mieć uprawnienia do plików. Dla rozsądnych administratorów systemu są one wyłączone i mają dostęp do system plików nie można uzyskać.

    Obecność uprawnień do plików jest dość łatwa do sprawdzenia. Przejdź do jednej z zakładek (odczyt plików, tworzenie powłoki, wgranie nowego pliku) i spróbuj wykonać jedną ze wskazanych operacji.

    Kolejna bardzo ważna uwaga – musimy znać dokładną bezwzględną ścieżkę do pliku, z którym będziemy pracować – inaczej nic nie zadziała.

    Spójrz na poniższy zrzut ekranu:

    Na każdą próbę operacji na pliku odpowiada: Brak przywileju FILE(brak uprawnień do plików). I tu nic nie da się zrobić.

    Jeśli zamiast tego masz inny błąd:

    Problem z zapisem do [nazwa_katalogu]

    Oznacza to, że niepoprawnie określiłeś ścieżkę bezwzględną, w której chcesz zapisać plik.

    Aby przyjąć absolutną ścieżkę, trzeba przynajmniej wiedzieć system operacyjny na którym działa serwer. Aby to zrobić, przejdź do zakładki Sieć.

    Taki wpis (string Win64) daje nam powód do założenia, że ​​mamy do czynienia z systemem operacyjnym Windows:

    Keep-Alive: timeout=5, max=99 Serwer: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Połączenie: Keep-Alive Metoda: HTTP/1.1 200 OK Długość treści: 353 Data: piątek, 11 grudnia 2015 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Content-Type: text/html; zestaw znaków=UTF-8

    Tutaj mamy trochę Uniksa (*BSD, Linux):

    Transfer-Encoding: chunked Data: piątek, 11 grudnia 2015 11:57:02 GMT Metoda: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Połączenie: keep-alive Content-Type: text/html X- Obsługiwane przez: PHP/5.3.29 Serwer: Apache/2.2.31 (Unix)

    A tutaj mamy CentOS:

    Metoda: HTTP/1.1 200 OK Wygasa: czw, 19 listopada 1981 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Połączenie: keep-alive X-Cache-Lookup: MISS od t1.hoster.ru:6666 Serwer: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS od t1.hoster.ru Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Data: piątek, 11 grudnia 2015 r. 12:08:54 GMT Transfer-Encoding: chunked Content-Type: text/html; charset=WINDOWS-1251

    W systemie Windows typowy folder witryny to C:\Serwer\dane\htdocs\. Ale w rzeczywistości, jeśli ktoś „pomyślał” o stworzeniu serwera w systemie Windows, to najprawdopodobniej ta osoba nie słyszała nic o uprawnieniach. Dlatego powinieneś zacząć próbować bezpośrednio z katalogu C: / Windows /:

    Jak widać, za pierwszym razem wszystko poszło idealnie.

    Ale same powłoki jSQL Injection budzą moje wątpliwości. Jeśli masz uprawnienia do plików, możesz przesłać coś z interfejsem internetowym.

    8. Masowe sprawdzanie witryn pod kątem wstrzyknięć SQL

    I nawet jSQL Injection ma tę funkcję. Wszystko jest niezwykle proste - wgraj listę witryn (można zaimportować z pliku), wybierz te, które chcesz sprawdzić i kliknij odpowiedni przycisk, aby rozpocząć operację.

    Dane wyjściowe przez wstrzyknięcie jSQL

    jSQL Injection to dobre, potężne narzędzie do wyszukiwania, a następnie używania iniekcji SQL znalezionych w witrynach. Jego niewątpliwe zalety: łatwość obsługi, wbudowane funkcje pokrewne. jSQL Injection może być najlepszym przyjacielem początkującego przy analizie stron internetowych.

    Wśród niedociągnięć zwróciłbym uwagę na brak możliwości edycji baz danych (przynajmniej nie znalazłem tej funkcjonalności). Podobnie jak w przypadku wszystkich narzędzi z interfejsem graficznym, wady tego programu można przypisać niemożliwości wykorzystania w skryptach. Niemniej jednak w tym programie możliwa jest pewna automatyzacja - dzięki wbudowanej funkcji masowego sprawdzania miejsc.

    jSQL Injection jest znacznie wygodniejszy w użyciu niż sqlmap . Ale sqlmap obsługuje więcej rodzajów iniekcji SQL, ma opcje zapory plików i kilka innych funkcji.

    Podsumowując: jSQL Injection to najlepszy przyjaciel początkującego hakera.

    Pomoc do tego programu w Encyklopedii Kali Linux znajdziesz na tej stronie: http://kali.tools/?p=706

    Dziedziczenie jest mechanizmem obiektu programowanie zorientowane, który pozwala opisać nową klasę na podstawie istniejącej klasy (rodzica).

    Klasa wywodząca się z innej nazywa się podklasą. Relacja ta jest zwykle opisywana terminami „rodzic” i „dziecko”. Klasa potomna wywodzi się od rodzica i dziedziczy jego cechy: właściwości i metody. Zazwyczaj podklasa dodaje nową funkcjonalność do funkcjonalności klasy nadrzędnej (zwanej również nadklasą).

    Aby utworzyć podklasę, musisz użyć słowa kluczowego extends w deklaracji klasy, a następnie nazwy klasy, z której chcesz dziedziczyć:

    wiek = $wiek; ) function add_age () ( $this->age++; ) ) // zadeklaruj dziedziczoną klasę my_Cat extends Cat ( // zdefiniuj naszą własną metodę podklasy funkcja sleep() ( echo "
    Zzzzz..."; ) ) $kitty = new my_Cat(10); // wywołaj dziedziczoną metodę $kitty->add_age(); // odczytaj wartość dziedziczonej właściwości echo $kitty->age; // wywołaj własna metoda podklasy $ kitty->sleep(); ?>

    Podklasa dziedziczy dostęp do wszystkich metod i właściwości klasy nadrzędnej, ponieważ są one typu public . Oznacza to, że dla instancji klasy my_Cat możemy wywołać metodę add_age() i uzyskać dostęp do właściwości $age, niezależnie od tego, że są one zdefiniowane w klasie cat. Również w powyższym przykładzie podklasa nie ma własnego konstruktora. Jeśli podklasa nie deklaruje własnego konstruktora, to podczas tworzenia instancji podklasy zostanie automatycznie wywołany konstruktor nadklasy.

    Zauważ, że podklasy mogą nadpisywać właściwości i metody. Definiując podklasę, zapewniamy, że jej instancja jest określana najpierw przez cechy klasy potomnej, a następnie klasy nadrzędnej. Aby lepiej to zrozumieć, rozważ przykład:

    wiek"; ) ) class my_Cat extends Cat ( public $age = 10; ) $kitty = new my_Cat; $kitty->foo(); ?>

    Gdy wywoływana jest $kitty->foo(), interpreter PHP nie może znaleźć takiej metody w klasie my_Cat, więc używana jest implementacja tej metody podana w klasie Cat. Jednak podklasa definiuje swoją własną właściwość $age, więc gdy uzyskuje się do niej dostęp w metodzie $kitty->foo(), interpreter PHP znajduje tę właściwość w klasie my_Cat i używa jej.

    Skoro omówiliśmy już temat określania typu argumentów, pozostaje powiedzieć, że jeśli klasa nadrzędna jest określona jako typ, to wszyscy potomkowie metody będą również dostępni do użycia, spójrz na następujący przykład:

    foo(nowy mój_Kot); ?>

    Instancję klasy my_Cat możemy traktować tak, jakby była obiektem typu Cat , czyli możemy przekazać obiekt typu my_Cat do metody foo() klasy Cat i wszystko będzie działać tak, jak powinno.

    oświadczenie rodzica

    W praktyce podklasy mogą wymagać rozszerzenia funkcjonalności metod klas nadrzędnych. Rozszerzając funkcjonalność poprzez nadpisanie metod nadklasy, podklasy zachowują możliwość pierwszego wykonania kod programowania klasy nadrzędnej, a następnie dodaj kod, który implementuje dodatkowe funkcje. Zobaczmy, jak można to zrobić.

    Aby wywołać żądaną metodę z klasy nadrzędnej, musisz odwołać się do samej tej klasy poprzez deskryptor. PHP udostępnia w tym celu słowo kluczowe parent. Instrukcja parent umożliwia podklasom dostęp do metod (i konstruktorów) klasy nadrzędnej i dodawanie ich do istniejącej funkcjonalności. Aby odwołać się do metody w kontekście klasy, używane są symbole „:” (dwa dwukropki). Składnia instrukcji nadrzędnej:

    Parent:: metoda parent_class

    Ta konstrukcja wywoła metodę zdefiniowaną w nadklasie. Po takim wywołaniu możesz umieścić własny kod programu, który doda nową funkcjonalność:

    tytuł = $tytuł; $to->cena = $cena; ) ) class new_book extends book ( public $pages; function __construct($title, $price, $pages) ( // wywołanie metody konstruktora klasy nadrzędnej parent::__construct($title, $price); // inicjalizacja właściwość zdefiniowana w podklasie $this->pages = $pages;) ) $obj = new new_book("abc", 35, 500); echo "Książka: $obj->tytuł
    Cena: $obj->cena
    Strony: $obj->strony"; ?>

    Kiedy klasa potomna definiuje swój własny konstruktor, PHP nie wywołuje automatycznie konstruktora klasy rodzica. Należy to zrobić ręcznie w konstruktorze podklasy. Podklasa najpierw wywołuje konstruktor swojej klasy nadrzędnej w swoim konstruktorze, przekazując niezbędne argumenty do inicjalizacji, wykonując ją, a następnie wykonywany jest kod implementujący dodatkową funkcjonalność, w tym przypadku inicjujący właściwość podklasy.

    Słowo parent może być używane nie tylko w konstruktorach, ale także w każdej innej metodzie, której funkcjonalność chcesz rozszerzyć, możesz to osiągnąć wywołując metodę klasy rodzica:

    name)."; return $str; ) ) class my_Cat extends Cat ( public $age = 5; function getstr() ( $str = parent::getstr(); $str .= "
    Wiek: ($ten->wiek) lata."; return $str; ) ) $obj = new my_Cat; echo $obj->getstr(); ?>

    Tutaj najpierw wywoływana jest metoda getstr() z nadklasy, której wartość jest przypisana do zmiennej, a następnie wykonywana jest reszta kodu zdefiniowanego w metodzie podklasy.

    Teraz, gdy omówiliśmy już podstawy dziedziczenia, możemy wreszcie przyjrzeć się widoczności właściwości i metod.

    publiczne, chronione i prywatne: kontrola dostępu

    Do tego momentu jawnie zadeklarowaliśmy wszystkie właściwości jako publiczne (publiczne). A ten typ dostępu jest domyślnie ustawiony dla wszystkich metod.

    Elementy członkowskie klasy można zadeklarować jako publiczne (publiczne), chronione (chronione) i prywatne (zamknięte). Spójrzmy na różnicę między nimi:

    • Do publiczny(publiczne) właściwości i metody są dostępne z dowolnego kontekstu.
    • Do chroniony(chronione) właściwości i metody mogą być dostępne z klasy zawierającej lub z jej podklasy. Żaden kod zewnętrzny nie ma do nich dostępu.
    • Możesz uniemożliwić programowi wywołującemu dostęp do danych klas za pomocą słowo kluczowe prywatny(Zamknięte). Dostęp do takich właściwości i metod można uzyskać tylko z klasy, w której są zadeklarowane. Nawet podklasy tej klasy nie mają dostępu do takich danych.

    publiczny - dostęp publiczny:

    cześć"; ) ) $obj = nowy człowiek; // dostęp z wywołującego echo "$obj->age"; // Poprawny $obj->say(); // Poprawny?>

    private - dostęp tylko z metod klasowych:

    wiek"; ) ) $obj = new human; // brak dostępu do prywatnych danych bezpośrednio od osoby wywołującej echo "$obj->age"; // Błąd! odmowa dostępu! // jednak dane prywatne można wyprowadzić $obj używając metoda ->say(); // Valid?>

    chroniony - chroniony dostęp:

    Modyfikator protected wygląda dokładnie tak samo jak modyfikator private z punktu widzenia programu wywołującego: zabrania dostępu do danych obiektu z zewnątrz. Jednak w przeciwieństwie do private, pozwala na dostęp do danych nie tylko z metod swojej klasy, ale także z metod podklasy.